Free cookie consent management tool by TermsFeed Sicurezza, GDPR, AI Act, L.132/2025 — Compliance by-design | Community Retail AI
// Sicurezza · compliance by-design

Sicurezza.
GDPR. AI Act.
By-design.

Non "aggiungeremo la compliance dopo". Community Retail AI è stato architetturato dal giorno 1 per soddisfare GDPR, AI Act EU, L.132/2025 Italia. Server EU, crittografia end-to-end, audit log completo, right-to-erasure cascading, spiegabilità AI obbligatoria.

Prenota demo Come funziona
Data residency
DB EU Frankfurt · app EU/US · SMS Italia
Crittografia
TLS 1.3 · AES-256 at rest · SFTP con chiave
Compliance
GDPR · AI Act · L.132/2025 · DPA firmabile
// Il principio

Compliance by-design.Non dopo.

GDPR
Data residency EU, consensi granulari, right-to-erasure cascading
AI Act
Spiegabilità obbligatoria per ogni decisione automatica AI
L.132/2025
Documentazione classificazione sistema AI "limited risk"
I layer

Cinque scelte.
Un approccio.

01 / DATA RESIDENCY

Frankfurt,
Germania.

Database PostgreSQL su Supabase regione EU. Tutti i dati personali dei clienti finali restano in territorio UE. Per clienti enterprise: opzione Railway EU (Amsterdam).

SMS gateway: provider italiano · server in Italia.
02 / CRITTOGRAFIA

TLS 1.3
AES-256.

HTTPS forzato con HSTS. DB cifrato at-disk. Backup cifrati. SFTP con chiave SSH. Credenziali vendor mai in chiaro. Auth JWT RS256 + rotation key.

Standard: conforme NIST + OWASP top 10.
03 / CONSENSI

Granulari
+ revocabili.

Consensi separati per marketing, profilazione, newsletter. Timestamp + source + IP tracciati. Revocabili da UI cliente con effetto immediato. Log GDPR completo.

Cliente: ha sempre visibilità sui propri consensi.
04 / RIGHT-TO-ERASURE

Cancellazione
cascading.

Quando un cliente chiede la cancellazione: tutti i dati personali cancellati in cascata (leads, eventi, consensi, storico). Resta solo dato aggregato anonimo.

Tempo: <24h dalla richiesta · conferma scritta al cliente.
05 / AI SPIEGABILE

Ogni
decisione tracciata.

Ogni decisione dell'AI è spiegabile: per un cliente target di campagna vedi perché è stato selezionato. Per ogni prompt/risposta dell'AI Concierge, log completo.

AI Act: classificazione "limited risk" documentata.
IL RISULTATO

Un tassello
della piattaforma.
Integrato col resto.

Ogni modulo alimenta gli altri. La segmentazione genera le liste, le liste alimentano le campagne, le campagne tornano come tracking attribuito. Un ciclo che impara da sé.

Compliance · FAQ

Domande
critiche.

01 Avete certificazioni proprietarie (SOC 2, ISO)?
Non ancora certificazioni proprietarie al 2026. Le certificazioni infrastrutturali (Supabase SOC 2 Type 2 + ISO 27001, Railway SOC 2 Type 2, Anthropic SOC 2 + ISO 27001) sono ereditate dai provider. Roadmap 2026-27: percorso ISO 27001 proprietario per clienti enterprise.
02 Posso firmare un DPA personalizzato?
Sì. Il DPA base è firmabile insieme al contratto. Clausole custom (audit right, sub-processor notification, breach timing) negoziabili per enterprise.
03 Come gestite un incident di sicurezza?
Playbook incident response con notifica entro 72h al cliente (come da GDPR). Log forensi disponibili. Post-mortem condiviso con timeline, root cause, azioni remediative.
Il prossimo passo

Compliance.
Non checkbox.
Fondamenta.