Progettato per i settori regolamentati
ISO 27001, GDPR by design, AI Act compliant, hosting dei dati in UE. Modulario soddisfa i requisiti più severi di banche, assicurazioni, sanità e pubblica amministrazione.
Sicurezza a ogni livello
Certificazione ISO 27001
Modulario è gestito da AMCEF s.r.o., certificata secondo ISO/IEC 27001 (gestione della sicurezza delle informazioni) e ISO 9001 (gestione della qualità). Certificati su richiesta.
Hosting dei dati nell'UE
I vostri dati sono ospitati in data center UE certificati con data residency garantita. Nessun dato lascia l'UE — rilevante per i settori regolamentati, banche, sanità, pubblica amministrazione.
GDPR by design
Modulario è progettato in conformità al GDPR fin dalle fondamenta. Data Processing Agreement (DPA), diritti degli interessati (accesso, rettifica, cancellazione, portabilità), registro dei trattamenti, DPIA — tutto automatizzato nel sistema.
AI Act compliant
Modulario è AI Act compliant by design (UE 2024/1689). Trasparenza dei sistemi IA, supervisione umana, audit log delle decisioni IA, divieto delle pratiche proibite. Per use case AI-heavy nei settori regolamentati.
Permessi granulari (OpenFGA)
Modulario utilizza un modello ReBAC in stile Google Zanzibar (OpenFGA) — il sistema di permessi più granulare nella categoria low-code. Ruoli, gruppi, policy a livello di modulo / record / campo / azione.
SSO e SCIM
Single Sign-On tramite SAML 2.0 e OIDC, provisioning automatico degli utenti tramite SCIM 2.0. Integrazione con Azure AD, Okta, Google Workspace, ADFS.
Audit log
Registrazione completa di chi, cosa, quando e da dove ha effettuato un'operazione nel sistema. Non cancellabile, esportabile per gli audit. Conforme a SOX, SOC 2, regolatori bancari.
Backup e Disaster Recovery
Backup incrementali giornalieri, backup full settimanali. Storage geo-ridondante in due location UE. RPO 24h, RTO 4h, garanzia SLA.
Cifratura in transito e a riposo
TLS 1.3 per la comunicazione, AES-256 per lo storage. Customer-managed encryption keys (CMEK) su richiesta.
Forniamo su richiesta
- Certificato ISO 27001 AMCEF
- Certificato ISO 9001 AMCEF
- Data Processing Agreement (DPA) — IT/EN
- Business Continuity Plan (BCP)
- Disaster Recovery Plan (DRP)
- Security Whitepaper
- Sintesi del penetration test (sotto NDA)
- Questionario per due diligence (CAIQ/SIG Lite)
Domande frequenti
Posso ottenere un Data Processing Agreement (DPA) da firmare?
Sì, il DPA standard scaricabile è disponibile per tutti i clienti. Per i clienti Enterprise offriamo anche l'adattamento del DPA secondo i loro requisiti interni. Contattateci per la versione aggiornata.
Dove sono fisicamente conservati i nostri dati?
I dati sono conservati in data center certificati all'interno dell'UE (in diverse location — ad esempio Germania, Italia) con geo-ridondanza. I dati non lasciano mai l'UE. Per i clienti dei settori regolamentati è disponibile anche il deployment on-premise presso il cliente.
Chi è proprietario dei dati in Modulario?
I vostri dati restano di vostra proprietà — AMCEF è solo processor, non controller. In qualsiasi momento potete esportare i dati (formati CSV, JSON, SQL dump). Alla fine del contratto avete 30 giorni per l'export, dopodiché i dati vengono cancellati in modo irreversibile secondo l'art. 17 del GDPR.
Con quale frequenza fate i penetration test?
I penetration test esterni vengono effettuati almeno una volta all'anno da una società di security indipendente. Code review interne e SAST/DAST scanning sono parte di ogni release. Forniamo il report di sintesi del pentest sotto NDA.
Possiamo avere un cluster dedicato / self-host?
Sì. I clienti Enterprise hanno la possibilità di un cluster dedicato (singolo tenant per cluster) nella nostra infrastruttura cloud, oppure di una soluzione on-premise self-host. Tecnicamente supportiamo anche scenari ibridi (parte in cloud, parte on-prem).
Qual è il vostro processo di incident response?
Classifichiamo gli incidenti di sicurezza secondo ISO 27035 (P1-P4). Per gli incidenti P1 (data breach) abbiamo l'obbligo di notificare il cliente entro 24 ore e l'autorità garante entro 72 ore secondo l'art. 33 del GDPR. Dettagli nella documentazione SLA.
Avete la certificazione SOC 2?
SOC 2 Type II è in corso (ottenimento previsto per il Q3 2026). Attualmente abbiamo ISO 27001 e ISO 9001, che coprono la maggior parte delle stesse aree di controllo. Per i clienti enterprise statunitensi offriamo un questionario allo stesso livello di dettaglio.
Come è gestito l'utilizzo dell'IA rispetto a GDPR e AI Act?
Funzionalità IA di Modulario: (1) la scelta del provider LLM spetta al cliente (OpenAI, Anthropic, Azure, Llama/Mistral self-hosted), (2) i dati non vengono utilizzati per addestrare i modelli, (3) human-in-the-loop per le decisioni critiche, (4) audit log IA, (5) possibilità di disattivare completamente le funzionalità IA per tenant.
Domande su sicurezza o compliance?
Il nostro team Security & Compliance risponde entro 24 ore nei giorni lavorativi.
Prenota consulenza