Sicurezza e controllo dei dati
Sicurezza non è sufficiente. Le organizzazioni enterprise richiedono controllo dimostrabile: su ogni accesso, ogni analisi, ogni output. Quvant è progettato per questo.
Dove vivono i tuoi dati
I dati delle analisi sono conservati su MongoDB Atlas, regione Milano (eu-south-1), all'interno dello Spazio Economico Europeo. Storage cifrato a riposo (encryption at rest), replica set a 3 nodi per alta disponibilità, backup continuo automatizzato con point-in-time recovery. L'elaborazione avviene su infrastruttura EU West (Amsterdam). Nessun dato attraversa confini extra-UE.
Ogni cliente opera in uno spazio logicamente isolato. Le analisi, gli evidence pack e i log di un'organizzazione non sono mai accessibili da un'altra.
Piano Enterprise: BYOC (Bring Your Own Cloud) in roadmap H2 2026 — esecuzione delle analisi all'interno del cloud del cliente, con controllo totale su residenza ed accesso ai dati.
Prova
- Milano · eu-south-1
- Encryption at rest
- Multi-tenant isolation
Audit trail e immutabilità
SHA-256 append-only: ogni Evidence Pack è firmato crittograficamente al momento della creazione. Nessuna modifica retroattiva possibile — qualsiasi alterazione successiva è rilevabile.
RFC 3161 TSA (Enterprise): Trusted Timestamping con timestamp authority esterna certificata. Il timestamp è verificabile da auditor terzi senza dipendenza da Quvant. In implementazione, disponibile Q3 2026.
Prova
- Vault SHA-256
- Audit trail append-only
- Tamper-evidence
Compliance e certificazioni
- GDPR: nessun dato personale richiesto per il funzionamento del servizio (no personal data by design).
- L'infrastruttura sottostante MongoDB Atlas è certificata SOC 2 e ISO 27001.
- Certificazione SOC 2 Type II di Quvant: in roadmap H2 2026.
- Certificazione ISO 27001 di Quvant: in valutazione.
Prova
- GDPR · no personal data
- Atlas SOC 2 · ISO 27001
Autenticazione e accesso
- Accesso passwordless tramite magic link monouso, valido 15 minuti.
- SSO/SAML per il piano Enterprise: in implementazione Q3 2026.
- 2FA opzionale sul piano Professional, obbligatoria sul piano Enterprise.
Prova
- Magic link monouso
- 2FA su Professional/Enterprise
- SSO/SAML — Q3 2026
Scala di Sovranità
| Modello | Piano | Residenza dati | Controllo |
|---|---|---|---|
| Managed EU | Free / Starter / Pro | Milano (eu-south-1) | Standard |
| BYOC — in roadmap H2 2026 | Enterprise | Cloud del cliente | Totale |
| Single-tenant — in roadmap | Enterprise+ | Tenant dedicato | Massimo |
Le opzioni BYOC e single-tenant sono in roadmap e disponibili sul piano Enterprise.
Compliance Roadmap
Il nostro percorso verso le attestazioni di terze parti. Le voci self-assessed riflettono la postura interna attuale; le certificazioni in corso sono soggette a audit indipendente.
| Certificazione | Status | Target |
|---|---|---|
| SOC 2 Type I | In progress | Q4 2026 |
| ISO 27001 | Planned | 2027 |
| DORA Compliance | Self-assessed | Ongoing |
| EU AI Act | Self-assessed | Ongoing |
Vendor Security Assessment
È disponibile un Vendor Security Assessment Questionnaire (VSAQ) pre-compilato per le valutazioni di procurement e onboarding fornitori.
Data Processing Agreement
Scarica il nostro DPA standard (template v1.0) per la revisione del tuo ufficio legale prima della firma di qualsiasi MSA.
Architettura di sicurezza
- Inference isolata per tenant in container dedicati.
- L'hash dell'Evidence Pack è calcolato server-side e immutabile dopo l'emissione.
- Nessun addestramento sui dati dei clienti.
- Conservazione degli audit log per 7 anni (DORA art. 17).
Impegni di AI responsabile
- Il Validator opera in cieco e previene il groupthink per design.
- Ogni HALT è registrato con il Dissent Record completo.
- Lo score di confidenza è sempre visibile: nessun output a scatola nera.
Trust posture
Niente certificazioni dichiarate che non possiamo dimostrare. Ogni voce riporta il suo stato reale.
- DPA conforme all'art. 28 GDPR, pronto alla firmaattivo
/legal/dpa-v1.0.md (downloaded from /security)
Verifica questo claim - Architettura predisposta per DORAattivo
/security#security-architecture
Verifica questo claim - Autovalutazione EU AI Act art. 9 completataautovalutato
/security#responsible-ai
Verifica questo claim - Evidence Pack con hash SHA-256, immutabile dopo l'emissioneattivo
compute_immutable_hash in deliberation_engine.py
Verifica questo claim - Nessun addestramento sui dati dei clientiattivo
/security#security-architecture
Verifica questo claim - Conservazione audit log 7 anni (DORA art. 17)attivo
DORA Art.17 — /security#security-architecture
Verifica questo claim - Architettura allineata ai principi ISO/IEC 27001allineato
Annex A mapping in progress; no certificate
Verifica questo claim - Sub-processor SOC 2 Type II (Railway, Vercel, Resend)via provider
/legal/subprocessors (Railway, Vercel SOC2 TypeII, Resend)
Verifica questo claim
Ogni claim qui sopra è registrato nel nostro Trust Ledger e verificato in automatico in CI: il sito mostra solo ciò che è dimostrabile. Lo stesso principio degli Evidence Pack, applicato al nostro marketing.
Domande frequenti
- I dati degli incidenti escono dall'UE?
- Per i piani Starter e Professional, i dati sono processati su infrastruttura EU. Per Enterprise con dedicated tenant, la localizzazione è configurabile contrattualmente.
- Quvant è certificato ISO 27001?
- La certificazione ISO 27001 è nella roadmap (H1 2027). Attualmente applichiamo i controlli equivalenti — documentazione disponibile su richiesta per procurement enterprise.
Controllo dimostrabile, dalla prima analisi.
Valuta Quvant sui tuoi dati e verifica ogni evidenza prima di proporre il budget.