Sicurezza

I dati carta restano al sicuro con noi

Noi custodiamo i dati carta nel vault PCI DSS Livello 1: cifrati, solo in data center europei, con accessi tracciati. Tu non tocchi mai il numero di carta: usi solo il token.

Certificazione

PCI DSS Livello 1

È il livello più alto di conformità PCI. Significa che il nostro vault viene controllato ogni anno da auditor indipendenti, e tu erediti gran parte di questa protezione.

Audit ogni anno

Un auditor PCI qualificato (QSA) verifica ogni anno che rispettiamo tutti i requisiti. Il report è disponibile per i circuiti di pagamento e, su richiesta, anche per te.

Controlli trimestrali

Ogni trimestre scansioniamo l'infrastruttura esposta su internet. Se troviamo qualcosa da correggere, lo risolviamo prima del controllo successivo.

Meno obblighi per te

Poiché i dati carta stanno nel nostro vault, il tuo perimetro PCI si riduce. Spesso puoi compilare un questionario più semplice (SAQ A) invece di gestire tutto da solo.

Solo in Europa

I dati carta non escono dall'UE

Archiviamo ed elaboriamo i dati carta solo dentro l'Unione Europea. Niente copie fuori dall'Europa, niente cloud extra-UE per le operazioni sul vault.

Pensato per il GDPR

Contratti di trattamento dati, basi legali e documentazione sono già integrati. Tu sai dove stanno i dati e chi li gestisce: noi, in UE.

Data center in Germania e Paesi Bassi

Infrastruttura ridondante con alta disponibilità. Anche il disaster recovery resta entro i confini europei.

Nessun trasferimento verso l'estero

Chiavi di cifratura, mappature dei token e log di audit restano in giurisdizione UE. Niente rischi legati a trasferimenti di dati fuori dall'Europa.

Cosa ti garantiamo

Dati carta archiviati solo in data center UE
Chiavi di cifratura generate e custodite in UE
DPA conforme all'art. 28 GDPR disponibile
Nessun sub-responsabile extra-UE per il vault
Disaster recovery dentro i confini UE
Cifratura

Cifrati a riposo e in transito

I dati carta non viaggiano mai in chiaro. Li cifriamo quando li archiviamo e quando li spostiamo tra i nostri sistemi.

01

AES-256 nel vault

A riposo

Ogni numero di carta nel vault è cifrato con AES-256. Le chiavi restano protette dentro hardware dedicato (HSM). Non le esportiamo mai in chiaro.

02

TLS 1.3 in transito

Solo connessioni sicure

Le API e i flussi di pagamento usano TLS 1.3. Versioni vecchie sono disabilitate. Anche se qualcuno intercettasse il traffico passato, non potrebbe decifrarlo.

03

Rotazione delle chiavi

Senza interruzioni

Le chiavi master ruotano ogni anno, come richiede PCI DSS. La ri-cifratura avviene in background: per te e per i tuoi clienti non cambia nulla.

AES-256

Cifratura a riposo

TLS 1.3

Tra i sistemi

Annuale

Rotazione chiavi

Hardware dedicato

Le chiavi vivono in un HSM

Un HSM è un dispositivo hardware anti-manomissione dove generiamo e custodiamo le chiavi di cifratura. I numeri di carta non escono mai da lì in chiaro.

Certificato FIPS 140-2 Livello 3

Standard riconosciuto per la sicurezza hardware. Se qualcuno tenta di aprire fisicamente il dispositivo, le chiavi vengono distrutte automaticamente.

Chiavi generate dentro l'HSM

Generazione, rotazione e distruzione avvengono solo dentro il confine dell'HSM. Non salviamo chiavi master su disco o in cloud generico.

Anti-manomissione

Sensori e involucri dedicati rilevano tentativi di accesso fisico. In caso di anomalia, il materiale crittografico viene azzerato.

Come fluisce una richiesta

La tua richiesta API (TLS 1.3)
Motore PCI Proxy Riceve i dati carta e crea il token
HSM (FIPS 140-2 L3) Genera chiavi e cifra i dati carta
Vault cifrato (AES-256) Numero di carta cifrato, chiavi solo nell'HSM
Protezione attiva

Controlli anti-abuso

Oltre a cifrare e tokenizzare, monitoriamo ogni richiesta. Se qualcosa non torna, blocchiamo o segnaliamo prima che diventi un problema.

Limiti di velocità

Rileviamo picchi anomali di richieste dallo stesso account, IP o chiave API. Soglie configurabili attivano blocchi temporanei e avvisano il team di sicurezza.

Pattern sospetti

Analizziamo i flussi per individuare comportamenti anomali: test sequenziali, volumi insoliti, incoerenze geografiche. Le richieste segnalate vengono fermate secondo la tua policy.

Monitoraggio 24/7

Il nostro team di sicurezza osserva errori, latenza e accessi ai dati. Se qualcosa devia dalla normalità, interveniamo in pochi minuti.

Controlli esterni

Ci testano anche dall'esterno

Non ci limitiamo agli audit PCI: penetration test e scansioni regolari da terze parti verificano che il vault resti solido.

01

Penetration test

Due volte l'anno aziende accreditate simulano attacchi su rete e API. Ogni problema trovato viene corretto e verificato di nuovo.

02

Gestione vulnerabilità

Scansioni interne settimanali su tutti i componenti. Le criticità vengono risolte con tempi definiti: le più gravi entro 24 ore.

03

Report SOC 2 Type II

Ogni anno auditor indipendenti verificano sicurezza, disponibilità e riservatezza. Su richiesta con NDA, condividiamo il report con i clienti.

04

Sviluppo sicuro

Ogni modifica al codice passa da revisione e test automatici. Prima di toccare il vault, valutiamo i rischi in modo strutturato.

Se succede qualcosa

Risposta agli incidenti

Speriamo non serva mai. Ma se c'è un evento di sicurezza, lo rileviamo, lo conteniamo e ti teniamo informato con trasparenza.

24/7
Monitoraggio

Sempre attivi

Log e alert correlati in tempo reale su tutta l'infrastruttura

<15m
Rilevamento

Primo intervento

Classifichiamo la gravità e avviamo il contenimento entro 15 minuti

<72h
Comunicazione

Ti avvisiamo

Se serve, notifichiamo entro 72 ore come previsto da GDPR e PCI

Dopo
Miglioramento

Analisi e fix

Post-mortem con azioni correttive per evitare che si ripeta

Disponibilità: 99,95% di uptime con failover automatico. Un incidente in produzione viene escalato al team senior entro 5 minuti.

99,95% uptime
Certificazioni

Standard che rispettiamo

PCI DSS, ISO 27001, ISO 9001, SOC 2, GDPR, DORA e hardware certificato: non sono solo etichette, sono controlli verificati ogni anno.

PCI DSS L1

Massimo livello PCI

FIPS 140-2 L3

Hardware HSM certificato

SOC 2 Type II

Controlli verificati

GDPR

Dati solo in UE

ISO 27001

Sicurezza delle informazioni

ISO 9001

Gestione della qualità

DORA

Resilienza operativa

Audit PCI ogni anno

Report di conformità completo

Scansioni trimestrali

Vulnerabilità esterne

Pen test semestrali

Terze parti accreditate

Vuoi sapere come proteggiamo i tuoi pagamenti?

Noi gestiamo il vault PCI. Tu integri l'API e lavori con i token. Meno rischio, meno burocrazia, stessi pagamenti.