Sicurezza

I dati carta sono al sicuro con noi

Proteggiamo i dati carta nel nostro vault PCI DSS Level 1: crittografati, archiviati solo in data center europei, con ogni accesso registrato. Non tocca mai il numero di carta — lavora solo con token.

Certificazione

PCI DSS Level 1

Questo è il livello più alto di conformità PCI. Significa che il nostro vault viene verificato ogni anno da assessor indipendenti e lei eredita gran parte di quella protezione.

Audit annuale

Un PCI assessor qualificato (QSA) verifica ogni anno che soddisfiamo tutti i requisiti. Il rapporto è disponibile alle reti di pagamento e, su richiesta, anche a lei.

Scansioni trimestrali

Ogni trimestre scansionamo l'infrastruttura esposta a Internet. Se troviamo qualcosa da correggere, lo risolviamo prima della scansione successiva.

Meno oneri per lei

Poiché i dati carta risiedono nel nostro vault, il suo ambito PCI si riduce. Spesso può compilare un questionario più semplice (SAQ A) invece di gestire tutto da solo.

Solo Europa

I dati carta non lasciano mai l'UE

Archiviamo ed elaboriamo i dati carta esclusivamente all'interno dell'Unione Europea. Nessuna copia fuori dall'Europa, nessun cloud non-UE per le operazioni del vault.

Progettato per il GDPR

Accordi di trattamento dei dati, basi giuridiche e documentazione sono già predisposti. Sa dove si trovano i dati e chi li gestisce: noi, nell'UE.

Data center in Germania e Paesi Bassi

Infrastruttura ridondante con alta disponibilità. Anche il disaster recovery rimane entro i confini europei.

Nessun trasferimento all'estero

Chiavi di crittografia, mappature token e log di audit rimangono sotto giurisdizione UE. Nessun rischio legato ai trasferimenti di dati fuori dall'Europa.

Cosa garantiamo

Dati carta archiviati solo in data center UE
Chiavi di crittografia generate e conservate nell'UE
DPA conforme al GDPR Art. 28 disponibile
Nessun sub-responsabile non-UE per il vault
Disaster recovery entro i confini UE
Crittografia

Crittografati a riposo e in transito

I dati carta non viaggiano mai in chiaro. Li crittografiamo quando li archiviamo e quando li spostiamo tra i nostri sistemi.

01

AES-256 nel vault

A riposo

Ogni numero di carta nel vault è crittografato con AES-256. Le chiavi rimangono protette all'interno di hardware dedicato (HSM). Non le esportiamo mai in chiaro.

02

TLS 1.3 in transito

Solo connessioni sicure

Le API e i flussi di pagamento usano TLS 1.3. Le versioni precedenti sono disabilitate. Anche se qualcuno avesse intercettato il traffico passato, non potrebbe decrittografarlo.

03

Rotazione delle chiavi

Nessuna interruzione

Le chiavi master ruotano ogni anno, come richiede il PCI DSS. La ri-crittografia avviene in background: nulla cambia per lei o per i suoi clienti.

AES-256

Crittografia a riposo

TLS 1.3

Tra i sistemi

Annuale

Rotazione chiavi

Hardware dedicato

Le chiavi vivono in un HSM

Un HSM è un dispositivo hardware a prova di manomissione in cui generiamo e archiviamo le chiavi di crittografia. I numeri di carta non lo lasciano mai in chiaro.

Certificato FIPS 140-2 Level 3

Uno standard riconosciuto per la sicurezza hardware. Se qualcuno tenta di aprire fisicamente il dispositivo, le chiavi vengono distrutte automaticamente.

Chiavi generate all'interno dell'HSM

Generazione, rotazione e distruzione avvengono solo all'interno del perimetro HSM. Non archiviamo mai le chiavi master su disco o in storage cloud generico.

Resistenza alle manomissioni

Sensori e alloggiamenti dedicati rilevano tentativi di accesso fisico. Se qualcosa è anomalo, il materiale crittografico viene cancellato.

Come fluisce una richiesta

La sua richiesta API (TLS 1.3)
PCI Proxy Engine Riceve i dati carta e crea il token
HSM (FIPS 140-2 L3) Genera le chiavi e crittografa i dati carta
Vault crittografato (AES-256) Numero carta crittografato, chiavi solo nell'HSM
Protezione attiva

Controlli anti-abuso

Oltre alla crittografia e alla tokenizzazione, monitoriamo ogni richiesta. Se qualcosa sembra sbagliato, la blocchiamo o la segnaliamo prima che diventi un problema.

Limiti di frequenza

Rileviamo picchi insoliti di richieste dallo stesso account, IP o chiave API. Soglie configurabili attivano blocchi temporanei e avvisano il team di sicurezza.

Pattern sospetti

Analizziamo il traffico per individuare comportamenti insoliti: test sequenziali, volumi anomali, incongruenze geografiche. Le richieste segnalate vengono bloccate secondo la sua policy.

Monitoraggio 24/7

Il nostro team di sicurezza monitora errori, latenza e accessi ai dati. Se qualcosa si discosta dalla norma, rispondiamo entro pochi minuti.

Test esterni

Veniamo testati anche dall'esterno

Non ci fermiamo agli audit PCI: test di penetrazione regolari e scansioni di terze parti verificano che il vault rimanga solido.

01

Test di penetrazione

Due volte l'anno, aziende accreditate simulano attacchi alla nostra rete e alle nostre API. Ogni problema trovato viene corretto e verificato nuovamente.

02

Gestione delle vulnerabilità

Scansioni interne settimanali su tutti i componenti. I problemi critici vengono risolti entro tempi definiti: i più gravi entro 24 ore.

03

Rapporto SOC 2 Tipo II

Ogni anno, auditor indipendenti verificano sicurezza, disponibilità e riservatezza. Su richiesta con NDA, condividiamo il rapporto con i clienti.

04

Sviluppo sicuro

Ogni modifica al codice passa attraverso revisione e test automatizzati. Prima di toccare il vault, valutiamo i rischi in modo strutturato.

Se accade qualcosa

Risposta agli incidenti

Speriamo che non accada mai. Ma se si verifica un evento di sicurezza, lo rileviamo, lo conterremo e la teniamo informata con trasparenza.

24/7
Monitoraggio

Sempre attivo

Correlazione log e alert in tempo reale su tutta l'infrastruttura

<15m
Rilevamento

Prima risposta

Classifichiamo la gravità e avviamo il contenimento entro 15 minuti

<72h
Comunicazione

La informiamo

Se necessario, notifichiamo entro 72 ore come richiesto da GDPR e PCI

Dopo
Miglioramento

Analisi e correzioni

Post-mortem con azioni correttive per evitare che si ripeta

Disponibilità: 99,95% di uptime con failover automatico. Un incidente di produzione viene escalato al team senior entro 5 minuti.

99,95% uptime
Certificazioni

Standard che rispettiamo

PCI DSS, ISO 27001, ISO 9001, SOC 2, GDPR, DORA e hardware certificato: non solo etichette, ma controlli verificati ogni anno.

PCI DSS L1

Massimo livello PCI

FIPS 140-2 L3

Hardware HSM certificato

SOC 2 Tipo II

Controlli verificati

GDPR

Dati solo nell'UE

ISO 27001

Sicurezza delle informazioni

ISO 9001

Gestione della qualità

DORA

Resilienza operativa

Audit PCI annuale

Rapporto di conformità completo

Scansioni trimestrali

Vulnerabilità esterne

Pen test semestrali

Terze parti accreditate

Vuole sapere come proteggiamo i suoi pagamenti?

Gestiamo il vault PCI. Lei integra l'API e lavora con i token. Meno rischi, meno burocrazia, stessi pagamenti.