Privacy policy

1. Titolare del trattamento

I dati personali inviati tramite questo sito web sono trattati da CERTCRYPT.

Per qualsiasi richiesta relativa alla privacy o alla protezione dei dati, può contattare:

[email protected]

CERTCRYPT è attualmente in fase di strutturazione organizzativa formale. La presente Privacy Policy può essere aggiornata per riflettere cambiamenti nello status giuridico o nella governance.

2. Ambito

La presente Privacy Policy si applica a certcrypt.com e alle relative pagine pubbliche del sito web e ai sottodomini gestiti direttamente da CERTCRYPT, inclusi blog.certcrypt.com, docs.certcrypt.com e altre proprietà pubbliche *.certcrypt.com.

Si applica ai dati personali trattati tramite il modulo di contatto, il flusso di invio dei casi d'uso e il funzionamento tecnico del sito web.

Non si applica a siti web o servizi di terzi che possano essere richiamati o collegati da questo sito.

3. Come leggere questa Privacy Policy

La presente Privacy Policy ha lo scopo di spiegare come CERTCRYPT tratta i dati personali in relazione al sito web pubblico.

Si tratta di un documento pubblico informativo che descrive un trattamento limitato dei dati collegato al sito web. Non è un manuale interno di compliance né un documento interno di policy operativa.

Quando la presente Privacy Policy fa riferimento al trattamento del sito web, si riferisce all'ambiente del sito web pubblico e ai relativi canali di comunicazione e intake descritti di seguito.

4. Fonti dei dati personali

CERTCRYPT riceve generalmente i dati personali direttamente da lei quando sceglie di inviarli tramite il sito web o quando i dati tecnici vengono generati dal funzionamento del sito web.

A seconda dell'interazione, i dati personali possono provenire da:

• Informazioni che inserisce nel modulo di contatto
• Informazioni che inserisce nel flusso di invio dei casi d'uso
• Metadati tecnici delle richieste e del browser generati durante l'accesso al sito web
• Sistemi di sicurezza e prevenzione degli abusi utilizzati per proteggere moduli e infrastruttura del sito web
• Meccanismi analitici opzionali che operano solo dove sia stato fornito il consenso

5. Infrastruttura zero-data e confine del sito web

I principi zero-data e proof-without-custody di CERTCRYPT si applicano al modello di infrastruttura di certificazione. Non eliminano la necessità di un trattamento limitato dei dati per il funzionamento di un sito web pubblico.

Quando comunica con CERTCRYPT tramite questo sito web, o quando invia un caso d'uso per revisione interna, determinati dati personali e tecnici devono essere trattati affinché il sito web possa funzionare in modo sicuro e le richieste inviate possano essere gestite responsabilmente.

Distinguiamo pertanto tra il modello di infrastruttura di certificazione e il trattamento limitato dei dati operativi necessario per gestire certcrypt.com.

6. Dati del modulo di contatto

Quando invia il modulo di contatto, possiamo trattare le informazioni che sceglie di fornire insieme a metadati tecnici limitati necessari per recapito, prevenzione degli abusi e gestione della risposta.

CERTCRYPT non richiede dati personali sensibili tramite il canale di contatto e le chiede di non inviare informazioni personali o riservate non necessarie nei campi di testo libero.

• Nome completo
• Indirizzo e-mail
• Oggetto
• Contenuto del messaggio
• Metadati di recapito del messaggio e di gestione della risposta
• Token di verifica di sicurezza utilizzati per validare invii effettuati da persone
• Metadati di base della richiesta, quali timestamp, indirizzo IP e informazioni user-agent acquisite nei log del server

7. Dati di invio dei casi d'uso

Quando utilizza il flusso di invio dei casi d'uso, CERTCRYPT può trattare sia le informazioni che fornisce attivamente sia metadati limitati di revisione generati come parte del processo di intake.

Il flusso dei casi d'uso supporta la progressione delle bozze e la revisione prima dell'invio finale. Di conseguenza, determinati dati possono essere memorizzati prima che completi l'ultima fase di invio.

• Nome completo
• Indirizzo e-mail
• Organizzazione
• Paese o regione
• Tipo di caso d'uso e campi descrittivi correlati
• Descrizione del caso d'uso e note aggiuntive
• Settore aziendale e relativo contesto operativo
• Volume previsto, urgenza e modalità di integrazione
• Identificatori di bozza e stato dell'invio
• Metadati interni di revisione, come stato di completamento, segnali di priorità e campi di punteggio
• Dati IP hashati e dati user-agent associati alla creazione, all'aggiornamento e alla sicurezza dell'invio della bozza

I casi d'uso inviati sono esaminati internamente. L'invio non implica selezione, accettazione, onboarding o comunicazioni di follow-up.

8. Dati tecnici del sito web e prevenzione degli abusi

Quando naviga nel sito web o interagisce con moduli protetti, informazioni tecniche limitate possono essere trattate automaticamente per sicurezza operativa, integrità del traffico, prevenzione degli abusi e prestazioni tecniche.

I siti web pubblici di CERTCRYPT possono inoltre essere erogati o protetti tramite l'infrastruttura Cloudflare, che può trattare dati tecnici limitati delle richieste nell'ambito di proxy delle richieste, filtraggio del traffico, caching, terminazione TLS e relative funzioni di sicurezza.

Parte di questo trattamento esiste specificamente per rilevare bot, spam, frodi, automazione ostile, invii malformati o traffico abusivo ripetuto. I moduli protetti possono utilizzare Cloudflare Turnstile per verifica di sicurezza e prevenzione degli abusi.

Se abilita cookie analitici opzionali, possono inoltre essere trattate statistiche aggregate di utilizzo per migliorare le prestazioni tecniche. Tali statistiche sono usate in forma aggregata e non vengono utilizzate per profilazione o pubblicità comportamentale.

• Dati dei log del server
• Indirizzo IP e relativi metadati di richiesta di rete
• Informazioni user-agent e informazioni di richiesta di dispositivo/browser
• Segnali di challenge di sicurezza o verifica anti-bot utilizzati per la prevenzione degli abusi
• Segnali di rate limiting, prevenzione degli abusi e monitoraggio della sicurezza
• Dati di cookie essenziali richiesti per un funzionamento sicuro
• Dati analitici opzionali nei casi in cui sia stato prestato il consenso

9. Finalità del trattamento

I dati personali sono trattati solo per finalità legittime e limitate del sito web, quali gestione delle comunicazioni, revisione interna dei casi d'uso, prevenzione degli abusi e funzionamento tecnico sicuro.

Tali finalità possono includere:

• Esaminare richieste istituzionali, tecniche o strategiche
• Rispondere, ove appropriato, alle richieste di contatto inviate
• Ricevere, archiviare, esaminare e prioritizzare internamente i casi d'uso inviati
• Determinare se siano necessari chiarimenti o comunicazioni di follow-up per un caso d'uso inviato
• Prevenire abusi, spam o attività malevole
• Mantenere la sicurezza operativa e tecnica
• Migliorare le prestazioni tecniche quando sono abilitate analitiche opzionali

10. Cosa CERTCRYPT non fa

CERTCRYPT applica un approccio restrittivo al trattamento dei dati del sito web.

CERTCRYPT non utilizza i dati personali ottenuti tramite il sito web per:

• Profilazione comportamentale
• Pubblicità mirata
• Vendita o rivendita di dati
• Automazione di marketing non correlata a una richiesta inviata
• Divulgazione pubblica di contenuti inviati tramite contatti o casi d'uso
• Raccolta di documenti degli utenti tramite moduli pubblici del sito web nell'ambito del normale funzionamento del sito

11. Base giuridica

Il trattamento viene effettuato sulla base di comunicazioni avviate dall'utente, di interessi legittimi nel funzionamento sicuro del sito web e nella prevenzione degli abusi e, ove applicabile, del consenso quando questo costituisce la base giuridica appropriata.

L'invio del modulo di contatto o del modulo del caso d'uso implica una sua richiesta a CERTCRYPT di esaminare le informazioni inviate per la finalità dichiarata del sito web.

I cookie analitici opzionali vengono attivati solo quando fornisce il suo consenso tramite il banner dei cookie.

• Rispondere a richieste avviate dall'utente
• Esaminare invii di casi d'uso avviati dall'utente
• Mantenere il funzionamento sicuro del sito web
• Garantire integrità tecnica e controlli di prevenzione degli abusi

12. Minimizzazione dei dati

CERTCRYPT applica un approccio rigoroso di minimizzazione.

Vengono trattati solo i dati necessari per comunicazioni sicure, gestione di invii avviati dall'utente, misure di prevenzione degli abusi e funzionamento essenziale del sito web.

CERTCRYPT non tratta più dati di quanto sia ragionevolmente necessario per la finalità del sito web da lei invocata.

13. Conservazione

I dati personali sono conservati solo per periodi ragionevolmente necessari alle finalità descritte nella presente Privacy Policy, nel rispetto di requisiti operativi, legali, di compliance e di sicurezza.

I tempi di conservazione possono variare a seconda della categoria di dati e del contesto di trattamento.

• Le richieste di contatto possono essere conservate per la gestione delle comunicazioni, la continuità operativa, eventuali follow-up e la revisione della sicurezza
• Le bozze dei casi d'uso possono essere conservate per il tempo necessario a supportare la progressione della bozza, la gestione dello stato di revisione interna, la prevenzione degli abusi e i relativi controlli operativi
• I casi d'uso inviati possono essere conservati per revisione interna, prioritizzazione e limitato follow-up operativo
• I log del server e i metadati relativi alla sicurezza possono essere conservati per periodi tecnici limitati coerenti con le pratiche di sicurezza operativa
• I dati analitici opzionali, ove abilitati, possono essere conservati secondo la configurazione tecnica e di reporting limitata del servizio analitico utilizzato

I dati non sono destinati a essere conservati oltre quanto ragionevolmente necessario per le finalita del sito web descritte nella presente Privacy Policy.

14. Responsabili del trattamento terzi

Alcune funzioni tecniche possono coinvolgere responsabili del trattamento terzi di fiducia che forniscono servizi relativi a:

Tali responsabili agiscono esclusivamente per finalita di erogazione operativa, sicurezza o prestazioni tecniche e non utilizzano i dati per finalita commerciali indipendenti.

Laddove tali fornitori operino in piu giurisdizioni, vengono implementate adeguate salvaguardie coerenti con gli standard applicabili di protezione dei dati.

• Fornitori di recapito e-mail
• Infrastruttura Cloudflare utilizzata per la distribuzione del sito web pubblico, proxying, caching, terminazione TLS e relative funzioni di sicurezza
• Fornitori di infrastruttura di hosting
• Fornitori di infrastruttura di database o archiviazione
• Cloudflare Turnstile e servizi comparabili di challenge di sicurezza o verifica anti-bot utilizzati per la prevenzione degli abusi
• Fornitori di analitiche opzionali (se abilitate)

15. Trattamento internazionale

Se i dati vengono trattati al di fuori della giurisdizione dalla quale sono stati inviati, tale trattamento avviene sulla base di adeguate salvaguardie coerenti con i requisiti applicabili di protezione dei dati.

A seconda dell'infrastruttura, dell'architettura dei fornitori di servizi e delle esigenze operative, i dati possono essere trattati in piu di una giurisdizione.

16. Sicurezza

CERTCRYPT adotta misure tecniche e organizzative ragionevoli progettate per proteggere i dati trattati da accessi non autorizzati, uso improprio, perdita o divulgazione.

Ciò include misure volte a ridurre abusi, automazione malevola e accessi non autorizzati ai canali di invio del sito web.

Nessun sistema online può garantire sicurezza assoluta. I controlli di sicurezza vengono periodicamente riesaminati e migliorati.

17. Minori

Questo sito web è destinato a un utilizzo professionale, organizzativo e generale d'impresa o tecnico e non è rivolto ai minori.

CERTCRYPT non sollecita intenzionalmente né raccoglie consapevolmente dati personali di minori tramite i moduli pubblici del sito web.

18. Processo decisionale automatizzato e profilazione

CERTCRYPT non utilizza i dati personali inviati tramite il sito web pubblico per prendere decisioni automatizzate giuridicamente significative che la riguardino.

CERTCRYPT non utilizza i dati personali inviati tramite il sito web per profilazione comportamentale o pubblicità mirata.

19. I suoi diritti e reclami

Può richiedere:

Per esercitare tali richieste, la preghiamo di contattare:

[email protected]

Le richieste saranno esaminate e gestite in conformità con i requisiti applicabili in materia di protezione dei dati.

Ove il diritto applicabile preveda tale facoltà, può inoltre presentare reclamo a un'autorità di controllo competente in materia di protezione dei dati.

• Accesso ai dati personali inviati tramite i canali di contatto o dei casi d'uso
• Rettifica di dati inesatti
• Cancellazione di dati personali
• Limitazione del trattamento ove applicabile
• Opposizione al trattamento ove applicabile

20. Cookie e tracciamento

CERTCRYPT adotta un approccio minimo e orientato alla sicurezza nell'uso dei cookie.

Il sito web utilizza cookie essenziali necessari per un funzionamento sicuro. I cookie analitici opzionali possono essere attivati solo con il suo consenso.

CERTCRYPT non utilizza tecnologie pubblicitarie o di tracciamento comportamentale.

Per maggiori informazioni, consulti la nostra Cookie policy.

21. Modifiche

La presente Privacy Policy può essere aggiornata man mano che l'operatività del sito web, il design dell'infrastruttura, le aspettative legali o i requisiti di compliance evolvono.

La data di revisione effettiva è indicata nella parte superiore di questa pagina.