TRUEINGS

Sicurezza e conformità

Dove risiedono i dati, e cosa non risiede.

Scritto per chi si occupa di approvvigionamento, sicurezza IT e revisione legale. Nessun involucro di marketing, solo fatti come stanno oggi, comprese le cose che non dichiariamo ancora.

URL inoltrabile. Se il tuo team di sicurezza ha bisogno di un questionario per fornitori o di un DPA controfirmato, vedi Contatti in fondo.

Un piccolo fortino di pietra con un’unica porta illuminata di luce calda, all’alba in un prato silenzioso: protezione per progettazione anziché per forza.

Sub-responsabili

Dove vengono trattati i tuoi dati.

L’elenco completo delle terze parti che toccano i dati di soggetti o rispondenti, con regione e base del trasferimento. Anthropic si trova negli Stati Uniti ed è coperta da Clausole Contrattuali Tipo; tutto il resto è nell’UE.

ServizioFinalitàRegioneBase del trasferimento
Supabase
supabase.com/security
Postgres gestito (dati di soggetti e rispondenti, protetti da RLS), autenticazione senza password.UEAll’interno dell’UE.
Anthropic
trust.anthropic.com
Inferenza LLM per il Criteria Designer, l’Interviewer e il Synthesizer.Stati UnitiUE → USA secondo Clausole Contrattuali Tipo, con DPA Anthropic firmato. Solo Messages API, senza Batch, Files o Memory lato server.
Resend
resend.com/legal/security
Email transazionali (accesso tramite magic link, inviti ai rispondenti, promemoria).UEAll’interno dell’UE.
Stripe
stripe.com/privacy
Elaborazione dei pagamenti per i piani da $50 una tantum e $100/anno e per i pool di licenze dei team.Stati Uniti (infrastruttura globale Stripe)UE → USA secondo Clausole Contrattuali Tipo. I dati della carta sono raccolti direttamente da Stripe; Trueings non vede né conserva mai i dettagli della carta.
PostHog
posthog.com/handbook/company/security
Analisi di prodotto (solo conteggi di eventi: senza cookie, senza registrazione delle sessioni, senza autocapture, senza profilo per singola persona).UE (eu.i.posthog.com)All’interno dell’UE.

Hosting: l’applicazione stessa gira su un’infrastruttura serverless gestita (Vercel). Nessun contenuto di feedback dei clienti è memorizzato nei log applicativi; l’archivio canonico è Supabase.

Conservazione

Cosa conserviamo, per quanto tempo, e cosa no.

Le trascrizioni grezze vengono eliminate da un processo di database programmato 30 giorni dopo la sintesi di ogni campagna. Il processo gira quotidianamente ed è verificabile. Dopo la sua esecuzione, la campagna non può essere risintetizzata; resta solo il report anonimizzato.

  • Trascrizioni grezze dei rispondenti

    30 giorni dopo la finalizzazione della sintesi di una campagna

    Eliminate quotidianamente da un processo di database programmato. Dopo l’eliminazione, la campagna non può essere risintetizzata; resta solo il report anonimizzato.

  • Report sintetizzato (temi, mappa di Johari, piano di sviluppo)

    Per tutta la durata dell’account del soggetto

    Ripulito dagli identificativi tramite il passaggio obbligatorio della Confidentiality Guard. Il soggetto può esportarlo o eliminarlo in qualsiasi momento.

  • Account, consenso, registri di fatturazione

    Per tutta la durata dell’account + il periodo richiesto dalla normativa fiscale / consumeristica UE

    Legati al soggetto; eliminati alla cancellazione dell’account, fatta salva la conservazione obbligatoria per legge.

  • Log operativi aggregati (nessun contenuto dei rispondenti)

    Fino a 90 giorni

    Usati per la risposta agli incidenti e il rilevamento degli abusi. Nessuna risposta dei rispondenti; nessun contenuto di feedback.

La riservatezza è architetturale

Applicata nel codice, non da una policy.

Il prodotto non può divulgare il feedback alla parte sbagliata perché la parte sbagliata non è nel percorso dei dati. Si tratta di garanzie strutturali, non di impegni.

  • Sicurezza a livello di riga su ogni tabella sensibile. Policy a negazione predefinita e a portata ristretta; il database stesso rifiuta le letture tra account diversi.
  • Il Synthesizer non vede mai l’identità del rispondente. Riceve solo testo di evidenza (nessun nome, nessun indirizzo email, nessun collegamento a chi ha detto cosa), così nemmeno un prompt arbitrario può esfiltrare ciò che non è nel suo contesto.
  • Una Confidentiality Guard deterministica gira prima che il soggetto veda qualsiasi cosa. Applica la soglia minima di rispondenti, la riduzione del dettaglio del soft-gate e una pulizia finale degli identificativi. Non è un giudizio di un LLM.
  • Per i team: il portale dell’azienda è cieco ai contenuti per progettazione. Espone solo il numero di riscatti e il tasso di completamento, mai identità, contenuti o temi.

Autenticazione e accesso

Senza password, con ambito definito, sottoposta ad audit.

  • Soggetti accedono tramite magic link monouso verso un’email verificata. Nessuna password è memorizzata o accettata. L’emissione dei magic link è soggetta a rate limiting e fallisce silenziosamente sui sondaggi di enumerazione.
  • Rispondenti non hanno account. Ogni invito è un JWT firmato, con ambito limitato al destinatario, monouso, legato a una risposta specifica; l’algoritmo è bloccato e i token vengono invalidati all’invio.
  • Amministratori aziendali si autenticano nello stesso modo dei soggetti, tramite un magic link verso un’email verificata, in un portale separato e cieco ai contenuti.
  • Accesso operatori è limitato a un piccolo numero di membri del personale nominati, tramite una superficie di amministrazione protetta dall’ambiente. Il personale non accede ai contenuti del feedback nel normale svolgimento delle attività; l’accesso al database è registrato.

Crittografia e trasporto

Standard, end-to-end.

  • In transito: TLS 1.2+ per ogni connessione: browser ↔ applicazione, e applicazione ↔ ciascun sub-responsabile.
  • A riposo: la crittografia è fornita da ciascun sub-responsabile (con link nella tabella sopra): Postgres gestito da Supabase, runtime gestito da Vercel, Resend, Stripe, PostHog.
  • Dati della carta: gestiti direttamente da Stripe tramite Checkout. Trueings non vede né conserva mai i numeri delle carte.
  • Segreti: i segreti applicativi risiedono nell’archivio di variabili d’ambiente crittografato della piattaforma; la chiave service-role del database non raggiunge mai il browser.

Cosa non dichiariamo

Le cose che preferiamo tu legga qui piuttosto che non leggere affatto.

L’opposto di una pagina di sicurezza di marketing. Se un controllo o una certificazione non è qui sotto, presumi che non lo abbiamo ancora. Se è importante per la tua revisione, faccelo sapere e ti diremo qual è il piano.

Nessun SOC 2

Non abbiamo completato un audit SOC 2. Il Type I è previsto per la fase B2B2C mid-market; pubblicheremo il report quando sarà pronto, e non prima.

Nessun ISO 27001

Non perseguito per la beta. Lo riconsidereremo quando la domanda degli acquirenti lo renderà rilevante.

Nessuna DPIA formale agli atti

Una valutazione d’impatto sulla protezione dei dati è riservata all’espansione nel settore sanitario. Il prodotto attuale è GDPR-by-design (riservatezza applicata strutturalmente, non tramite policy) ed è documentato come tale nell’Informativa sulla privacy e nel DPA.

Nessun CAPTCHA anti-bot ancora sul modulo di accesso

L’accesso tramite magic link è soggetto a rate limiting e fallisce silenziosamente sui tentativi di enumerazione; un CAPTCHA è in roadmap.

Zero-Data-Retention di Anthropic: richiesta, verifica in sospeso

La nostra organizzazione Anthropic è sul tier Commercial e abbiamo richiesto la ZDR. L’Informativa sulla privacy e il DPA saranno aggiornati, e i soggetti esistenti ri-consentiti, nel momento in cui la copertura ZDR sarà confermata.

Revisione di sicurezza indipendente

Esaminato a livello di codice sorgente prima del lancio.

Il codice ha subito una revisione di sicurezza a livello di sorgente il 19/05/2026. Non sono stati individuati rilievi Critical. Tutte le voci di gravità High e Medium sollevate dalla revisione sono state risolte, con un’eccezione documentata e accettata come residuo monitorabile anziché prevenuto (un caso limite di sock-puppet contro il minimo di anonimato).

La revisione si è concentrata su autenticazione, motore dell’intervista, Confidentiality Guard, fatturazione e superfici esposte ad abusi. Possiamo condividere su richiesta l’ambito e il riepilogo delle correzioni come parte di un questionario per fornitori.

Notifica delle violazioni

72 ore, per iscritto, con ciò che sappiamo e ciò che stiamo facendo.

Se veniamo a conoscenza di una violazione di dati personali che riguarda i dati di soggetti o rispondenti, notificheremo il titolare interessato senza ingiustificato ritardo ed entro 72 ore qualora la violazione possa comportare un rischio per gli interessati, in linea con l’Articolo 33 del GDPR. Gli impegni procedurali sono nel Data Processing Agreement.

Documenti legali

Il contratto e le informative, in un unico posto.

Informativa sulla privacy

Cosa trattiamo, perché, per quanto tempo e i tuoi diritti, per soggetti e rispondenti.

Termini di servizio

Il contratto per i soggetti che usano Trueings direttamente.

Master Subscription Agreement

Il contratto per le aziende che acquistano un pool di licenze per le proprie persone.

Data Processing Agreement

Ruoli, sub-responsabili, conservazione, trasferimenti, misure di sicurezza, notifica delle violazioni.

Contatti

Per il tuo team di sicurezza.

Per un questionario per fornitori, un DPA controfirmato, un abbonamento alle notifiche di modifica dei sub-responsabili o qualsiasi domanda che questa pagina lasci aperta, scrivi a teams@trueings.com. Rispondiamo entro due giorni lavorativi.

Per le richieste degli interessati (accesso, cancellazione, portabilità), i soggetti usano i controlli sulla privacy nel prodotto; rispondenti e terze parti possono scrivere a privacy@trueings.com.