# La sicurezza dei Suoi contratti è la nostra priorità

Source: https://contracko.com/it/funzionalita/sicurezza

# La sicurezza dei Suoi contratti è la nostra priorità

Ogni partner infrastrutturale che utilizziamo, ogni integrazione che costruiamo e ogni decisione architetturale che prendiamo parte da un'unica domanda: come manteniamo al sicuro i Suoi dati contrattuali?

[Inizia la prova gratuita di 7 giorni](https://app.contracko.com/register?appLanguage=it)

Prenota una demo

Nessuna carta di credito richiesta

GDPR

2FA

Cifrato

[CSA STAR Level 1](https://cloudsecurityalliance.org/star/registry/contracko)

> Tutto inizia dalla sicurezza. Dai partner che scegliamo alle integrazioni che costruiamo.

Contracko opera su infrastruttura gestita da fornitori certificati ISO/IEC 27001 e SOC 2 Type II, con cifratura a ogni livello, autenticazione a due fattori su ogni account e un netto rifiuto all'addestramento di modelli sui contratti dei clienti.

## Infrastruttura certificata, dalla A alla Z

Ogni livello di Contracko opera su infrastruttura di partner accuratamente selezionati con attestazioni di sicurezza riconosciute a livello internazionale. Le certificazioni riportate di seguito sono detenute da quei fornitori, non da Contracko stessa.

### Web hosting

Hetzner

Regione UEISO/IEC 27001:2022

La nostra applicazione opera su Hetzner Cloud. Hetzner detiene la certificazione ISO/IEC 27001:2022 nei suoi data center tedeschi, lo standard internazionale per la gestione della sicurezza delle informazioni, ed è sottoposta a audit annuali da terze parti indipendenti.

### Database

PlanetScale su AWS

Regione UESOC 2 Type II

I Suoi record contrattuali risiedono in un cluster PlanetScale Postgres gestito in esecuzione su AWS nell'UE. PlanetScale è continuamente sottoposta ad audit da un ente contabile statunitense secondo lo standard SOC 2 Type II.

### Object storage

Cloudflare R2

Regione UEISO 27001SOC 2 Type II

I contratti caricati e le esportazioni risiedono in Cloudflare R2 con garanzie di giurisdizione UE. Cloudflare detiene sia l'attestazione ISO 27001 che la SOC 2 Type II.

Residenza dei dati

Tutti i dati dei clienti (applicazione, database e file caricati) sono conservati in data center UE. Un Accordo sul Trattamento dei Dati (DPA) firmato in base alle clausole contrattuali standard della Commissione Europea è disponibile su richiesta. Il nostro registro delle attività di trattamento è pubblicato nella nostra [informativa sulla privacy](https://contracko.com/it/informativa-sulla-privacy).

Roadmap di conformità

SOC 2 e ISO 27001 sono nella nostra roadmap. Come primo passo, abbiamo completato un'autovalutazione CSA STAR Livello 1 (CAIQ v4) e siamo elencati nel [Registro CSA STAR](https://cloudsecurityalliance.org/star/registry/contracko).

## Cifrato in transito e a riposo

Viene utilizzata una cifratura robusta ovunque si muovano i Suoi dati, con protocolli e algoritmi conformi agli standard del settore.

### TLS 1.2 / 1.3 in transito

Ogni connessione a Contracko è cifrata con TLS 1.2 o 1.3, utilizzando certificati rinnovati automaticamente. Imponiamo HTTPS tramite HSTS, in modo che i browser rifiutino di tornare a connessioni non cifrate.

Cosa significa: Ogni connessione tra il Suo browser e Contracko è protetta dallo stesso protocollo di cifratura utilizzato dalle banche online e dai servizi pubblici.

### AES-256 a riposo

I record contrattuali, i file caricati e lo stato operativo sono tutti archiviati con cifratura AES-256 a riposo, gestita dai nostri fornitori di infrastruttura nell'ambito dei loro programmi certificati di gestione delle chiavi.

Cosa significa: Se qualcuno entrasse in possesso dei dischi fisici su cui risiedono i nostri dati, i contratti in essi contenuti risulterebbero comunque illeggibili. Senza le chiavi di cifratura, il contenuto resta inaccessibile.

### Backup cifrati

I Suoi dati vengono salvati con snapshot cifrati, ripristino a un momento preciso e protezioni di immutabilità che preservano i backup da modifiche o cancellazioni.

Cosa significa: Se i dati dovessero andare persi, danneggiarsi o essere colpiti da ransomware, possiamo ripristinarli a un momento precedente da backup protetti da manomissioni.

## Firme elettroniche giuridicamente vincolanti

Quando invia un contratto per la firma in Contracko, le firme sono progettate per essere giuridicamente vincolanti secondo le principali normative sulla firma elettronica, con autenticazione, intenzione del firmatario acquisita e un audit trail completo dietro ogni documento firmato.

### Valida secondo ESIGN e UETA

Negli Stati Uniti, la legge federale ESIGN e la UETA a livello statale attribuiscono alle firme elettroniche lo stesso valore legale di una firma autografa. I firmatari vengono autenticati tramite email, la loro intenzione di firmare viene acquisita e il documento firmato viene conservato sul contratto, così le firme soddisfano i requisiti fondamentali di entrambe.

### Firma elettronica eIDAS nell'UE

Nell'UE, il regolamento eIDAS attribuisce alle firme elettroniche efficacia giuridica e ammissibilità in tribunale. Contracko produce una firma elettronica semplice ai sensi di eIDAS: l'intenzione di firma è collegata al firmatario e la firma è vincolata al documento, in modo che qualsiasi modifica successiva possa essere rilevata.

### Audit trail e rilevamento delle manomissioni

Ogni passaggio viene registrato: inviato, visualizzato, firmato, rifiutato e completato. Al termine della firma, il PDF firmato e un registro di completamento vengono archiviati sul contratto e il documento viene vincolato alle firme, così qualsiasi modifica successiva è rilevabile.

Le normative sulla firma elettronica variano da Paese a Paese. Le firme di Contracko sono progettate per soddisfare ESIGN, UETA ed eIDAS; verifichi i requisiti applicabili nel luogo in cui opera.

## Accesso e sicurezza che crescono con Lei

Controlli chi ha accesso a quali contratti, applichi le best practice per la sicurezza degli account e offra gli standard di identità aziendale di cui il Suo team IT si fida.

### Autenticazione a due fattori su ogni account

Ogni account può abilitare il 2FA basato su TOTP con codici di backup dalle impostazioni dell'account. Disponibile oggi, gratuito su tutti i piani. Le azioni critiche possono richiedere un nuovo secondo fattore.

### Accesso basato sui ruoli, definito per contratto

I permessi sono definiti per organizzazione e per contratto, con ruoli chiaramente delineati per titolari, collaboratori e visualizzatori. Le persone giuste vedono esattamente ciò che devono vedere.

### Single Sign-On per le aziende

Nel piano Big Business, i team possono collegare Contracko al proprio provider di identità esistente con Single Sign-On OIDC self-service, inclusi Microsoft Entra, Google Workspace, Okta e qualsiasi provider conforme a OIDC (SAML su richiesta). Il Suo team IT gestisce chi ha accesso, impone il 2FA in modo centralizzato e provisiona o revoca gli account da un unico posto.

## I Suoi contratti non sono dati di addestramento

Contracko utilizza modelli di IA di terze parti per l'analisi dei contratti e l'estrazione dei dati. In base alle loro condizioni API predefinite, il Suo contenuto è già escluso dall'addestramento. Inoltre, abbiamo accordi di Zero Data Retention con OpenAI e Mistral.

### Addestramento escluso per impostazione predefinita

Utilizziamo ogni fornitore di IA tramite le rispettive condizioni API commerciali, che escludono contrattualmente i prompt e gli output dei clienti dall'addestramento di futuri modelli.

### Zero Data Retention

Abbiamo accordi di Zero Data Retention con OpenAI e Mistral, quindi il contenuto dei prompt non viene conservato oltre quanto strettamente necessario per restituire una risposta. Google Gemini opera secondo condizioni commerciali che escludono i Suoi dati dall'addestramento, ma non ancora nell'ambito di un accordo di Zero Data Retention.

L'elenco completo dei fornitori di IA che trattano i dati dei clienti è dettagliato nel nostro Accordo sul Trattamento dei Dati, disponibile su richiesta tramite il nostro [modulo di contatto](https://contracko.com/contact?utm_source=features&utm_medium=security&utm_campaign=dpa_request&utm_content=ai_subprocessors).

## Domande frequenti

Trovi le risposte alle domande più comuni su questa funzionalità.

- **Q:** Dove vengono archiviati i miei dati contrattuali?
  **A:** Tutti i dati dei clienti (applicazione, database e file caricati) sono conservati in data center UE gestiti da fornitori con attestazioni ISO/IEC 27001 e SOC 2 Type II.

- **Q:** I miei contratti vengono utilizzati per addestrare modelli di IA?
  **A:** No. In base alle condizioni API commerciali di ogni fornitore di IA, il contenuto dei clienti è contrattualmente escluso dall'addestramento dei modelli. Inoltre, abbiamo accordi di Zero Data Retention con OpenAI e Mistral, che eliminano anche la conservazione sistematica del contenuto dei prompt. Google Gemini opera secondo condizioni commerciali senza addestramento, ma non ancora nell'ambito di un accordo di Zero Data Retention.

- **Q:** Offrite un Accordo sul Trattamento dei Dati (DPA)?
  **A:** Sì. Un DPA firmato basato sulle clausole contrattuali standard della Commissione Europea è disponibile su richiesta tramite il nostro modulo di contatto.

- **Q:** Siete certificati SOC 2 o ISO 27001?
  **A:** Non ancora. SOC 2 e ISO 27001 sono nella nostra roadmap. Come primo passo, abbiamo completato un'autovalutazione CSA STAR Livello 1 (CAIQ v4) e siamo elencati nel Registro CSA STAR. I fornitori di infrastruttura su cui ci affidiamo possiedono già le attestazioni ISO/IEC 27001:2022 e SOC 2 Type II.

- **Q:** Posso abilitare l'autenticazione a due fattori sul mio account?
  **A:** Sì. Ogni account può abilitare il 2FA basato su TOTP con codici di backup dalle impostazioni dell'account, disponibile su tutti i piani.

- **Q:** Supportate il Single Sign-On (SSO)?
  **A:** Sì. Il Single Sign-On self-service è disponibile nel piano Big Business. Colleghi qualsiasi provider di identità OIDC, inclusi Microsoft Entra, Google Workspace, Okta, Auth0, JumpCloud e Keycloak, direttamente dalle impostazioni. La configurazione SAML e di provider di identità personalizzati è disponibile su richiesta.

- **Q:** Eseguite il backup dei miei dati?
  **A:** Sì. I Suoi dati vengono salvati con snapshot cifrati e ripristino a un momento preciso, protetti da controlli di immutabilità che prevengono cancellazioni accidentali o manomissioni.

## Avanzi più velocemente sui contratti senza compromettere la sicurezza

Gestione contratti con IA, con infrastruttura certificata e autenticazione a due fattori su ogni account. Gratuita per iniziare.

[Inizia la prova gratuita di 7 giorni](https://app.contracko.com/register?appLanguage=it)

Prenota una demo
