I dati carta sono al sicuro con noi
Proteggiamo i dati carta nel nostro vault PCI DSS Level 1: crittografati, archiviati solo in data center europei, con ogni accesso registrato. Non tocca mai il numero di carta — lavora solo con token.
Dati cifrati a riposo
AES-256 nel vault
Data center in UE
I dati carta non escono dall'Europa
Accessi tracciati
Ogni richiesta viene registrata
PCI DSS Level 1
Questo è il livello più alto di conformità PCI. Significa che il nostro vault viene verificato ogni anno da assessor indipendenti e lei eredita gran parte di quella protezione.
Audit annuale
Un PCI assessor qualificato (QSA) verifica ogni anno che soddisfiamo tutti i requisiti. Il rapporto è disponibile alle reti di pagamento e, su richiesta, anche a lei.
Scansioni trimestrali
Ogni trimestre scansionamo l'infrastruttura esposta a Internet. Se troviamo qualcosa da correggere, lo risolviamo prima della scansione successiva.
Meno oneri per lei
Poiché i dati carta risiedono nel nostro vault, il suo ambito PCI si riduce. Spesso può compilare un questionario più semplice (SAQ A) invece di gestire tutto da solo.
I dati carta non lasciano mai l'UE
Archiviamo ed elaboriamo i dati carta esclusivamente all'interno dell'Unione Europea. Nessuna copia fuori dall'Europa, nessun cloud non-UE per le operazioni del vault.
Progettato per il GDPR
Accordi di trattamento dei dati, basi giuridiche e documentazione sono già predisposti. Sa dove si trovano i dati e chi li gestisce: noi, nell'UE.
Data center in Germania e Paesi Bassi
Infrastruttura ridondante con alta disponibilità. Anche il disaster recovery rimane entro i confini europei.
Nessun trasferimento all'estero
Chiavi di crittografia, mappature token e log di audit rimangono sotto giurisdizione UE. Nessun rischio legato ai trasferimenti di dati fuori dall'Europa.
Cosa garantiamo
Crittografati a riposo e in transito
I dati carta non viaggiano mai in chiaro. Li crittografiamo quando li archiviamo e quando li spostiamo tra i nostri sistemi.
AES-256 nel vault
A riposoOgni numero di carta nel vault è crittografato con AES-256. Le chiavi rimangono protette all'interno di hardware dedicato (HSM). Non le esportiamo mai in chiaro.
TLS 1.3 in transito
Solo connessioni sicureLe API e i flussi di pagamento usano TLS 1.3. Le versioni precedenti sono disabilitate. Anche se qualcuno avesse intercettato il traffico passato, non potrebbe decrittografarlo.
Rotazione delle chiavi
Nessuna interruzioneLe chiavi master ruotano ogni anno, come richiede il PCI DSS. La ri-crittografia avviene in background: nulla cambia per lei o per i suoi clienti.
AES-256
Crittografia a riposo
TLS 1.3
Tra i sistemi
Annuale
Rotazione chiavi
Le chiavi vivono in un HSM
Un HSM è un dispositivo hardware a prova di manomissione in cui generiamo e archiviamo le chiavi di crittografia. I numeri di carta non lo lasciano mai in chiaro.
Certificato FIPS 140-2 Level 3
Uno standard riconosciuto per la sicurezza hardware. Se qualcuno tenta di aprire fisicamente il dispositivo, le chiavi vengono distrutte automaticamente.
Chiavi generate all'interno dell'HSM
Generazione, rotazione e distruzione avvengono solo all'interno del perimetro HSM. Non archiviamo mai le chiavi master su disco o in storage cloud generico.
Resistenza alle manomissioni
Sensori e alloggiamenti dedicati rilevano tentativi di accesso fisico. Se qualcosa è anomalo, il materiale crittografico viene cancellato.
Come fluisce una richiesta
Controlli anti-abuso
Oltre alla crittografia e alla tokenizzazione, monitoriamo ogni richiesta. Se qualcosa sembra sbagliato, la blocchiamo o la segnaliamo prima che diventi un problema.
Limiti di frequenza
Rileviamo picchi insoliti di richieste dallo stesso account, IP o chiave API. Soglie configurabili attivano blocchi temporanei e avvisano il team di sicurezza.
Pattern sospetti
Analizziamo il traffico per individuare comportamenti insoliti: test sequenziali, volumi anomali, incongruenze geografiche. Le richieste segnalate vengono bloccate secondo la sua policy.
Monitoraggio 24/7
Il nostro team di sicurezza monitora errori, latenza e accessi ai dati. Se qualcosa si discosta dalla norma, rispondiamo entro pochi minuti.
Veniamo testati anche dall'esterno
Non ci fermiamo agli audit PCI: test di penetrazione regolari e scansioni di terze parti verificano che il vault rimanga solido.
Test di penetrazione
Due volte l'anno, aziende accreditate simulano attacchi alla nostra rete e alle nostre API. Ogni problema trovato viene corretto e verificato nuovamente.
Gestione delle vulnerabilità
Scansioni interne settimanali su tutti i componenti. I problemi critici vengono risolti entro tempi definiti: i più gravi entro 24 ore.
Rapporto SOC 2 Tipo II
Ogni anno, auditor indipendenti verificano sicurezza, disponibilità e riservatezza. Su richiesta con NDA, condividiamo il rapporto con i clienti.
Sviluppo sicuro
Ogni modifica al codice passa attraverso revisione e test automatizzati. Prima di toccare il vault, valutiamo i rischi in modo strutturato.
Risposta agli incidenti
Speriamo che non accada mai. Ma se si verifica un evento di sicurezza, lo rileviamo, lo conterremo e la teniamo informata con trasparenza.
Sempre attivo
Correlazione log e alert in tempo reale su tutta l'infrastruttura
Prima risposta
Classifichiamo la gravità e avviamo il contenimento entro 15 minuti
La informiamo
Se necessario, notifichiamo entro 72 ore come richiesto da GDPR e PCI
Analisi e correzioni
Post-mortem con azioni correttive per evitare che si ripeta
Disponibilità: 99,95% di uptime con failover automatico. Un incidente di produzione viene escalato al team senior entro 5 minuti.
99,95% uptimeStandard che rispettiamo
PCI DSS, ISO 27001, ISO 9001, SOC 2, GDPR, DORA e hardware certificato: non solo etichette, ma controlli verificati ogni anno.
PCI DSS L1
Massimo livello PCI
FIPS 140-2 L3
Hardware HSM certificato
SOC 2 Tipo II
Controlli verificati
GDPR
Dati solo nell'UE
ISO 27001
Sicurezza delle informazioni
ISO 9001
Gestione della qualità
DORA
Resilienza operativa
Audit PCI annuale
Rapporto di conformità completo
Scansioni trimestrali
Vulnerabilità esterne
Pen test semestrali
Terze parti accreditate
Vuole sapere come proteggiamo i suoi pagamenti?
Gestiamo il vault PCI. Lei integra l'API e lavora con i token. Meno rischi, meno burocrazia, stessi pagamenti.