Trust & Security
Sicurezza & GDPR
La protezione dei dati HACCP dei tuoi clienti è il nostro primo impegno. Questa pagina riassume le misure tecniche, organizzative e contrattuali adottate da Sa.Gi Group per conformarsi al Regolamento UE 679/2016 (GDPR).
Misure tecniche
- Cifratura in transito: TLS 1.3 su tutti gli endpoint (Cloudflare WAF + HSTS preload).
- Cifratura a riposo: MongoDB Atlas EU-Frankfurt con AES-256 server-side encryption.
- Password: hashing bcrypt cost 12, salt random per account. Nessuna password salvata in chiaro.
- Sessioni: JWT con scadenza 15min + refresh token httpOnly · cookie
SameSite=Lax. - Isolamento multi-tenant: ogni query filtrata per
org_ida livello applicativo e index DB. - Backup: snapshot giornalieri cifrati MongoDB Atlas, retention 7 giorni continui + 30 giorni point-in-time.
- Logging: log applicativi conservati 6 mesi su filesystem cifrato. Nessun log di password o token.
Misure organizzative
- Titolare unico: Sara Galati (Titolare del trattamento). Nessun dipendente accede ai dati clienti.
- Accesso fisico: sviluppo da workstation con disk encryption + screen lock + MFA su Google/MongoDB Atlas.
- Principio del minimo privilegio: chiavi API e credentials accessibili solo al Titolare.
- Sub-processor: ogni fornitore terzo selezionato con DPA firmata o adesione SCC (vedi elenco).
- Data breach: notifica al Garante Privacy entro 72h come da Art. 33 GDPR.
Conservazione dati (data retention)
- Registri HACCP (temperature, pulizie, ricevimenti, NC, allergeni): 5 anni dalla data di registrazione, allineato all'obbligo di tracciabilità del Reg. CE 852/2004 art. 5 e Reg. CE 178/2002 art. 18.
- Dati account demo non convertiti: 12 mesi dalla scadenza, poi cancellati.
- Dati account clienti paganti: durata del contratto + 5 anni post-cessazione per obblighi HACCP.
- Log di navigazione: 6 mesi.
- Cookie marketing (Meta Pixel): massimo 13 mesi (limite Meta).
Trasferimenti dati extra-UE
Il database e l'application server risiedono in EU (Frankfurt). Alcuni servizi ausiliari operano negli Stati Uniti con tutela tramite Standard Contractual Clausesdella Commissione Europea (decisione 2021/914):
- Anthropic (Claude) — AI Consulente HACCP
- Google (Gemini) — OCR etichette/temperature
- Meta Platforms — Pixel marketing (solo con consenso)
Vedi lista completa sub-processor per dettagli.
Cookie e tracking
Utilizziamo cookie tecnici di sessione (login, preferenze) che non richiedono consenso. Solo i cookie Meta Pixel (marketing) richiedono opt-in esplicito tramite il banner cookie. Maggiori dettagli nella Privacy Policy.
Diritti dell'interessato
In qualunque momento puoi esercitare i diritti previsti dagli Artt. 15-22 GDPR:
- Accesso ai tuoi dati
- Rettifica e aggiornamento
- Cancellazione ("oblio") — Art. 17
- Portabilità — Art. 20 (export JSON/CSV)
- Limitazione e opposizione al trattamento
- Reclamo al Garante Privacy (garanteprivacy.it)
Scrivi a sara.galati@sagigrp.com con oggetto "Diritti GDPR".
Titolare del trattamento
Sara Galati (Libera professionista, brand Sa.Gi Group)
Via La Marmora 4C, 20037 Paderno Dugnano (MI), Italia
C.F. GLTSRA84A41C616X · P.IVA 05757730287
Email: sara.galati@sagigrp.com · Tel. +39 344 7205 371