Protezione dei Dati
Tutte le comunicazioni tra il vostro browser, le vostre API, e i server CEI avvengono via TLS 1.3. Nessun dato viaggia in chiaro.
I dati sono memorizzati su Supabase PostgreSQL con crittografia AES-256 a riposo. I backup sono anch'essi crittografati.
PostgreSQL Row-Level Security garantisce che ogni organizzazione veda esclusivamente i propri dati. L'isolamento è applicato a livello di database, non solo applicativo.
Backup giornalieri automatici con retention di 30 giorni. I dati sono replicati su infrastruttura Supabase ridondante.
Controllo degli Accessi
Ogni sessione utilizza JSON Web Token con scadenza automatica. I token di refresh sono ruotati ad ogni utilizzo e invalidati al logout.
I token API (cei_int_) sono hashati con SHA-256 prima della memorizzazione. Il token in chiaro è mostrato una sola volta al momento della creazione.
Sistema di ruoli granulare: Owner, Admin, Member. Gli Owner controllano chi ha accesso all'organizzazione. Nessun accesso cross-org senza autorizzazione esplicita.
Il team CEI non accede ai dati dei clienti salvo richiesta esplicita di supporto tecnico, documentata nel registro audit dell'organizzazione.
Infrastruttura
| Componente | Provider | Dettaglio |
|---|---|---|
| Database | Supabase (PostgreSQL) | Regione EU — AWS eu-central-1 (Francoforte). SOC 2 Type II certificato. |
| Backend API | Render | FastAPI/Python. Deploy automatico da repository privato. Logs strutturati con request_id per audit completo. |
| Frontend | Vercel | React/TypeScript. CDN globale. HTTPS forzato su tutti i domini. |
| DNS / CDN | Cloudflare | DDoS protection attiva. WAF (Web Application Firewall) su tutti gli endpoint pubblici. |
| Email transazionale | Resend | SPF, DKIM, DMARC configurati. Nessun dato cliente incluso nelle email di sistema. |
| Pagamenti | Stripe | PCI DSS Level 1. CEI non memorizza dati di carte di credito — gestione interamente delegata a Stripe. |
GDPR e Conformità
Il trattamento dei dati energetici avviene su base contrattuale (Art. 6.1.b GDPR). Il consenso esplicito è acquisito e timestampato al momento della registrazione.
CEI agisce come Responsabile del Trattamento (Data Processor) per i dati energetici dei clienti. DPA disponibile su richiesta — conforme Art. 28 GDPR.
Tutti i dati energetici sono esportabili in formato CSV in qualsiasi momento dalla dashboard. I dati rimangono vostri — sempre.
La cancellazione dell'account comporta l'eliminazione completa dei dati entro 30 giorni. I backup vengono purgati al termine del ciclo di retention.
Roadmap Certificazioni
Responsible Disclosure
CEI accoglie la segnalazione responsabile di vulnerabilità di sicurezza. Se hai individuato un problema, ti chiediamo di non divulgarlo pubblicamente prima di averci contattato.
Invia una descrizione dettagliata a security@carbonefficiencyintel.com — risponderemo entro 48 ore lavorative. Non intraprendiamo azioni legali contro ricercatori che agiscono in buona fede.
Domande sulla sicurezza?
Il nostro team risponde a tutte le domande tecniche su infrastruttura, conformità GDPR, e DPA entro 24 ore lavorative.
Contatta il team sicurezza →