Sicurezza & Fiducia

La tua energia, i tuoi dati.
Al sicuro.

CEI è costruita su un'infrastruttura enterprise-grade. I dati energetici dei vostri impianti non escono mai dal vostro controllo.

✓ Crittografia AES-256 ✓ GDPR Conforme ✓ JWT Auth ✓ TLS 1.3 in transito ✓ Row-Level Security ⟳ ISO 27001 in corso
🔒

Protezione dei Dati

Come proteggiamo i dati dei vostri impianti
Crittografia in transito

Tutte le comunicazioni tra il vostro browser, le vostre API, e i server CEI avvengono via TLS 1.3. Nessun dato viaggia in chiaro.

Crittografia a riposo

I dati sono memorizzati su Supabase PostgreSQL con crittografia AES-256 a riposo. I backup sono anch'essi crittografati.

Row-Level Security

PostgreSQL Row-Level Security garantisce che ogni organizzazione veda esclusivamente i propri dati. L'isolamento è applicato a livello di database, non solo applicativo.

Backup automatici

Backup giornalieri automatici con retention di 30 giorni. I dati sono replicati su infrastruttura Supabase ridondante.

🛡️

Controllo degli Accessi

Chi può accedere ai vostri dati e come
Autenticazione JWT

Ogni sessione utilizza JSON Web Token con scadenza automatica. I token di refresh sono ruotati ad ogni utilizzo e invalidati al logout.

Token di integrazione

I token API (cei_int_) sono hashati con SHA-256 prima della memorizzazione. Il token in chiaro è mostrato una sola volta al momento della creazione.

Controllo dei ruoli

Sistema di ruoli granulare: Owner, Admin, Member. Gli Owner controllano chi ha accesso all'organizzazione. Nessun accesso cross-org senza autorizzazione esplicita.

Accesso CEI ai vostri dati

Il team CEI non accede ai dati dei clienti salvo richiesta esplicita di supporto tecnico, documentata nel registro audit dell'organizzazione.

⚙️

Infrastruttura

Dove vivono i vostri dati
Componente Provider Dettaglio
DatabaseSupabase (PostgreSQL)Regione EU — AWS eu-central-1 (Francoforte). SOC 2 Type II certificato.
Backend APIRenderFastAPI/Python. Deploy automatico da repository privato. Logs strutturati con request_id per audit completo.
FrontendVercelReact/TypeScript. CDN globale. HTTPS forzato su tutti i domini.
DNS / CDNCloudflareDDoS protection attiva. WAF (Web Application Firewall) su tutti gli endpoint pubblici.
Email transazionaleResendSPF, DKIM, DMARC configurati. Nessun dato cliente incluso nelle email di sistema.
PagamentiStripePCI DSS Level 1. CEI non memorizza dati di carte di credito — gestione interamente delegata a Stripe.
📋

GDPR e Conformità

I vostri obblighi normativi, i nostri impegni
Base giuridica del trattamento

Il trattamento dei dati energetici avviene su base contrattuale (Art. 6.1.b GDPR). Il consenso esplicito è acquisito e timestampato al momento della registrazione.

Data Processing Agreement

CEI agisce come Responsabile del Trattamento (Data Processor) per i dati energetici dei clienti. DPA disponibile su richiesta — conforme Art. 28 GDPR.

Diritto alla portabilità

Tutti i dati energetici sono esportabili in formato CSV in qualsiasi momento dalla dashboard. I dati rimangono vostri — sempre.

Diritto alla cancellazione

La cancellazione dell'account comporta l'eliminazione completa dei dati entro 30 giorni. I backup vengono purgati al termine del ciclo di retention.

🏆

Roadmap Certificazioni

Il nostro percorso verso la certificazione formale
Completato
Infrastruttura GDPR
Privacy Policy, Terms of Service, Data Processing Agreement, consenso con timestamp DB. Operativo da giugno 2026.
In corso
ISO/IEC 27001 — Information Security Management
Processo di certificazione avviato. Target: primo semestre 2027. Body di certificazione: DNV o Bureau Veritas Italia.
Pianificato
ISO 9001 — Quality Management System
Certificazione pianificata dopo il raggiungimento dei primi clienti. Documenta i processi di sviluppo, supporto e onboarding.
Futuro
SOC 2 Type II
Rilevante per espansione mercato UK/US. Pianificato dopo consolidamento mercato italiano e raggiungimento di 50+ clienti.
🔍

Responsible Disclosure

Hai trovato una vulnerabilità?

CEI accoglie la segnalazione responsabile di vulnerabilità di sicurezza. Se hai individuato un problema, ti chiediamo di non divulgarlo pubblicamente prima di averci contattato.

Invia una descrizione dettagliata a security@carbonefficiencyintel.com — risponderemo entro 48 ore lavorative. Non intraprendiamo azioni legali contro ricercatori che agiscono in buona fede.

Domande sulla sicurezza?

Il nostro team risponde a tutte le domande tecniche su infrastruttura, conformità GDPR, e DPA entro 24 ore lavorative.

Contatta il team sicurezza →