</>SysExperts
Documento legale

Security & Compliance

Ultimo aggiornamento: 7 aprile 2026

Questa pagina riassume il nostro approccio a sicurezza e compliance, i documenti che mettiamo a disposizione dei clienti, e le garanzie operative che forniamo.

Infrastruttura e Data Residency

L'infrastruttura gestita dal Fornitore e i sistemi utilizzati per l'erogazione dei servizi (sistemistica, DevOps, sicurezza, monitoring) sono ospitati presso data center EU (tipicamente Hetzner DE/FI e provider italiani certificati). Per ciascun Cliente concordiamo la data residency in base ai requisiti.

SLA Garantito

  • P1 (servizio down): prima risposta < 12 minuti, intervento < 30 minuti.
  • P2 (degrado significativo): prima risposta < 30 minuti, intervento < 2 ore.
  • P3 (issue non bloccante): risposta < 4 ore lavorative.
  • P4 (change request, info): risposta < 1 giorno lavorativo.

I SLA sono contrattualizzati con penali in caso di mancato rispetto. Report mensile di performance SLA fornito a ogni Cliente.

Backup Strategy

Applichiamo la strategia 3-2-1 come baseline minima:

  • 3 copie dei dati (produzione + 2 backup)
  • 2 supporti di storage diversi
  • 1 copia off-site geograficamente distante

Dove richiesto, aggiungiamo una copia immutabile (object lock) per protezione ransomware. I ripristini sono testati periodicamente, con documentazione dei tempi reali rispetto agli obiettivi RTO/RPO concordati.

Incident Response

Per ogni Cliente definiamo un piano di incident response che include: escalation path, matrice di comunicazione, runbook per scenari tipici (compromissione, data breach, ransomware, DDoS). Dopo ogni incident forniamo post-mortem scritto con causa radice, timeline, remediation, lessons learned.

GDPR Compliance

Operiamo come responsabili del trattamento (art. 28 GDPR) per i dati dei clienti finali dei nostri Clienti. Mettiamo a disposizione:

  • DPA (Data Processing Agreement): contratto standard ai sensi dell'art. 28 GDPR, personalizzabile.
  • Lista sub-processor: trasparente, aggiornata, notifiche di modifica in anticipo.
  • Data breach notification: procedura documentata entro 24 ore al Cliente.
  • Esercizio diritti interessati: supporto operativo al Cliente per richieste ex artt. 15-22 GDPR.

Il DPA completo è consultabile online. La lista sub-processor aggiornata è disponibile su richiesta scrivendo a [email protected].

Audit Log e Trasparenza

Manteniamo audit log strutturati di tutti gli accessi e interventi sui server gestiti. Log conservati per 12 mesi minimo, accessibili al Cliente su richiesta per eventuali audit interni o verifiche compliance.

Responsabilità sui dati del Cliente

Il Cliente è l'unico titolare e responsabile dei propri dati, configurazioni e contenuti presenti sui sistemi oggetto di intervento. Prima di concedere accessi tecnici al Fornitore, il Cliente è tenuto a disporre di backup completi, verificati e ripristinabili dei propri dati. Il Fornitore non è responsabile per eventuali perdite di dati, a qualsiasi titolo, derivanti dagli interventi tecnici. Per il dettaglio completo delle limitazioni di responsabilità si rimanda ai Termini di Servizio.

Certificazioni

Attualmente non siamo certificati ISO 27001 o SOC 2. Operiamo però applicando best practice allineate a questi framework. Per clienti con requisiti di certificazione formale, collaboriamo con partner specializzati.

Contatti compliance

Per richieste DPA, sub-processor list, questionari security, audit vendor: [email protected]