Sicurezza del servizio

Responsabilità condivisa

La sicurezza non dipende solo dal codice: anche configurazione dei ruoli, credenziali, dispositivi degli utenti, dati caricati e processi interni del cliente incidono sul livello reale di protezione.

1. Architettura e separazione

La piattaforma è progettata per separare i dati tra aziende e limitare l’accesso in base a ruoli e permessi. Le funzioni operative distinguono superadmin, amministratori aziendali, lead e utenti collaboratori secondo il perimetro configurato.

L’accesso pubblico al sito marketing è separato dall’applicativo privato e dalle API, con configurazioni dedicate per domini, HTTPS e instradamento.

2. Controllo accessi

Gli utenti devono usare credenziali personali e non condivise. Il Cliente deve revocare tempestivamente gli accessi di personale cessato, collaboratori non più autorizzati o account compromessi.

Le autorizzazioni devono essere assegnate secondo il principio del minimo privilegio: ogni utente deve avere solo i permessi necessari al proprio ruolo.

3. Protezione tecnica

Le misure includono HTTPS, header di sicurezza, controllo CORS, configurazioni Nginx, logging, backup, restrizione degli accessi amministrativi, gestione segreti tramite variabili d’ambiente e aggiornamento delle dipendenze.

Le chiavi API, segreti Stripe, credenziali SMTP, token JWT e password database non devono essere inseriti nel codice sorgente né condivisi in chat, ticket o repository pubblici.

4. Log, monitoraggio e incidenti

Il servizio può registrare log tecnici per sicurezza, diagnosi, tracciamento errori, prevenzione abusi e audit. I log devono essere accessibili solo a personale autorizzato e conservati per tempi proporzionati.

Eventuali incidenti devono essere gestiti con raccolta evidenze, contenimento, analisi, ripristino, comunicazione interna e, quando necessario, notifica al cliente o alle autorità competenti.

5. Backup e continuità

Il Fornitore può eseguire backup tecnici per ridurre il rischio di perdita dati. I backup non sostituiscono l’obbligo del Cliente di esportare e conservare copie dei dati necessari ai propri adempimenti organizzativi, fiscali, lavoristici o amministrativi.

6. Vulnerability disclosure

Segnalazioni di vulnerabilità possono essere inviate a security@teamcontrolcenter.it includendo descrizione, impatto, passaggi di riproduzione e contatti. Non sono autorizzati test distruttivi, accessi a dati di terzi, scansioni aggressive o attività che compromettano disponibilità e riservatezza del servizio.

7. Limiti

Nessun sistema può garantire sicurezza assoluta. Il Fornitore adotta misure proporzionate e ragionevoli, ma non risponde per eventi causati da uso improprio, credenziali compromesse, dispositivi infetti, errata configurazione del Cliente, violazioni di terzi o cause di forza maggiore, salvo responsabilità non limitabile per legge.