Sicurezza e compliance
Tabella dei Contenuti
Sicurezza e Compliance
Ruoli e Responsabilità
ActiveFuturia (offerto da Glofu Srl Unipersonale) opera in collaborazione con il partner tecnico HighLevel per fornire la piattaforma SaaS. In questo contesto, i clienti di ActiveFuturia agiscono come Titolari del trattamento dei dati (decidono quali dati personali raccogliere e come utilizzarli), mentre ActiveFuturia – tramite l’infrastruttura HighLevel – funge da Responsabile del trattamento e gestisce i dati esclusivamente secondo le istruzioni del cliente (help.gohighlevel.com). ActiveFuturia non utilizza mai i dati personali degli utenti per finalità proprie o al di fuori di quanto autorizzato dal cliente (help.gohighlevel.com). HighLevel, in qualità di partner tecnico, riveste il ruolo di sub-responsabile (sub-processore) supportando ActiveFuturia nell’adempimento di questi compiti. Un apposito Data Processing Agreement (DPA) contrattualizza tali ruoli e obblighi, garantendo che tutte le parti rispettino le normative vigenti in materia di privacy.
Conformità Normativa e Privacy
ActiveFuturia si impegna a garantire la conformità alle principali normative sulla protezione dei dati a livello globale. In particolare, la piattaforma è allineata al GDPR (Regolamento UE 2016/679) assicurando trasparenza, controllo e diritti agli interessati europei. Vengono applicati rigorosi principi di minimizzazione e limitazione delle finalità, e sono supportati tutti i diritti previsti (accesso, rettifica, cancellazione, portabilità, opposizione, limitazione) mediante procedure dedicate. Inoltre, offriamo un DPA ai clienti per regolare il trattamento dei dati in linea con gli standard GDPR, includendo le Clausole Contrattuali Standard (SCC) della Commissione UE per legittimare eventuali trasferimenti internazionali (help.gohighlevel.com).
Parallelamente, ActiveFuturia rispetta il California Consumer Privacy Act (CCPA) per la tutela dei dati dei residenti in California, garantendo meccanismi di trasparenza sulle categorie di dati raccolti e sulle finalità d’uso, nonché opzioni per esercitare il diritto di opt-out dalla vendita o condivisione dei dati e per accedere/cancellare i propri dati. Ci manteniamo aggiornati anche su altre normative internazionali (come LGPD in Brasile, PIPEDA in Canada, ecc.) per assicurare un livello di protezione adeguato ovunque operiamo.
ActiveFuturia basa la propria piattaforma sull’infrastruttura HighLevel, la quale ha ottenuto la certificazione nel programma EU–U.S. Data Privacy Framework (DPF) (help.gohighlevel.com). Ciò significa che i trasferimenti di dati personali dall’UE verso gli Stati Uniti avvengono nel rispetto del nuovo quadro normativo transatlantico, con l’ulteriore supervisione dell’Autorità Federale per il Commercio statunitense (FTC) per quanto riguarda gli impegni assunti. In sintesi, i dati dei clienti ActiveFuturia sono trattati in modo lecito e conforme alle normative vigenti, ovunque essi vengano elaborati.
Infrastruttura Cloud Sicura
Per garantire massima sicurezza, affidabilità e scalabilità, ActiveFuturia sfrutta un’infrastruttura cloud di livello enterprise. La piattaforma risiede su data center cloud negli Stati Uniti messi a disposizione dai leader del settore: Google Cloud Platform (GCP) e Amazon Web Services (AWS). HighLevel (partner tecnico) si affida a questi provider certificati, beneficiando dei loro rigorosi controlli di sicurezza fisica, ambientale e infrastrutturale regolarmente auditati. I data center offrono un’elevata disponibilità del servizio (SLA superiore al 99,5% su GCP e fino al 99,95%-100% su AWS) e dispongono di piani di business continuity e disaster recovery verificati, come attestato dai rapporti di conformità SOC 2 Type II e dalla certificazione ISO 27001 delle infrastrutture AWS.
L’architettura cloud di ActiveFuturia è progettata con ridondanza a tutti i livelli: le risorse server sono distribuite su più zone di disponibilità e reti cloud isolate, in modo da evitare single point of failure. Il sistema può scalare automaticamente in base al carico, assicurando prestazioni costanti. Inoltre, nessun dato o sistema produttivo è ospitato in uffici fisici di ActiveFuturia/HighLevel; tutta l’infrastruttura è concentrata nei cloud data center protetti, eliminando rischi legati a strutture on-premise. Grazie a questa infrastruttura solida, continuità operativa e alta affidabilità sono garantite per tutti i servizi della piattaforma.
Crittografia e Protezione dei Dati
ActiveFuturia adotta molteplici livelli di protezione tecnico-organizzativa per salvaguardare i dati dei clienti. La crittografia è implementata sia in transito sia a riposo: tutti i dati scambiati tra gli utenti e la piattaforma sono cifrati con protocolli TLS 1.2/1.3 a chiave 2048-bit (o superiore), impedendo intercettazioni durante la trasmissione. I dati archiviati nei database e negli storage cloud vengono cifrati con algoritmo AES-256 (Advanced Encryption Standard a 256 bit) – uno standard di livello militare – garantendo che anche in caso di accesso non autorizzato ai supporti fisici, le informazioni rimangano illeggibili. Le chiavi crittografiche sono gestite attraverso un sistema dedicato di Key Management sicuro, con rotazione periodica delle chiavi secondo la sensibilità dei dati.
Oltre alla crittografia, la piattaforma è protetta da robusti sistemi di sicurezza di rete. I componenti core dell’applicazione sono isolati in segmenti separati per ciascun cliente: la soluzione è multi-tenant ma ogni account è logicamente segregato tramite identificativi unici e regole di autorizzazione che impediscono a dati di tenant diversi di mescolarsi (storage.googleapis.com). I confini di rete sono difesi da firewall avanzati e filtri perimetrali: tutto il traffico in ingresso è monitorato e sottoposto a ispezione, con criteri di default “deny-all” (blocco di qualsiasi connessione non espressamente autorizzata). Liste di controllo degli accessi (ACL) a livello di network impediscono connessioni non autorizzate verso l’infrastruttura interna. Le regole firewall vengono riviste periodicamente per assicurare che solo le porte e i servizi necessari restino aperti.
Sono in uso sistemi di Intrusion Detection/Prevention e monitoraggio continuo che analizzano il comportamento del traffico e generano allarmi in caso di attività anomala o malevola. Ad esempio, sono attive protezioni a livello applicativo (Web Application Firewall) capaci di rilevare e bloccare attacchi comuni (seguendo le linee guida OWASP Top 10) e di mitigare tentativi di Distributed Denial of Service (DDoS), garantendo la disponibilità continua dei siti e servizi degli utenti. Il sistema di monitoraggio automatizzato innesca risposte immediate o allerte al team di sicurezza se vengono rilevati errori, abusi o pattern di attacco, con trigger automatici (es. throttling del traffico, blocco di processi) al superamento di soglie predefinite. Inoltre, ActiveFuturia esegue test di sicurezza periodici sull’applicazione e sull’infrastruttura (vulnerability scanning e penetration test) per identificare e risolvere proattivamente eventuali vulnerabilità (storage.googleapis.comstorage.googleapis.com). Grazie a queste misure, i dati dei clienti sono protetti da accessi non autorizzati e da minacce informatiche, assicurando riservatezza e integrità.
Accesso ai Dati e Controlli di Accesso
ActiveFuturia implementa rigorose politiche di controllo degli accessi sia per gli utenti della piattaforma sia per il personale tecnico, secondo il principio del privilegio minimo. I clienti hanno a disposizione strumenti per gestire in autonomia l’accesso ai propri dati: l’applicazione offre regole di autorizzazione granulari che permettono di creare utenti, assegnare ruoli e permessi limitando le azioni in base alle responsabilità. Gli amministratori dell’account possono definire chi può vedere o modificare informazioni sensibili e possono obbligare l’uso dell’autenticazione a due fattori (2FA) per tutti gli utenti del proprio workspace. Di default, l’autenticazione multi-fattore è abilitata per gli account ActiveFuturia: ogni login richiede non solo password robuste (minimo 8 caratteri con maiuscole, minuscole, numeri e simboli) ma anche un secondo fattore di verifica (es. codice temporaneo OTP) per assicurare che solo il legittimo proprietario acceda. Questo aggiunge un ulteriore livello di protezione contro accessi indesiderati anche qualora le credenziali fossero compromesse. Inoltre, la piattaforma registra in audit log ogni tentativo di login e le attività rilevanti degli utenti, così che sia possibile monitorare e analizzare gli accessi al sistema.
Anche l’accesso interno ai dati da parte del team ActiveFuturia/HighLevel è strettamente controllato. Solo un numero limitato di tecnici autorizzati (ad es. del reparto Engineering) può accedere all’infrastruttura di produzione, e comunque seguendo un modello di Role-Based Access Control (RBAC) con privilegi strettamente necessari al ruolo. Non è consentito al personale connettersi direttamente ai server di produzione liberamente: eventuali accessi per manutenzione devono avvenire attraverso bastion host sicuri e utilizzando credenziali temporanee o ruoli IAM dedicati, con ogni attività tracciata. Il personale di supporto clienti non può accedere ai contenuti dei dati senza autorizzazione esplicita: qualora sia necessario assistere un cliente all’interno del suo account, viene utilizzato un meccanismo di accesso Just-In-Time (JITA) che garantisce accessi limitati nel tempo (es. max 24 ore) e perimetro (solo alle sezioni indispensabili per il supporto). Ogni richiesta di supporto con accesso JITA è loggata e monitorata con sistemi automatici che rilevano attività anomale, e in ogni caso durante questi accessi temporanei il personale non è in grado di compiere azioni distruttive o esportare dati (sono bloccate funzioni critiche come l’esportazione di contatti, modifiche a impostazioni di sicurezza, eliminazione massiva di record, ecc.). Tutti gli accessi degli utenti e del personale, così come le operazioni rilevanti sulla piattaforma, sono registrati in log centralizzati; questi audit log vengono conservati in un sistema sicuro e sono disponibili per eventuali analisi forensi o esigenze di compliance. In sintesi, ActiveFuturia garantisce che l’accesso ai dati sia strettamente regolamentato e tracciato, proteggendo le informazioni da utilizzi impropri sia esternamente che internamente.
Backup e Disaster Recovery
Per proteggere i dati da perdite o incidenti, ActiveFuturia dispone di robusti sistemi di backup e piani di disaster recovery. Tutti i dati nei database della piattaforma vengono salvati con copie di backup regolari secondo pianificazioni prestabilite. Vengono mantenute almeno 7 copie di backup giornaliere per ogni database, assicurando la possibilità di ripristinare i dati fino a una settimana precedente in caso di necessità. I backup sono archiviati in infrastrutture cloud ridondanti all’interno della stessa regione geografica principale (USA) e sono soggetti a monitoraggio continuo: se un’operazione di backup fallisce, il sistema genera alert immediati affinché il team tecnico intervenga prontamente.
I meccanismi di ripristino sono regolarmente testati per garantire che, all’occorrenza, i dati possano essere recuperati rapidamente e integralmente. Tutte le componenti critiche (web, applicazione, database) sono implementate con funzionalità di point-in-time recovery, consentendo il ripristino a precisi punti temporali in caso di errori o corruzione dei dati. In caso di guasti gravi o indisponibilità di un’intera zona cloud, l’architettura distribuita permette il failover su zone alternative, minimizzando i tempi di disservizio.
Sul versante applicativo, la piattaforma fornisce anche strumenti self-service per i clienti: ad esempio un cestino (recycle bin) tramite il quale è possibile recuperare elementi eliminati (contatti, opportunità, note, ecc.) entro 30 giorni, e la funzionalità di versioning per ripristinare versioni precedenti di pagine web o email costruite nell’editor. Inoltre, tramite le API pubbliche di ActiveFuturia, i clienti possono esportare e sincronizzare periodicamente i propri dati su sistemi esterni, creando di fatto copie aggiuntive di sicurezza. Queste opzioni offrono ulteriore tranquillità, ma in parallelo ActiveFuturia assicura che tutta la sua infrastruttura cloud sia resiliente e pronta a fronteggiare emergenze: i piani di disaster recovery prevedono procedure documentate per il ripristino dei servizi in tempi rapidi, con ruoli e responsabilità ben definiti all’interno del team tecnico. Grazie ai backup costanti e a una strategia di disaster recovery collaudata, i dati dei nostri utenti rimangono al sicuro anche negli scenari più avversi.
Risposta a Incidenti e Violazioni di Sicurezza
ActiveFuturia adotta un approccio proattivo nella gestione degli incidenti di sicurezza, con l’obiettivo primario di prevenire violazioni e, nel caso si verifichino, di mitigarne immediatamente gli effetti. È in atto un dettagliato piano di Incident Response che definisce le fasi di identificazione, contenimento, eradicazione, ripristino e analisi post-incidente. Grazie ai sistemi di monitoraggio h24 citati in precedenza, eventuali anomalie o intrusioni vengono rilevate tempestivamente; ciò consente al nostro team di sicurezza di intervenire in modo rapido e coordinato. Test periodici dei piani di risposta (ad esempio simulazioni di data breach) vengono effettuati per affinare la prontezza del personale e l’efficacia delle procedure.
In caso di violazione dei dati personali, ActiveFuturia (in sinergia con HighLevel) si impegna a informare prontamente i clienti interessati, fornendo tutte le informazioni note sull’accaduto, in linea con quanto richiesto dal GDPR (notifica entro 72 ore dall’individuazione, ove applicabile) (help.gohighlevel.com). Le notifiche includerebbero la natura della violazione, i dati coinvolti, le possibili conseguenze e le misure correttive adottate. Allo stesso tempo, attiviamo le azioni di contenimento per bloccare l’accesso indebito e proteggere i sistemi (ad esempio isolando le componenti compromesse) e procediamo al ripristino sicuro dei servizi. Successivamente, viene svolta un’analisi forense per identificare le cause root dell’incidente e vengono implementati miglioramenti per evitare il ripetersi di eventi simili in futuro.
ActiveFuturia considera la fiducia dei propri clienti un asset fondamentale: per questo trasparenza e rapidità sono alla base del nostro approccio in caso di incidenti. Oltre alle notifiche dovute, mettiamo a disposizione canali dedicati per supportare i clienti nell’affrontare l’evento (es. fornendo indicazioni su come notificare eventualmente le autorità o gli interessati, se necessario). Vale la pena sottolineare che, grazie alle solide misure di sicurezza in atto, gli incidenti sono estremamente rari, ma siamo preparati a gestirli efficacemente qualora dovessero occorrere.
Sub-Processori e Fornitori Terzi
Per erogare i suoi servizi, ActiveFuturia si avvale di alcuni sub-processori (fornitori terzi) accuratamente selezionati, i quali trattano dati personali per conto di ActiveFuturia in ambiti specifici. Tutti questi fornitori sono vincolati da accordi contrattuali che ne regolano l’accesso ai dati e impongono standard di sicurezza e riservatezza equivalenti a quelli adottati da noi. Di seguito una tabella riassuntiva dei principali sub-processori e del relativo ruolo:
|
Sub-Processore |
Servizio/Finalità |
Localizzazione |
|
HighLevel (LeadConnector LLC) |
Piattaforma SaaS CRM core e infrastruttura cloud (partner tecnico principale) |
USA |
|
HighLevel India Pvt. Ltd |
Consociata HighLevel per supporto infrastrutturale e sviluppo |
India |
|
Google Cloud Platform |
Hosting cloud e archiviazione dati |
USA (data center) |
|
Amazon Web Services (AWS) |
Hosting cloud e archiviazione dati |
USA (data center) |
|
Twilio |
Servizi di comunicazione SMS/telefonia |
USA |
|
Mailgun |
Servizio di invio email transazionali |
USA |
|
Stripe |
Gateway per pagamenti online (PCI-DSS compliant) |
USA |
|
Authorize.net |
Gateway per pagamenti online |
USA |
|
Zoom |
Piattaforma per videoconferenze integrata |
USA |
|
Yext |
Gestione di schede locali e recensioni (reputation) |
USA |
|
Zapier |
Integrazione automatizzata con servizi terzi (automazioni) |
USA |
|
Freshworks (Freshdesk) |
Piattaforma di helpdesk e supporto clienti |
UE / USA |
|
Pendo |
Analisi dell’utilizzo del prodotto (product analytics) |
USA |
|
ChartMogul |
Analisi metriche di fatturato/subscription |
UE (Germania) |
|
FirstPromoter |
Gestione programma di affiliazione |
UE (Germania) |
(Nota: L’elenco completo e aggiornato dei sub-processori è disponibile nel nostro DPA e può essere fornito su richiesta. ActiveFuturia/HighLevel provvede a notificare i clienti in caso di aggiunte o variazioni significative.)
Tutti i sub-processori elencati sono stati valutati per garantirne la conformità alle normative privacy applicabili. Ci assicuriamo che ciascun fornitore adotti misure di sicurezza adeguate e tratti i dati esclusivamente per le finalità stabilite e istruite da ActiveFuturia. Ad esempio, i dati sono ospitati su infrastrutture Google/AWS sicure, le comunicazioni avvengono tramite provider affidabili come Twilio/Mailgun, e i pagamenti sono gestiti da processori certificati PCI-DSS come Stripe e Authorize.net. Manteniamo accordi di nomina a Responsabile del trattamento con tutti questi soggetti e, come parte del nostro impegno continuo, verifichiamo periodicamente i loro standard di sicurezza e privacy. Questo ecosistema di sub-processori ci consente di offrire funzionalità avanzate garantendo al contempo che la filiera del trattamento dei dati sia sotto controllo e conforme alla legge.
Trasferimenti Internazionali di Dati
ActiveFuturia è un servizio offerto da un’azienda italiana (Glofu Srl) e opera con clienti sia in UE sia a livello globale. I dati personali raccolti nell’ambito della piattaforma potrebbero essere trasferiti al di fuori del Paese di origine dell’utente (ad esempio, vengono ospitati su server negli Stati Uniti, come descritto sopra). Siamo pienamente consapevoli delle implicazioni di tali trasferimenti e abbiamo implementato le necessarie garanzie contrattuali e organizzative per assicurare che i dati mantengano un livello di protezione adeguato anche all’estero, in conformità con il Capitolo V del GDPR.
Come menzionato, il nostro DPA con i clienti include le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea, che legittimano i trasferimenti di dati dall’UE verso Paesi terzi come gli USA (help.gohighlevel.com). Tali clausole impongono ai destinatari extra-UE (in questo caso HighLevel e i suoi sub-provider statunitensi) obblighi vincolanti di tutela dei dati paragonabili a quelli europei. Inoltre, grazie alla certificazione di HighLevel sotto l’EU-U.S. Data Privacy Framework (DPF), i dati trasferiti negli Stati Uniti rientrano in un regime riconosciuto di protezione, che offre meccanismi di ricorso e controllo specifici per gli interessati europei (help.gohighlevel.com). Per i trasferimenti verso altri Paesi (es. HighLevel India per scopi tecnici), vengono effettuate valutazioni di adeguatezza e, se necessario, applicate misure supplementari (crittografia, pseudonimizzazione, etc.) in aggiunta alle SCC.
ActiveFuturia monitora costantemente l’evoluzione normativa in materia di trasferimenti internazionali. In caso di cambiamenti (ad esempio sentenze o linee guida delle autorità che possano impattare sulla validità dei trasferimenti), siamo pronti ad adattare le nostre misure e, se opportuno, a stipulare accordi aggiuntivi o configurare opportune soluzioni di residenza locale dei dati. Il nostro obiettivo è fare in modo che i dati dei clienti viaggino sempre in modo sicuro e conforme, indipendentemente da dove vengano processati, offrendo così tranquillità sia a noi che ai nostri utenti nell’utilizzare ActiveFuturia a livello globale.