Trattamento delle Informazioni Personali
Il Nostro Approccio alla Gestione dei Dati
Quando qualcuno utilizza vertexneobureau per registrare transazioni quotidiane, noi riceviamo determinate informazioni. Non c'è modo di evitarlo se vogliamo fornire un servizio funzionante. Quello che possiamo controllare è come queste informazioni vengono trattate dopo che arrivano nei nostri sistemi.
Abbiamo costruito vertexneobureau attorno a un principio semplice: raccogliere solo ciò che serve realmente per far funzionare il servizio. Ogni campo dati nel nostro sistema esiste perché serve a una funzione specifica. Non abbiamo database pieni di informazioni "che potrebbero tornare utili un giorno". Se un dato non ha uno scopo chiaro e immediato, non lo chiediamo.
Informazioni di Registrazione e Identificazione
Per creare un account servono: indirizzo email, nome completo, password che scegli tu. L'email diventa il tuo identificativo nel sistema. Il nome appare nelle comunicazioni e nei documenti generati. La password viene immediatamente trasformata in un hash crittografico - nessuno nel nostro team può vedere la password originale, nemmeno volendo.
Quando accedi, registriamo l'orario e l'indirizzo IP da cui proviene la connessione. Questo ci permette di identificare accessi anomali - se qualcuno tenta di entrare nel tuo account da una posizione insolita, possiamo segnalarlo. Gli indirizzi IP vengono conservati per novanta giorni, poi eliminati automaticamente.
Dati delle Transazioni Finanziarie
vertexneobureau esiste per registrare e categorizzare transazioni. Ogni transazione inserita contiene: importo, data, categoria assegnata, eventuale nota descrittiva. Questi dati costituiscono il nucleo del servizio - senza di essi, non potremmo offrirti alcuna funzionalità utile.
Le transazioni rimangono nel tuo account finché decidi di mantenerle. Puoi eliminarle singolarmente o in blocco in qualsiasi momento. Quando elimini una transazione, viene rimossa dal database principale entro ventiquattro ore. I backup di sicurezza la conservano per ulteriori trenta giorni, poi sparisce definitivamente anche da lì.
Come Vengono Utilizzate Queste Informazioni
Le informazioni di account servono per autenticarti quando accedi e per inviarti comunicazioni relative al servizio. Se cambiamo qualcosa di importante nel funzionamento di vertexneobureau, ti scriviamo all'email registrata. Se dimentichi la password, usiamo l'email per il processo di recupero.
I dati delle transazioni vengono elaborati per generare le categorizzazioni, i riepiloghi mensili, le analisi di spesa che vedi nella tua dashboard. Questi calcoli avvengono sui nostri server, ma i risultati sono visibili solo a te. Nessun altro utente può vedere le tue transazioni, nessun membro del team può accedere ai tuoi dati finanziari durante operazioni normali.
I tuoi dati transazionali non vengono mai condivisi con terze parti per scopi commerciali, pubblicitari o di profilazione. Mai. Non vendiamo database, non affittiamo liste, non partecipiamo a ecosistemi di scambio dati.
Accesso Tecnico per Assistenza
Quando contatti l'assistenza per un problema tecnico, potremmo aver bisogno di accedere temporaneamente al tuo account per capire cosa sta succedendo. Questo accesso avviene sempre con la tua autorizzazione esplicita, viene registrato nei log di sistema, e dura solo il tempo necessario a risolvere il problema specifico.
Il tecnico che accede vede solo le informazioni pertinenti al problema segnalato. Se stai riscontrando un errore nella categorizzazione delle transazioni, vedrà quelle transazioni. Se il problema riguarda l'accesso, verificherà i log di autenticazione. L'accesso non è mai esplorativo o generale.
Condivisione con Fornitori di Servizi Esterni
vertexneobureau non funziona nel vuoto. Utilizziamo servizi esterni per parti dell'infrastruttura che non ha senso costruire internamente.
Hosting e Infrastruttura
I nostri server sono ospitati presso un datacenter professionale situato nell'Unione Europea. Questo fornitore gestisce l'hardware fisico, la connettività di rete, la ridondanza energetica. Ha accesso ai server fisici ma non alle informazioni contenute nei database - tutto è crittografato a riposo.
Il contratto con questo fornitore include clausole specifiche sulla riservatezza dei dati, obblighi di notifica in caso di incidente di sicurezza, e divieto di utilizzare i dati ospitati per qualsiasi scopo proprio.
Elaborazione dei Pagamenti
Se decidi di sottoscrivere un piano a pagamento, il processo di pagamento è gestito da un processore di pagamenti esterno certificato PCI DSS. Noi riceviamo solo la conferma che il pagamento è andato a buon fine e l'identificativo della transazione.
I dettagli della tua carta di credito non passano mai attraverso i nostri server. Non li vediamo, non li registriamo, non li memorizziamo. Il processore di pagamenti ci comunica solo: "l'utente X ha completato un pagamento di Y euro in data Z".
Servizi di Email Transazionale
Le email di servizio (conferma registrazione, reset password, notifiche importanti) vengono inviate attraverso un provider specializzato in email transazionale. A questo servizio comunichiamo: il tuo indirizzo email, il tipo di messaggio da inviare, eventuali parametri personalizzati (come il tuo nome).
Il fornitore di email non utilizza questi indirizzi per scopi propri, non invia comunicazioni commerciali, non costruisce profili. Agisce esclusivamente come canale di trasmissione delle nostre comunicazioni verso di te.
Base Giuridica per il Trattamento
Trattiamo i tuoi dati personali sulla base di necessità contrattuali. Quando ti registri a vertexneobureau, si stabilisce un contratto di servizio tra te e noi. Per adempiere questo contratto - cioè fornirti il servizio di gestione transazioni che hai richiesto - dobbiamo necessariamente raccogliere e trattare le informazioni descritte sopra.
Alcune operazioni avvengono sulla base di obblighi legali. Conserviamo registri di accesso e transazioni per il periodo minimo richiesto dalle normative fiscali e contabili italiane. Rispondiamo a richieste legittime delle autorità quando supportate da appropriata documentazione legale.
Per comunicazioni informative sul servizio (nuove funzionalità, miglioramenti, cambiamenti nelle condizioni) ci basiamo sul legittimo interesse - è ragionevole che un servizio comunichi con i propri utenti riguardo al suo funzionamento. Puoi comunque scegliere di non ricevere queste comunicazioni non essenziali.
Protezione delle Informazioni
I database contenenti informazioni personali e transazioni sono crittografati a riposo usando AES-256. Le comunicazioni tra il tuo browser e i nostri server avvengono esclusivamente attraverso connessioni HTTPS con certificati TLS aggiornati. Le password vengono sottoposte a hash utilizzando bcrypt con salt individuale.
I backup vengono eseguiti quotidianamente e conservati in una locazione geograficamente separata dai server principali. Anche i backup sono crittografati. L'accesso ai backup richiede autenticazione a due fattori da parte del personale autorizzato.
L'accesso amministrativo ai sistemi è limitato a tre persone del team tecnico, tutte identificate nominativamente, con credenziali individuali e registri di accesso completi. Non esistono credenziali condivise o account generici.
Nonostante tutte queste misure, nessun sistema informatico è inviolabile al 100%. Un attaccante sufficientemente determinato e competente potrebbe teoricamente superare le difese. Quello che possiamo promettere è di fare tutto il tecnicamente possibile per rendere l'operazione estremamente difficile, e di notificarti immediatamente se dovessimo mai rilevare una violazione.
Conservazione e Cancellazione
Le informazioni di account e le transazioni vengono conservate finché mantieni attivo l'account. Se decidi di chiudere l'account, puoi farlo autonomamente dalla sezione impostazioni.
Quando chiudi l'account, inizia un periodo di grazia di trenta giorni durante il quale puoi cambiare idea e riattivarlo. Durante questi trenta giorni, i dati rimangono nei sistemi ma l'account non è accessibile dall'esterno. Al termine del periodo di grazia, se non hai riattivato l'account, tutti i dati personali e transazionali vengono eliminati permanentemente.
I log di sistema che contengono indirizzi IP e informazioni di accesso seguono un calendario di conservazione indipendente: novanta giorni dall'ultimo accesso, poi cancellazione automatica. I backup storici seguono il loro ciclo: trenta giorni di conservazione, poi sovrascrittura.
| Tipo di Dato | Periodo di Conservazione | Motivo |
|---|---|---|
| Informazioni di registrazione | Durata dell'account + 30 giorni | Necessità contrattuale e periodo di grazia |
| Transazioni finanziarie | Durata dell'account + 30 giorni | Fornitura del servizio e periodo di grazia |
| Log di accesso e IP | 90 giorni dall'ultimo accesso | Sicurezza e rilevamento anomalie |
| Backup di sistema | 30 giorni dalla creazione | Ripristino in caso di guasto tecnico |
| Corrispondenza assistenza | 2 anni dalla chiusura ticket | Riferimento per problemi ricorrenti |
Diritti dell'Interessato
Hai il diritto di accedere a tutte le informazioni personali che conserviamo su di te. Puoi richiedere una copia completa attraverso la sezione impostazioni - il sistema genera un archivio JSON contenente tutti i tuoi dati, che viene reso disponibile per il download entro quarantotto ore.
Se riscontri informazioni errate o incomplete, puoi correggerle autonomamente per la maggior parte dei campi (nome, preferenze, transazioni). Per modifiche che riguardano l'email di registrazione o altri elementi critici di sicurezza, contatta l'assistenza per verifiche appropriate.
Hai il diritto di richiedere la cancellazione dei tuoi dati in qualsiasi momento, semplicemente chiudendo l'account come descritto sopra. Se hai motivi specifici per richiedere una cancellazione immediata senza il periodo di grazia di trenta giorni, contattaci spiegando la situazione - valuteremo caso per caso.
Puoi opporti al trattamento delle tue informazioni per comunicazioni informative sul servizio, mantenendo comunque l'account attivo. Le comunicazioni essenziali (conferme di sicurezza, notifiche tecniche critiche) non possono essere disattivate finché mantieni l'account attivo - sono parte integrante del servizio.
Hai il diritto di ricevere i tuoi dati in formato strutturato e leggibile da macchina (portabilità dei dati). L'esportazione JSON menzionata sopra soddisfa questo requisito. Se hai bisogno dei dati in un formato specifico diverso per trasferirli a un altro servizio, contattaci - se tecnicamente fattibile, lo implementeremo.
Modifiche a Questo Documento
Quando dobbiamo modificare queste informazioni sul trattamento dei dati, la nuova versione viene pubblicata su questa pagina con data di aggiornamento evidente. Se le modifiche sono sostanziali - cambiano in modo significativo come vengono trattati i dati o introducono nuovi tipi di trattamento - inviamo anche una notifica via email a tutti gli account attivi.
Hai trenta giorni dalla pubblicazione di modifiche sostanziali per decidere se accettarle o chiudere l'account. Se continui a utilizzare il servizio dopo questo periodo, consideriamo che hai accettato le nuove condizioni. Se decidi di chiudere l'account in seguito a modifiche che non condividi, il processo di cancellazione avviene immediatamente senza periodo di grazia.
Trasferimenti Internazionali
Tutti i dati risiedono fisicamente in datacenter situati nell'Unione Europea. Non effettuiamo trasferimenti verso paesi terzi per l'operatività normale del servizio.
L'unica eccezione potenziale riguarda l'assistenza tecnica: alcuni membri del team potrebbero teoricamente accedere ai sistemi da locazioni al di fuori dell'UE durante viaggi o lavoro remoto. In questi casi, l'accesso avviene sempre attraverso connessioni VPN crittografate, e le informazioni non vengono mai salvate su dispositivi locali al di fuori dell'infrastruttura europea principale.
Questioni Specifiche di Sicurezza
Se rilevi comportamenti anomali nel tuo account - transazioni che non riconosci, accessi da locazioni inaspettate, modifiche che non hai effettuato - la prima cosa da fare è cambiare immediatamente la password. Poi contattaci descrivendo cosa hai osservato.
Ogni segnalazione di possibile violazione di sicurezza viene presa sul serio. Analizziamo i log di accesso, verifichiamo eventuali tentativi di intrusione, controlliamo l'integrità dei dati. Se confermiamo che c'è stato un accesso non autorizzato, seguiamo il protocollo di notifica previsto dalle normative, informando le autorità competenti e tutti gli utenti potenzialmente interessati entro settantadue ore dalla conferma dell'incidente.
Se scopri una vulnerabilità di sicurezza nel servizio, per favore comunicacela privatamente invece di renderla pubblica immediatamente. Questo ci dà il tempo di correggere il problema prima che possa essere sfruttato. Scrivi a [email protected] con oggetto "Security Issue" e descrizione dettagliata. Rispondiamo a tutte le segnalazioni di sicurezza entro ventiquattro ore.
Referente per le Questioni sulla Privacy
Per domande specifiche su come vengono trattati i tuoi dati, per esercitare i diritti descritti sopra, o per segnalare preoccupazioni relative alla privacy:
Rispondiamo a tutte le richieste entro cinque giorni lavorativi. Per richieste particolarmente complesse che richiedono verifiche approfondite, il termine può estendersi fino a trenta giorni - ma ti informeremo entro i primi cinque giorni sui tempi previsti.