Sicurezza e controllo dei dati

Sicurezza non è sufficiente. Le organizzazioni enterprise richiedono controllo dimostrabile: su ogni accesso, ogni analisi, ogni output. Quvant è progettato per questo.

Dove vivono i tuoi dati

I dati delle analisi sono conservati su MongoDB Atlas, regione Milano (eu-south-1), all'interno dello Spazio Economico Europeo. Storage cifrato a riposo (encryption at rest), replica set a 3 nodi per alta disponibilità, backup continuo automatizzato con point-in-time recovery. L'infrastruttura applicativa opera in EU (Frankfurt, eu-central-1). I trasferimenti verso sub-processor LLM extra-SEE, ove applicabili, sono disciplinati da DPA/SCC e descritti nell'elenco sub-processor; non dichiariamo assenza di trasferimenti extra-UE senza prova strumentale per workload.

Ogni cliente opera in uno spazio logicamente isolato. Le analisi, gli evidence pack e i log di un'organizzazione non sono mai accessibili da un'altra.

Piano Enterprise: BYOC (Bring Your Own Cloud) in roadmap H2 2026, esecuzione delle analisi all'interno del cloud del cliente, con controllo totale su residenza ed accesso ai dati.

Prova

  • Milano · eu-south-1
  • Encryption at rest
  • Multi-tenant isolation

Audit trail e immutabilità

SHA-256 append-only: ogni Evidence Pack™ è firmato crittograficamente al momento della creazione. Nessuna modifica retroattiva possibile, qualsiasi alterazione successiva è rilevabile.

RFC 3161 TSA (Enterprise): Trusted Timestamping con timestamp authority esterna certificata. Il timestamp è verificabile da auditor terzi senza dipendenza da Quvant. In implementazione, disponibile Q3 2026.

Prova

  • Vault SHA-256
  • Audit trail append-only
  • Tamper-evidence

Compliance e certificazioni

  • GDPR: trattiamo i dati necessari all'erogazione del servizio secondo base giuridica e DPA; non dichiariamo 'no personal data by design' come garanzia assoluta.
  • L'infrastruttura sottostante MongoDB Atlas è certificata SOC 2 e ISO 27001.
  • Certificazione SOC 2 Type II di Quvant: in roadmap H2 2026.
  • Certificazione ISO 27001 di Quvant: in valutazione.

Prova

  • GDPR · DPA / SCC
  • Atlas SOC 2 · ISO 27001

Autenticazione e accesso

  • Accesso tramite email e password, con verifica del fattore aggiuntivo (MFA) opzionale. È disponibile anche l'accesso passwordless tramite magic link monouso, valido 15 minuti.
  • SSO/SAML per il piano Enterprise: in implementazione Q3 2026.
  • 2FA opzionale sul piano Professional, obbligatoria sul piano Enterprise.

Prova

  • Magic link monouso
  • 2FA su Professional/Enterprise
  • SSO/SAML, Q3 2026

Scala di Sovranità

ModelloPianoResidenza datiControllo
Managed EUFree / Starter / ProMilano (eu-south-1)Standard
BYOC, in roadmap H2 2026EnterpriseCloud del clienteTotale
Single-tenant, in roadmapEnterprise+Tenant dedicatoMassimo

Le opzioni BYOC e single-tenant sono in roadmap e disponibili sul piano Enterprise.

Compliance Roadmap

Il nostro percorso verso le attestazioni di terze parti. Le voci self-assessed riflettono la postura interna attuale; le certificazioni in corso sono soggette a audit indipendente.

CertificazioneStatusTarget
SOC 2 Type IIn progressQ4 2026
ISO 27001Planned2027
DORA ComplianceSelf-assessedOngoing
EU AI ActSelf-assessedOngoing

Vendor Security Assessment

È disponibile un Vendor Security Assessment Questionnaire (VSAQ) pre-compilato per le valutazioni di procurement e onboarding fornitori.

Data Processing Agreement

Scarica il nostro DPA standard (template v1.0) per la revisione del tuo ufficio legale prima della firma di qualsiasi MSA.

trust.security.title

    trust.responsible.title

      trust.posture.title

      trust.posture.intro

      • DPA conforme all'art. 28 GDPR, pronto alla firmatrust.status.implemented
      • Architettura predisposta per DORAtrust.status.implemented
      • Autovalutazione EU AI Act art. 9 completatatrust.status.self-assessed
      • Evidence Pack con hash SHA-256, immutabile dopo l'emissionetrust.status.implemented
      • Nessun addestramento sui dati dei clientitrust.status.implemented
      • Conservazione audit log 7 anni (DORA art. 17)trust.status.implemented
      • Architettura allineata ai principi ISO/IEC 27001trust.status.control-aligned
      • Sub-processor SOC 2 Type II (Railway, Vercel, Resend)trust.status.provider-inherited
      • SHA-256 certifica l'immutabilità dell'artefatto, non la riproducibilità del ragionamentotrust.status.implemented
      • Architettura allineata ai principi ISO/IEC 27001; certificazione non ancora possedutatrust.status.planned
      • Certificazione SOC 2 Type II in roadmap (H2 2026)trust.status.planned
      • Validator blind, previene il groupthink per designtrust.status.implemented
      • Decision Support System, la decisione finale è umanatrust.status.implemented

      trust.ledgerNote

      Domande frequenti

      I dati degli incidenti escono dall'UE?
      Lo storage primario è in SEE (Milano). Parte dell'inferenza LLM può coinvolgere sub-processor con giurisdizione extra-SEE; i trasferimenti, ove applicabili, sono coperti da DPA/SCC e documentati. Per Enterprise con tenant dedicato, la localizzazione è configurabile contrattualmente. Non promettiamo 'nessun dato esce dall'UE' senza prova strumentale.
      Quvant è certificato ISO 27001?
      La certificazione ISO 27001 è nella roadmap (H1 2027). Attualmente applichiamo i controlli equivalenti, documentazione disponibile su richiesta per procurement enterprise.

      Controllo dimostrabile, dalla prima analisi.

      Valuta Quvant sui tuoi dati e verifica ogni evidenza prima di proporre il budget.