AI ChatSicurezza by design
Ogni componente di NucleusTeamsHUB è progettato con la sicurezza come requisito primario, non come aggiunta a posteriori.
Principi fondamentali
Ogni livello dell'applicazione è progettato per proteggere i dati della tua organizzazione.
On-premise by default
I dati non lasciano mai la tua infrastruttura. Nessun dato trasmesso a server terzi senza esplicita configurazione da parte tua.
Cifratura file a riposo
Tutti i file sono cifrati a riposo con AES-256-GCM. La chiave di cifratura è configurata da te e rimane sotto il tuo controllo esclusivo.
Autenticazione robusta
JWT HMAC con sessione unica per utente, revoca token granulare, supporto 2FA via SMS OTP configurabile per ogni account.
Controllo accessi granulare
Matrice permessi bitmask per funzione, ruoli personalizzabili, supporto deleghe temporanee e audit trail di ogni cambio permesso.
Audit log completo
Ogni azione critica è registrata con timestamp, utente e contesto operativo. Esportabile per revisioni interne e compliance normativa.
Isolamento rete
Deploy dietro reverse proxy Caddy con HTTPS automatico. Configurazione di rete interamente sotto il tuo controllo.
GDPR by architecture
NTH non richiede DPA con vendor cloud: sei tu il Titolare del trattamento, i dati restano sulla tua infrastruttura.
Art. 5 Minimizzazione e limitazione della conservazione garantite dall'architettura on-premise
Art. 17 Diritto alla cancellazione: eliminazione fisica immediata sul tuo DB, senza dipendere dal vendor
Art. 25 Privacy by design: cifratura AES-256, RBAC e accesso minimo attivi di default, non opzionali
Art. 30 Registro trattamenti: audit log strutturato con utente, timestamp, IP e risorsa coinvolta
Art. 32 Misure di sicurezza adeguate: AES-256-GCM, JWT HMAC, 2FA/OTP, TLS automatico, rete isolabile
Art. 33 Notifica data breach: log centralizzato per ricostruire esattamente quali dati, quando e da chi acceduti
Ogni azione è tracciata e firmata
Il Registro Attività è il cuore della responsabilità interna: ogni operazione viene registrata in un log crittograficamente firmato, inalterabile anche dall'amministratore.
Chi, cosa, quando, dove
Ogni evento registra utente, azione eseguita, timestamp preciso e indirizzo IP. Dati sempre disponibili per analisi forensi.
Log inalterabile
I record non possono essere modificati o cancellati nemmeno dal super-admin. Integrità garantita da hash crittografici SHA-256 concatenati.
Monitoraggio in tempo reale
Dashboard live con le ultime azioni, alert su eventi critici (eliminazioni, esportazioni massive, cambi permessi) e notifica immediata.
Export per compliance
Esporta il log in formato strutturato (CSV, JSON) per audit GDPR, ISO 27001 o normative di settore, con firma digitale inclusa.
Il Registro Attività è disponibile come modulo integrato in NucleusTeamsHUB. Nessuno potrà mai dire "non sono stato io".
Sicurezza a livello infrastrutturale
On-premise, rete segregata, TLS 1.3 e gestione centralizzata dei segreti.
Deployment on-premise
L'app gira nel datacenter del cliente. Nessun dato esce dalla rete aziendale. Pieno controllo sulla sovereignty dei dati.
TLS 1.3 end-to-end
Tutte le comunicazioni client-server e server-server sono cifrate con TLS 1.3. I certificati sono gestiti automaticamente con rinnovo automatico.
Gestione segreti centralizzata
Credenziali, chiavi API e token sono salvati in un vault cifrato. Mai in variabili d'ambiente in chiaro o nei log.
Segmentazione di rete
I servizi interni non sono esposti su internet. Firewall applicativo (WAF), rate limiting e geo-blocking configurabili.
Backup cifrati off-site
I backup sono cifrati AES-256 e replicati in storage off-site. La chiave di cifratura è separata dai dati.
Vulnerability assessment
L'applicazione è sottoposta a periodic vulnerability assessment e revisione del codice. Le CVE critiche sono patched entro 72 ore dalla disclosure.
AI Governance & Safety
L'AI in NucleusTeamsHUB è controllata dal CEO e dagli admin con massima trasparenza, tracciabilità e protezione da manipolazioni.
Consenso esplicito dell'utente
Ogni feature AI richiede attivazione esplicita. L'utente sa esattamente quando un'azione è elaborata da AI. Nessun utilizzo silenzioso.
Controllo accesso basato su ruolo
Il CEO e admin decidono chi può usare l'AI e su quali feature. Disattivazione granulare per utente, team o modulo.
Protezione da prompt injection
Validazione e sanitazione dei prompt, monitoring per pattern sospetti di manipolazione, blocco automatico di tentativi non autorizzati.
Audit trail completo dell'AI
Ogni prompt, risposta e azione AI è registrata con utente, timestamp e risultato. Esportabile per revisioni e compliance.
Filtraggio output AI
Ogni risposta generata dall'AI viene analizzata prima di essere mostrata all'utente: rilevamento di contenuti inappropriati, dati sensibili o allucinazioni ad alto rischio.
Isolamento dati per tenant
I dati di ogni cliente sono completamente separati a livello di database e modello. Il contesto AI di un cliente non è mai accessibile da un altro.
Protocollo di risposta agli incidenti
In caso di data breach o incidente di sicurezza, un protocollo strutturato garantisce notifica tempestiva e contenimento.
Rilevamento
Monitoraggio continuo con alert automatici su anomalie di accesso, picchi di traffico anomali e pattern sospetti.
Contenimento
Isolamento immediato del sistema compromesso, revoca automatica dei token attivi e blocco accessi dall'IP sorgente.
Notifica
Notifica al DPO interno e alle autorità competenti (Garante Privacy) entro 72 ore dalla scoperta, come previsto dall'Art. 33 GDPR.
Ripristino
Ripristino da backup verificato, post-mortem documentato e aggiornamento delle misure di sicurezza per prevenire la ricorrenza.