AccediRichiedi dimostrazione
Come funzionaPer chi èAccordo Stato-Regioni 2025Avvio progettoChi siamoSicurezza e privacyRichiedi una dimostrazione
documento tecnico · ultima revisione · maggio 2026

Sicurezza informatica e tutela dei dati.

Questa pagina è scritta per l'ufficio acquisti, per il responsabile dei sistemi informativi e per il responsabile della protezione dei dati di chi ci sta valutando come fornitore. Linguaggio asciutto, niente certificazioni inventate. Quello che è certo è scritto certo, quello che è in corso è scritto in corso.

infrastruttura

Dove sono ospitati i dati.

Tutta l'infrastruttura è in Europa, su fornitori cloud con presenza locale documentata. Niente trasferimento di dati fuori dall'Unione, salvo casi tecnici molto circoscritti che leggete sotto.

Applicazione e servizivercel · francoforte (de)
L'applicazione web Saperia è ospitata su Vercel, nella regione Francoforte. Vercel è infrastruttura europea con contratto di trattamento dati conforme al GDPR. Disponibilità garantita al 99,9% annuo.
Banche dati relazionalisupabase · regione UE
I dati strutturati (lavoratori, corsi, risposte, punteggi) sono conservati su istanze Supabase nella regione UE. Cifratura a riposo (AES‑256) e in transito (TLS 1.3). Backup automatici giornalieri, ritenzione 30 giorni.
Documenti e materiali caricatiarchivio oggetti · regione UE
I documenti formativi che caricate (PDF, slide, manuali) sono conservati in un archivio cifrato nella regione UE. Accesso autenticato e tracciato. Conservazione configurabile fino a dieci anni come previsto dall'Accordo Stato‑Regioni.
Modelli linguisticifornitori controllati
Saperia utilizza modelli linguistici di grandi dimensioni in modo controllato. Configuriamo il fornitore per non addestrare sui vostri dati. Quando il fornitore opera fuori dall'Unione (alcuni casi specifici), il trasferimento avviene con clausole contrattuali standard. Vi forniamo per iscritto, in fase di contratto, l'elenco esatto dei fornitori usati nel vostro caso.
gdpr

Trattamento dei dati personali.

Saperia tratta dati personali dei lavoratori formati per conto vostro. Voi siete titolari del trattamento, noi responsabili. È un rapporto regolato da un contratto specifico (DPA) che riceverete prima della firma.

Base giuridicaart. 6 e 9 reg. UE 2016/679
Esecuzione di un obbligo di legge (la formazione obbligatoria deriva dal D.Lgs. 81/2008 e dagli Accordi Stato‑Regioni) e legittimo interesse del datore di lavoro alla verifica dell'efficacia. Nessun dato sanitario, nessun dato di categoria particolare.
Categorie di dati trattatilimitate al minimo
Nome, cognome, mansione, azienda di appartenenza, risposte alle valutazioni, tempi di studio, punteggi per area. Nessun dato non strettamente necessario alla finalità formativa.
Periodo di conservazione10 anni · accordo stato-regioni
I dati formativi sono conservati per dieci anni dalla data di completamento del corso, come prescrive l'Accordo Stato‑Regioni 2025. Alla scadenza, cancellazione automatica con registro dell'avvenuta cancellazione.
Diritti dell'interessatoaccesso · rettifica · portabilità · oblio
Il lavoratore può richiedere l'accesso ai propri dati, la rettifica, la portabilità e — al di fuori del periodo di conservazione obbligatorio — la cancellazione. Le richieste arrivano a voi (titolari) e noi le evadiamo entro 30 giorni dalla vostra istruzione formale.
Sub‑responsabilielenco scritto
I fornitori cloud e di modelli linguistici che usiamo sono sub‑responsabili. L'elenco completo, aggiornato, è parte del contratto. Notifichiamo per iscritto, con 30 giorni di preavviso, ogni modifica all'elenco.
misure tecniche

Cosa abbiamo in piedi, oggi.

Misure tecniche e organizzative documentate. Le aggiorniamo periodicamente. Le forniamo nel dettaglio agli uffici acquisti che ce le chiedono prima della firma.

Cifratura in transitoTLS 1.3
Tutto il traffico fra il browser dell'utente e i nostri server passa su TLS 1.3 con certificati gestiti automaticamente. Forzato HTTPS in ogni pagina, niente downgrade ammessi.
Cifratura a riposoAES-256
I dati nelle banche dati e i documenti negli archivi sono cifrati a riposo con AES‑256. Le chiavi sono gestite dal fornitore cloud e non sono accessibili al nostro personale.
Autenticazioneemail/password · OAuth · SAML
Accesso via email e password con requisiti minimi di complessità. Disponibile l'autenticazione a due fattori tramite codice usa e getta. Per i clienti di grandi dimensioni, integrazione con i sistemi di identità aziendale tramite i protocolli SAML o OAuth (Microsoft Entra, Google Workspace, Okta).
Controllo degli accessiruoli e permessi
Permessi basati sui ruoli. Per ogni risorsa (corso, cliente, lavoratore) si definisce chi può vedere e chi può modificare. Il formatore del cliente A non vede mai i dati del cliente B.
Registro tracciabileaudit log
Tracciamo: accessi (chi, quando, da dove), modifiche al corso fatte dal formatore, risposte e tentativi dei lavoratori, esportazioni dei rapporti. Conservazione del registro per due anni, consultabile dall'amministratore.
Backupgiornalieri · 30 giorni
Backup automatici giornalieri delle banche dati. Ritenzione 30 giorni. Procedure di ripristino testate trimestralmente. Tempo medio di ripristino: meno di quattro ore.
Gestione delle vulnerabilitàmonitoraggio continuo
Scansione automatica delle dipendenze, patch di sicurezza applicate entro 72 ore dalla pubblicazione per le vulnerabilità critiche. Test di penetrazione annuale eseguito da terza parte indipendente.
Notifica di violazione72 ore
In caso di violazione dei dati (data breach) che vi riguardi, vi notifichiamo per iscritto entro 72 ore dalla scoperta, fornendovi tutte le informazioni necessarie per la vostra eventuale notifica al Garante.
certificazioni · onesti

Cosa abbiamo, cosa non abbiamo, cosa è in corso.

acquisito

Conformità GDPR

Registro dei trattamenti, contratti DPA pronti, valutazioni d'impatto effettuate per i clienti che le richiedono.

acquisito

Conservazione decennale

Procedura tecnica documentata per la conservazione dei dati formativi per dieci anni come prescrive l'Accordo.

in corso

Accessibilità EN 301 549

Audit di accessibilità eseguito a marzo 2026. Adeguamenti in corso. Pubblicazione del documento di conformità (VPAT) prevista entro fine anno.

· non abbiamo

ISO 27001

Non siamo certificati ISO 27001 e non lo dichiariamo finché non lo saremo. Per clienti per cui è bloccante, possiamo discutere un percorso accelerato di certificazione.

contatti per la protezione dei dati

Come raggiungerci su questi temi.

canale unico per privacy, contratti e sicurezza

hello@yempik.com

Per richieste sui diritti degli interessati ai sensi del GDPR, chiarimenti sulla DPA contrattuale, segnalazioni di incidenti di sicurezza, richieste di documentazione tecnica. Risposta entro due giorni lavorativi.

hello@yempik.com →
documenti richiedibili in fase di valutazione

Documentazione disponibile

  • → Nota tecnica sulla sicurezza (PDF, 12 pagine)
  • → Modello di contratto di nomina a responsabile (DPA)
  • → Registro dei sub‑responsabili
  • → Procedura di notifica in caso di violazione
  • → VPAT — dichiarazione di conformità EN 301 549 (in pubblicazione)

Tutti i documenti sono inviati per email su richiesta dell'ufficio acquisti, in fase di valutazione formale.

domanda specifica?

Una call tecnica con il team Saperia.

Se il vostro ufficio acquisti o il vostro responsabile della protezione dei dati ha domande puntuali, organizziamo una call tecnica dedicata. Vi forniamo in anticipo la documentazione che vi servirà per fare le domande giuste.

Scrivici per la privacy

approfondisci