Sicurezza

AgentIA è costruito con la sicurezza come principio fondamentale. Operiamo una piattaforma SaaS basata su browser che non richiede installazione di software locale, estensioni del browser o binari nativi. Tutta la trasmissione dati avviene esclusivamente tramite HTTPS (TLS 1.2+) sulla porta TCP 443.

AgentIA è ospitato su Vercel (supportato da infrastruttura AWS) con distribuzione edge su punti di presenza globali. Il nostro database principale è ospitato su Neon (PostgreSQL serverless su AWS EU-West-2). Il caching è fornito da Redis (EU-Central-1).

Tutti i fornitori di infrastruttura mantengono certificazioni SOC 2 Type II, ISO 27001 e conformità GDPR.

• In transito: Tutti i dati sono crittografati utilizzando TLS 1.2 o superiore. HTTPS è applicato su tutto il sito senza fallback a HTTP.
• A riposo: Lo storage del database su Neon utilizza crittografia AES-256 a riposo. I dati Redis sono crittografati a riposo tramite chiavi gestite dal provider.
• Gestione dei segreti: Tutte le chiavi API, token e credenziali sono memorizzate come variabili di ambiente crittografate, mai inserite nel codice sorgente.

L'autenticazione degli utenti è gestita da Clerk, un provider di identità di livello enterprise che supporta:

• Autenticazione email/password
• OAuth 2.0 / SSO (Google, GitHub e altri)
• Autenticazione multi-fattore (MFA)
• Gestione delle sessioni con cookie sicuri e httpOnly

I payload dei webhook di Clerk sono verificati tramite Svix per la verifica della firma per prevenire manomissioni.

AgentIA applica i seguenti header HTTP di sicurezza su tutte le risposte:

• X-Frame-Options: DENY — previene il clickjacking
• X-Content-Type-Options: nosniff — previene lo sniffing del tipo MIME
• Referrer-Policy: strict-origin-when-cross-origin — limita la divulgazione del referrer
• Permissions-Policy: camera=(), microphone=(), geolocation=() — disabilita le API del browser non necessarie

• I dati di ogni utente sono logicamente isolati utilizzando identificatori utente Clerk univoci.
• AgentIA non vende, condivide o fornisce dati personali a terze parti per scopi commerciali.
• L'accesso ai dati è strettamente limitato a quanto necessario per erogare il servizio.
• Utilizziamo Cloudflare Turnstile per la protezione bot — nessun CAPTCHA invasivo, nessun tracciamento utente.
• Le analytics sono raccolte tramite Google Analytics solo per insight aggregati sull'utilizzo.

AgentIA mantiene un processo di risposta agli incidenti che include:

• Monitoraggio per accessi non autorizzati e comportamenti anomali
• Procedure di escalation definite per eventi di sicurezza
• Notifica ai clienti interessati entro 72 ore dalla conferma di una violazione dei dati, in conformità con l'Articolo 33 del GDPR
• Revisione post-incidente e documentazione delle misure correttive

Per richieste relative alla sicurezza, segnalazioni di vulnerabilità o responsible disclosure:

Email: security@agentia.work

Rispondiamo a tutte le segnalazioni di sicurezza entro 48 ore e collaboreremo con te per comprendere e risolvere eventuali vulnerabilità confermate.