Sicurezza e controllo dei dati
Sicurezza non è sufficiente. Le organizzazioni enterprise richiedono controllo dimostrabile: su ogni accesso, ogni analisi, ogni output. Quvant è progettato per questo.
Dove vivono i tuoi dati
I dati delle analisi sono conservati su MongoDB Atlas, regione Milano (eu-south-1), all'interno dello Spazio Economico Europeo. Storage cifrato a riposo (encryption at rest), replica set a 3 nodi per alta disponibilità, backup continuo automatizzato con point-in-time recovery. L'infrastruttura applicativa opera in EU (Frankfurt, eu-central-1). I trasferimenti verso sub-processor LLM extra-SEE, ove applicabili, sono disciplinati da DPA/SCC e descritti nell'elenco sub-processor; non dichiariamo assenza di trasferimenti extra-UE senza prova strumentale per workload.
Ogni cliente opera in uno spazio logicamente isolato. Le analisi, gli evidence pack e i log di un'organizzazione non sono mai accessibili da un'altra.
Piano Enterprise: BYOC (Bring Your Own Cloud) in roadmap H2 2026, esecuzione delle analisi all'interno del cloud del cliente, con controllo totale su residenza ed accesso ai dati.
Prova
- Milano · eu-south-1
- Encryption at rest
- Multi-tenant isolation
Audit trail e immutabilità
SHA-256 append-only: ogni Evidence Pack™ è firmato crittograficamente al momento della creazione. Nessuna modifica retroattiva possibile, qualsiasi alterazione successiva è rilevabile.
RFC 3161 TSA (Enterprise): Trusted Timestamping con timestamp authority esterna certificata. Il timestamp è verificabile da auditor terzi senza dipendenza da Quvant. In implementazione, disponibile Q3 2026.
Prova
- Vault SHA-256
- Audit trail append-only
- Tamper-evidence
Compliance e certificazioni
- GDPR: trattiamo i dati necessari all'erogazione del servizio secondo base giuridica e DPA; non dichiariamo 'no personal data by design' come garanzia assoluta.
- L'infrastruttura sottostante MongoDB Atlas è certificata SOC 2 e ISO 27001.
- Certificazione SOC 2 Type II di Quvant: in roadmap H2 2026.
- Certificazione ISO 27001 di Quvant: in valutazione.
Prova
- GDPR · DPA / SCC
- Atlas SOC 2 · ISO 27001
Autenticazione e accesso
- Accesso tramite email e password, con verifica del fattore aggiuntivo (MFA) opzionale. È disponibile anche l'accesso passwordless tramite magic link monouso, valido 15 minuti.
- SSO/SAML per il piano Enterprise: in implementazione Q3 2026.
- 2FA opzionale sul piano Professional, obbligatoria sul piano Enterprise.
Prova
- Magic link monouso
- 2FA su Professional/Enterprise
- SSO/SAML, Q3 2026
Scala di Sovranità
| Modello | Piano | Residenza dati | Controllo |
|---|---|---|---|
| Managed EU | Free / Starter / Pro | Milano (eu-south-1) | Standard |
| BYOC, in roadmap H2 2026 | Enterprise | Cloud del cliente | Totale |
| Single-tenant, in roadmap | Enterprise+ | Tenant dedicato | Massimo |
Le opzioni BYOC e single-tenant sono in roadmap e disponibili sul piano Enterprise.
Compliance Roadmap
Il nostro percorso verso le attestazioni di terze parti. Le voci self-assessed riflettono la postura interna attuale; le certificazioni in corso sono soggette a audit indipendente.
| Certificazione | Status | Target |
|---|---|---|
| SOC 2 Type I | In progress | Q4 2026 |
| ISO 27001 | Planned | 2027 |
| DORA Compliance | Self-assessed | Ongoing |
| EU AI Act | Self-assessed | Ongoing |
Vendor Security Assessment
È disponibile un Vendor Security Assessment Questionnaire (VSAQ) pre-compilato per le valutazioni di procurement e onboarding fornitori.
Data Processing Agreement
Scarica il nostro DPA standard (template v1.0) per la revisione del tuo ufficio legale prima della firma di qualsiasi MSA.
trust.security.title
trust.responsible.title
trust.posture.title
trust.posture.intro
- DPA conforme all'art. 28 GDPR, pronto alla firmatrust.status.implemented
/legal/dpa-v1.0.md (downloaded from /security)
trust.verify - Architettura predisposta per DORAtrust.status.implemented
/security#security-architecture
trust.verify - Autovalutazione EU AI Act art. 9 completatatrust.status.self-assessed
/security#responsible-ai
trust.verify - Evidence Pack con hash SHA-256, immutabile dopo l'emissionetrust.status.implemented
compute_immutable_hash in deliberation_engine.py
trust.verify - Nessun addestramento sui dati dei clientitrust.status.implemented
/security#security-architecture
trust.verify - Conservazione audit log 7 anni (DORA art. 17)trust.status.implemented
DORA Art.17, /security#security-architecture
trust.verify - Architettura allineata ai principi ISO/IEC 27001trust.status.control-aligned
Annex A mapping in progress; no certificate
trust.verify - Sub-processor SOC 2 Type II (Railway, Vercel, Resend)trust.status.provider-inherited
/legal/subprocessors (Railway, Vercel SOC2 TypeII, Resend)
trust.verify - SHA-256 certifica l'immutabilità dell'artefatto, non la riproducibilità del ragionamentotrust.status.implemented
trust/evidence-manifest-spec.md, backend/app/services/evidence_manifest.py
trust.verify - Architettura allineata ai principi ISO/IEC 27001; certificazione non ancora possedutatrust.status.planned
landing/app/[locale]/security/page.tsx, landing/app/[locale]/trust/page.tsx
trust.verify - Certificazione SOC 2 Type II in roadmap (H2 2026)trust.status.planned
landing/app/[locale]/security/page.tsx#compliance
trust.verify - Validator blind, previene il groupthink per designtrust.status.implemented
trust/claims.yaml#architecture, backend/app/services/deliberation_engine.py
trust.verify - Decision Support System, la decisione finale è umanatrust.status.implemented
landing/app/[locale]/trust/page.tsx#dss, trust/claims.yaml#legal_framing
trust.verify
trust.ledgerNote
Domande frequenti
- I dati degli incidenti escono dall'UE?
- Lo storage primario è in SEE (Milano). Parte dell'inferenza LLM può coinvolgere sub-processor con giurisdizione extra-SEE; i trasferimenti, ove applicabili, sono coperti da DPA/SCC e documentati. Per Enterprise con tenant dedicato, la localizzazione è configurabile contrattualmente. Non promettiamo 'nessun dato esce dall'UE' senza prova strumentale.
- Quvant è certificato ISO 27001?
- La certificazione ISO 27001 è nella roadmap (H1 2027). Attualmente applichiamo i controlli equivalenti, documentazione disponibile su richiesta per procurement enterprise.
Controllo dimostrabile, dalla prima analisi.
Valuta Quvant sui tuoi dati e verifica ogni evidenza prima di proporre il budget.