Risposte brevi e oneste alle domande che farà il tuo team di sicurezza.

1. Analytics privacy-first

Per ADR-0004, la pipeline di scansione non registra mai un indirizzo IP né uno User-Agent grezzo. All'ingestione leggiamo CF-IPCountry (paese) e passiamo lo UA attraverso una regex di classe dispositivo (mobile / tablet / desktop / unknown), poi scartiamo la stringa grezza. I dati a livello di città sono un rollup aggregato popolato da request.cf.city, nessuna riga per scansione, nessun identificatore unibile. Gli aggregati per paese sotto 5 scansioni vengono raggruppati in "Other" per prevenire la re-identificazione.

2. Backup cifrati

Ogni notte alle 03:00 UTC un Worker separato crea uno snapshot di D1 su R2. I backup sono cifrati AES-GCM con una chiave dati ruotata via KDF avvolta da BACKUP_ENCRYPTION_KEY. Ogni bundle porta un digest SHA-256 + manifesto per il rilevamento delle manomissioni (vedi la tabella backups). Retention: 7 anni per i tenant Pro. La chiave di cifratura è conservata in tre copie indipendenti (segreto Worker, vault 1Password, offline sigillato), perdere tutte e tre renderebbe i backup storici irrecuperabili, quindi la trattiamo come un singolo punto di verità operativa.

3. API Shield + CSP rigorosa

La nostra spec OpenAPI 3.1 pubblica è caricata su Cloudflare API Shield e ogni richiesta a /api/* viene validata contro di essa. La deriva dello schema viene eliminata da un hook post_deploy che ricarica la spec ad ogni deploy di produzione. Sul frontend, una Content Security Policy rigorosa vieta gli script inline ovunque, ogni pagina riferisce il suo JS via <script src>, e il nostro make check pre-deploy rifiuta di spedire una pagina che viola la regola.

4. Log di audit + registro GDPR

Ogni mutazione (creazione/patch/eliminazione codice, invito team, emissione chiave, cambio piano, modifica webhook) scrive una riga append-only in audit_log con attore, scope e timestamp, retention 180 giorni, pruning tramite sweeper. Il registro richieste GDPR (gdpr_requests) traccia ogni esportazione / eliminazione / ripristino; le righe sopravvivono all'eliminazione dell'account (FK ON DELETE SET NULL, email preservata) così possiamo dimostrare il rispetto puntuale di ogni richiesta normativa anni dopo che l'account è sparito.

5. Protezioni di autenticazione

L'autenticazione è delegata al layer di identità condiviso abundera.ai (EdDSA JWT via JWKS). Disponibile per i clienti Pro:

• 2FA (TOTP), password one-time basate sul tempo RFC 6238, qualsiasi app di autenticazione standard, codici di backup emessi all'iscrizione.
• SSO SAML 2.0, Okta, Entra ID, JumpCloud, Google Workspace, IdP personalizzati. Disponibile su Team+ (incluso su Agency/Enterprise).
• Provisioning SCIM 2.0, lifecycle utente + gruppo RFC 7643/7644, rate-limited per token, audit-logged. Disattivato per default; abilitato per cliente.
• Chiavi API, Business+, memorizzate come sha256(raw); il valore grezzo abnd_qrpro_... è restituito solo alla creazione e mai più.

6. Sub-responsabili

La lista breve: Cloudflare (hosting, D1, KV, R2, API Shield), Stripe (pagamenti), Zoho / ZeptoMail (email transazionale), Twilio (verifica telefono + SMS). Vedi /trust/subprocessors/ per la lista canonica con regioni, categorie di dati e il nostro impegno di notifica modifica 30 giorni prima.

7. Data Processing Agreement

Il nostro DPA allineato al GDPR (SCC EU, addendum UK, addendum FADP svizzero) è scaricabile su abundera.ai/legal/dpa/. Si applica automaticamente a tutti i livelli a pagamento, nessuna controfirma separata richiesta a meno che il tuo processo di procurement ne abbia bisogno (firmiamo su richiesta a legal@abundera.ai).

8. SOC 2

SOC 2 Type II, in corso, target Q3 2026. Siamo in scoping / pianificazione della finestra di osservazione con una società di audit Big-4-adjacent. Fino all'emissione del report non mostreremo un badge SOC 2. Se il completamento del SOC 2 è un requisito rigido del tuo procurement oggi, email enterprise@abundera.ai, possiamo condividere le evidenze dei controlli attuali, la bozza di descrizione del sistema e la data di attestazione prevista sotto NDA.

9. Zero pixel di terze parti, mai

Questa è una promessa carica di responsabilità e un confine di prodotto, non un'impostazione predefinita che potremmo cambiare silenziosamente. Non iniettiamo Google Analytics, Google Tag Manager, Meta Pixel, TikTok Pixel, LinkedIn Insight, Hotjar, FullStory, né alcun altro tracker di terze parti, non nelle nostre risposte di redirect, non nelle nostre landing page, non nelle superfici dashboard che i tuoi scanner vedono. I tuoi scanner non vengono mai re-targetizzati. Se hai bisogno di attribuzione basata su pixel sulla tua destinazione, aggiungi i tuoi parametri UTM (o pixel) all'URL di destinazione; noi restiamo fuori dal loop. Il redirect stesso è un 302 dal nostro worker al tuo URL, nient'altro gira.

10. Divulgazione responsabile

Hai trovato qualcosa? Inizia da /.well-known/security.txt per il contatto attuale, la chiave PGP e lo scope. Email security@abundera.ai, confermiamo entro 24 ore (giorni lavorativi), triage entro 72 ore e coordiniamo correzione + divulgazione con te. I ricercatori che segnalano in buona fede ricevono credito pubblico su abundera.ai/security/thanks/ una volta che la correzione è spedita.

11. Stato + uptime

Stato live, salute dei componenti e cronologia degli incidenti sono su /status/. Il percorso di redirect è monitorato ogni 5 minuti da un Worker esterno; i componenti degradati o offline si riflettono sulla pagina di stato entro un ciclo di polling.