I dati carta restano al sicuro con noi
Noi custodiamo i dati carta nel vault PCI DSS Livello 1: cifrati, solo in data center europei, con accessi tracciati. Tu non tocchi mai il numero di carta: usi solo il token.
Dati cifrati a riposo
AES-256 nel vault
Data center in UE
I dati carta non escono dall'Europa
Accessi tracciati
Ogni richiesta viene registrata
PCI DSS Livello 1
È il livello più alto di conformità PCI. Significa che il nostro vault viene controllato ogni anno da auditor indipendenti, e tu erediti gran parte di questa protezione.
Audit ogni anno
Un auditor PCI qualificato (QSA) verifica ogni anno che rispettiamo tutti i requisiti. Il report è disponibile per i circuiti di pagamento e, su richiesta, anche per te.
Controlli trimestrali
Ogni trimestre scansioniamo l'infrastruttura esposta su internet. Se troviamo qualcosa da correggere, lo risolviamo prima del controllo successivo.
Meno obblighi per te
Poiché i dati carta stanno nel nostro vault, il tuo perimetro PCI si riduce. Spesso puoi compilare un questionario più semplice (SAQ A) invece di gestire tutto da solo.
I dati carta non escono dall'UE
Archiviamo ed elaboriamo i dati carta solo dentro l'Unione Europea. Niente copie fuori dall'Europa, niente cloud extra-UE per le operazioni sul vault.
Pensato per il GDPR
Contratti di trattamento dati, basi legali e documentazione sono già integrati. Tu sai dove stanno i dati e chi li gestisce: noi, in UE.
Data center in Germania e Paesi Bassi
Infrastruttura ridondante con alta disponibilità. Anche il disaster recovery resta entro i confini europei.
Nessun trasferimento verso l'estero
Chiavi di cifratura, mappature dei token e log di audit restano in giurisdizione UE. Niente rischi legati a trasferimenti di dati fuori dall'Europa.
Cosa ti garantiamo
Cifrati a riposo e in transito
I dati carta non viaggiano mai in chiaro. Li cifriamo quando li archiviamo e quando li spostiamo tra i nostri sistemi.
AES-256 nel vault
A riposoOgni numero di carta nel vault è cifrato con AES-256. Le chiavi restano protette dentro hardware dedicato (HSM). Non le esportiamo mai in chiaro.
TLS 1.3 in transito
Solo connessioni sicureLe API e i flussi di pagamento usano TLS 1.3. Versioni vecchie sono disabilitate. Anche se qualcuno intercettasse il traffico passato, non potrebbe decifrarlo.
Rotazione delle chiavi
Senza interruzioniLe chiavi master ruotano ogni anno, come richiede PCI DSS. La ri-cifratura avviene in background: per te e per i tuoi clienti non cambia nulla.
AES-256
Cifratura a riposo
TLS 1.3
Tra i sistemi
Annuale
Rotazione chiavi
Le chiavi vivono in un HSM
Un HSM è un dispositivo hardware anti-manomissione dove generiamo e custodiamo le chiavi di cifratura. I numeri di carta non escono mai da lì in chiaro.
Certificato FIPS 140-2 Livello 3
Standard riconosciuto per la sicurezza hardware. Se qualcuno tenta di aprire fisicamente il dispositivo, le chiavi vengono distrutte automaticamente.
Chiavi generate dentro l'HSM
Generazione, rotazione e distruzione avvengono solo dentro il confine dell'HSM. Non salviamo chiavi master su disco o in cloud generico.
Anti-manomissione
Sensori e involucri dedicati rilevano tentativi di accesso fisico. In caso di anomalia, il materiale crittografico viene azzerato.
Come fluisce una richiesta
Controlli anti-abuso
Oltre a cifrare e tokenizzare, monitoriamo ogni richiesta. Se qualcosa non torna, blocchiamo o segnaliamo prima che diventi un problema.
Limiti di velocità
Rileviamo picchi anomali di richieste dallo stesso account, IP o chiave API. Soglie configurabili attivano blocchi temporanei e avvisano il team di sicurezza.
Pattern sospetti
Analizziamo i flussi per individuare comportamenti anomali: test sequenziali, volumi insoliti, incoerenze geografiche. Le richieste segnalate vengono fermate secondo la tua policy.
Monitoraggio 24/7
Il nostro team di sicurezza osserva errori, latenza e accessi ai dati. Se qualcosa devia dalla normalità, interveniamo in pochi minuti.
Ci testano anche dall'esterno
Non ci limitiamo agli audit PCI: penetration test e scansioni regolari da terze parti verificano che il vault resti solido.
Penetration test
Due volte l'anno aziende accreditate simulano attacchi su rete e API. Ogni problema trovato viene corretto e verificato di nuovo.
Gestione vulnerabilità
Scansioni interne settimanali su tutti i componenti. Le criticità vengono risolte con tempi definiti: le più gravi entro 24 ore.
Report SOC 2 Type II
Ogni anno auditor indipendenti verificano sicurezza, disponibilità e riservatezza. Su richiesta con NDA, condividiamo il report con i clienti.
Sviluppo sicuro
Ogni modifica al codice passa da revisione e test automatici. Prima di toccare il vault, valutiamo i rischi in modo strutturato.
Risposta agli incidenti
Speriamo non serva mai. Ma se c'è un evento di sicurezza, lo rileviamo, lo conteniamo e ti teniamo informato con trasparenza.
Sempre attivi
Log e alert correlati in tempo reale su tutta l'infrastruttura
Primo intervento
Classifichiamo la gravità e avviamo il contenimento entro 15 minuti
Ti avvisiamo
Se serve, notifichiamo entro 72 ore come previsto da GDPR e PCI
Analisi e fix
Post-mortem con azioni correttive per evitare che si ripeta
Disponibilità: 99,95% di uptime con failover automatico. Un incidente in produzione viene escalato al team senior entro 5 minuti.
99,95% uptimeStandard che rispettiamo
PCI DSS, ISO 27001, ISO 9001, SOC 2, GDPR, DORA e hardware certificato: non sono solo etichette, sono controlli verificati ogni anno.
PCI DSS L1
Massimo livello PCI
FIPS 140-2 L3
Hardware HSM certificato
SOC 2 Type II
Controlli verificati
GDPR
Dati solo in UE
ISO 27001
Sicurezza delle informazioni
ISO 9001
Gestione della qualità
DORA
Resilienza operativa
Audit PCI ogni anno
Report di conformità completo
Scansioni trimestrali
Vulnerabilità esterne
Pen test semestrali
Terze parti accreditate
Vuoi sapere come proteggiamo i tuoi pagamenti?
Noi gestiamo il vault PCI. Tu integri l'API e lavori con i token. Meno rischio, meno burocrazia, stessi pagamenti.