Security Policy — Optlyx

Security Policy

TLS 1.3
AES-256
E2E (opzionale)
BYOK/CMK

Ultimo aggiornamento: 12 ottobre 2025 · Contatti: hello@optlyx.com

Sottoprocessori

1) Scopo e campo di applicazione

Questa Security Policy descrive il modello di sicurezza applicato da Optlyx per proteggere dati, sistemi e servizi della nostra Piattaforma. Copre processi organizzativi, controlli tecnici e responsabilità condivise con i Clienti.

2) Classificazione e proprietà del dato

  • Contenuti del Cliente: di esclusiva proprietà del Cliente.
  • Dati account/operativi: necessari all’erogazione (es. log, metadati).
  • Dati marketing: trattati solo con base giuridica adeguata.

Classifichiamo i dati in livelli (Pubblico, Interno, Riservato) per applicare misure proporzionate di protezione.

3) Cifratura (in transito, a riposo, E2E)

  • In transito: TLS 1.3 tra client e servizi.
  • A riposo: cifratura server-side (es. AES-256) su database e oggetti storage.
  • E2E opzionale: su moduli compatibili, cifratura client-side con modello zero-knowledge; possibile riduzione di funzionalità server-side (es. ricerca globale).
Nota: Optlyx non ha accesso in chiaro ai dati E2E; la responsabilità sulla passphrase è del Cliente.

4) Gestione chiavi (KMS, rotazione, BYOK/CMK)

  • KMS cloud per generazione, archiviazione e rotazione periodica.
  • Separazione dei ruoli per le operazioni di key management.
  • BYOK/CMK: opzionale integrazione con KMS del Cliente (es. AWS KMS) per controllo completo sulla master key.

5) Controllo accessi & identità

  • Least privilege e need-to-know su tutti gli ambienti.
  • MFA obbligatoria per accessi amministrativi.
  • Scoping ambienti (dev/stage/prod) separati; accessi tracciati.
  • SSO/OAuth dove supportato per utenze cliente.

6) Gestione segreti e credenziali

  • Segreti in secret manager dedicato, mai nel codice.
  • Rotazione programmata e auditing degli accessi ai segreti.

7) Secure SDLC & Application Security

  • Code review sistematiche e branch protection.
  • SAST/DAST, dependency scanning, SBOM.
  • CI/CD con policy di firma/approvazione artefatti.
  • Pentest periodici su superficie applicativa e API.

8) Sicurezza infrastrutturale & rete

  • Hosting su provider di classe enterprise in UE (es. Francoforte/Milano).
  • VPC segregate, firewall/WAF, protezioni DDoS.
  • Immagini base hardened, patching regolare.

9) Logging, audit & monitoraggio

  • Log di sicurezza e applicativi centralizzati (accessi, errori, eventi di sistema).
  • Alerting su eventi critici e anomalie.
  • Retention dei log secondo necessità operative e legali.

10) Vulnerability/Patch management

  • Trattamento basato su CVSS/Severity.
  • Finestra di remediation accelerata per criticità elevate.
  • Scan periodici su asset e dipendenze.

11) Incident Response

  • Playbook di contenimento → analisi → remediation → post-mortem.
  • Notifica al Cliente in caso di data breach rilevante e, se applicabile, entro i termini GDPR.

12) Backup, Disaster Recovery & BCP

ControlloTarget internoNote
Frequenza backupGiornalieraReplica geografica intra-UE dove applicabile
RPO≤ 4 oreObiettivo interno, non SLA commerciale
RTO≤ 24 oreObiettivo interno, non SLA commerciale
Test ripristinoAlmeno 2× annoCon esito documentato
Nota: gli obiettivi RPO/RTO sono target interni; gli SLA commerciali, se previsti dal tuo piano, sono indicati nella pagina Supporto & SLA.

13) Conservazione & cancellazione dati

  • Conservazione minima necessaria rispetto alle finalità.
  • Cancellazione su richiesta o alla cessazione del contratto; finestra per export dati (vedi Termini).
  • Back-up soggetti a cicli di sovrascrittura secondo policy DR.

14) Multitenancy & segregazione dati

Segregazione logica per tenant/organizzazione a livello applicativo e/o di storage; controlli di autorizzazione rigorosi in ogni percorso di accesso ai dati.

15) Terze parti & sub-processor

  • Due diligence sicurezza e DPA ex art. 28 GDPR.
  • Trasferimenti extra-SEE con SCC e misure supplementari quando necessari.
  • Elenco aggiornato disponibile in /terms#sottoprocessori.

16) Sicurezza fisica (data center)

Affidata ai data center del provider cloud (controlli fisici, sorveglianza, accessi badge/biometrici, ridondanza energetica e di rete).

17) Sicurezza del personale & dispositivi

  • Accordi di riservatezza e policy di acceptable use.
  • Formazione periodica su sicurezza e phishing.
  • Endpoint protetti (disk encryption, screen lock, antivirus/EDR) e gestione inventario.

18) Change management

  • Processo di change con tracciamento ticket, approvazioni e rollback plan.
  • Deploy progressivi e monitorati in CI/CD.

19) Compliance & standard di riferimento

  • Allineamento ai principi di ISO/IEC 27001 e OWASP ASVS.
  • Conformità GDPR per i trattamenti in UE; vedi Privacy Policy e DPA.

20) Responsabilità del Cliente

  • Gestione utenti/ruoli, MFA dove disponibile, rotazione credenziali.
  • Valutazione degli Output AI prima di usi critici.
  • Se attivi E2E/PDK, custodisci passphrase/chiavi: non recuperabili da Optlyx.

21) Contatti & segnalazioni

Per segnalare vulnerabilità o problemi di sicurezza: hello@optlyx.com. Includi descrizione, impatto stimato, passi per riprodurre in modo responsabile.

Stato del servizio (se disponibile): /status

Changelog

  • v1.0 — 12/10/2025: Prima pubblicazione della Security Policy unificata.