reserveme.ai | AI Operations Platform for Heavy Equipment Teams

Questa pagina riassume le misure tecniche e organizzative adottate da reserveme.ai per proteggere la Piattaforma, il Widget e i dati del Cliente, nonché il registro dei sub-responsabili attualmente coinvolti. È l'estratto pubblico della Policy su Sicurezza e Sub-Responsabili richiamata nel nostro Addendum sul Trattamento dei Dati.

1. Quadro e ambito

Le misure sono calibrate sull'art. 32 GDPR e sulla legge federale svizzera sulla protezione dei dati (LPD) e coprono la Piattaforma, il Widget incorporabile, le API e l'infrastruttura backend a supporto di estrazione machine-vision, inferenza IA, preventivazione, messaggistica in uscita (email, WhatsApp, SMS) e automazioni di workflow.

2. Accesso e identità

Accesso a minimo privilegio basato su ruoli su tutti i sistemi di produzione con account nominativi. MFA obbligatoria per ogni amministratore o ingegnere che raggiunge la produzione. Revisioni trimestrali degli accessi e revoca immediata in caso di cambio ruolo o cessazione. È vietata la condivisione di credenziali nominative.

3. Cifratura

TLS 1.2+ per tutti i dati in transito, incluso il traffico della Piattaforma, del Widget e delle API. AES-256 a riposo per database, object storage e backup. Gestione chiavi tramite il KMS del provider cloud con rotazione annuale. I documenti caricati dal Cliente (tabelle di carico, curve di portata, manuali) sono cifrati prima dell'elaborazione machine-vision.

4. Sicurezza di rete e applicazione

VPC di produzione segregata con subnet private per i data store, security group ad allow-list, Web Application Firewall (WAF) e mitigazione DDoS. SDLC sicuro con peer review, scansione dipendenze (SCA), analisi statica (SAST), scansione segreti e scansione vulnerabilità pre-produzione. Penetration test periodici da parte di terzi qualificati.

5. Logging, monitoraggio e risposta agli incidenti

Audit log centralizzato a prova di manomissione con almeno 12 mesi di ritenzione. Rilevamento intrusioni, allerta anomalie e reperibilità 24×7. Ci impegniamo a notificare ai Clienti qualsiasi violazione di dati personali che riguardi i loro dati senza ingiustificato ritardo e comunque entro 72 ore dalla conoscenza, come da DPA. Le vulnerabilità possono essere segnalate a security@reserveme.ai.

6. Resilienza e backup

Backup cifrati giornalieri automatizzati con ritenzione di 30 giorni, point-in-time recovery sui database di produzione, failover multi-AZ e test di ripristino documentati almeno annuali. Utilizzo di regioni cloud enterprise certificate SOC 2, ISO 27001 o equivalente per la sicurezza fisica e operativa (AWS, Azure, Google Cloud™).

7. Registro dei sub-responsabili

Per erogare la Piattaforma utilizziamo i seguenti sub-responsabili. L'elenco è aggiornato alla data sopra indicata; i Clienti ricevono un preavviso di almeno 14 giorni per qualsiasi aggiunta o sostituzione tramite la Policy su Sicurezza e Sub-Responsabili. - Amazon Web Services — infrastruttura cloud (compute, storage, database). Regioni USA ed EU. Garanzia: Clausole Contrattuali Standard UE + DPA. - Google Cloud Platform™ — inferenza IA, mappe e routing, infrastruttura complementare. Regioni USA ed EU. CCS UE + DPA. - OpenAI, LLC — inferenza LLM per preventivi, manutenzione e Widget. USA. CCS UE + DPA. - Anthropic, PBC — inferenza LLM (backup e compiti specialistici). USA. CCS UE + DPA. - Stripe, Inc. — processamento pagamenti e fatturazione abbonamenti. USA e Irlanda. CCS UE + DPA. - SendGrid / Twilio — email transazionale e SMS inviati per conto del Cliente. USA. CCS UE + DPA. - Meta Platforms, Inc. — WhatsApp Business API, approvazione template e metadati di consegna. USA e Irlanda. CCS UE + DPA. - Sentry — monitoraggio errori pseudonimizzato. USA. CCS UE + DPA. - Intercom / HubSpot — supporto e CRM. USA e Irlanda. CCS UE + DPA.

8. Segnalazioni e contatti

Ricercatori di sicurezza e Clienti possono segnalare vulnerabilità, abusi o incidenti a security@reserveme.ai. Indichi passi di riproduzione, endpoint interessati e prove; confermiamo ricezione e triage in orario lavorativo svizzero. La disclosure coordinata è apprezzata — non acceda ai dati dei Clienti, non esegua scansioni intrusive in produzione e non utilizzi tool automatici di exploit.

Contatto sicurezza

Per segnalare una vulnerabilità o un incidente di sicurezza, contatti direttamente il nostro team.

security@reserveme.ai