Legale — Toqen

Sicurezza e divulgazione responsabile

Implementiamo misure di sicurezza tecniche e organizzative adeguate e accogliamo segnalazioni responsabili di vulnerabilità.

TL;DR

  • Cifratura e trasporto sicuro per impostazione predefinita.
  • Isolamento degli ambienti e controlli di accesso rigorosi.
  • Divulgazione responsabile con approccio safe harbor.

Misure di sicurezza

  • Cifratura dei dati in transito mediante protocolli standard di settore e cifratura dei dati a riposo ove applicabile.
  • Meccanismi anti-abuso e di protezione automatizzata, inclusa la mitigazione dei bot e la protezione contro i replay.
  • Separazione logica degli ambienti di sviluppo e produzione con controlli di accesso rigorosi e policy di row-level security (RLS).
  • Revisioni regolari del codice e test automatizzati finalizzati all’individuazione di problemi di sicurezza e affidabilità.
  • Le informazioni dei Launch Partner sono archiviate in database protetti con accesso limitato ai processi di servizio autorizzati.

Le misure di sicurezza sono implementate secondo un approccio basato sul rischio in conformità all’articolo 32 del GDPR e vengono regolarmente riesaminate e adeguate ove necessario.

Per motivi di sicurezza, i dettagli tecnici specifici dei nostri controlli non sono divulgati pubblicamente.

Principi del GDPR e della protezione dei dati UE

Toqen è progettato in conformità ai principi del GDPR, inclusi minimizzazione dei dati, limitazione delle finalità, integrità e riservatezza.

L’architettura del servizio è concepita per evitare la conservazione a lungo termine non necessaria dei dati personali e non si basa, per impostazione predefinita, su profili utente incentrati sull’identità.

Il trattamento dei dati personali è ulteriormente disciplinato dalla nostra Informativa sulla privacy e, ove applicabile, dall’Accordo sul trattamento dei dati (DPA).

Divulgazione responsabile

Se ritieni di aver individuato una vulnerabilità di sicurezza, segnalala a hi@toqen.app.

Esaminiamo le segnalazioni inviate in buona fede secondo un approccio di divulgazione responsabile e safe harbor e miriamo a confermare le segnalazioni valide entro un termine ragionevole.

Non intraprendiamo azioni legali contro persone che svolgono attività di ricerca sulla sicurezza in buona fede, evitano l’accesso ai dati oltre quanto necessario per dimostrare il problema e segnalano le vulnerabilità in modo responsabile.

Infrastruttura e fornitori di servizi

Ci affidiamo a fornitori di infrastrutture e servizi consolidati che operano sulla base di accordi adeguati in materia di protezione dei dati e sicurezza. I controlli di sicurezza sono implementati tramite misure tecniche e organizzative stratificate, anziché fare affidamento sull’oscurità.