Le parole «conforme al GDPR» sono inflazionate. Le scrive praticamente chiunque, spesso senza che dietro ci sia una verifica reale. Ecco cosa significano davvero questi standard per La Cassaforte Digitale — con fatti verificabili, non dichiarazioni generiche.
GDPR (Regolamento UE 2016/679)
L'infrastruttura de La Cassaforte Digitale è distribuita in 4 paesi europei con legislazione conforme o equivalente al GDPR: Italia, Francia, Germania e Svizzera (decisione di adeguatezza ex art. 45 GDPR). Nessun dato transita verso paesi con legislazioni meno protettive, nessun server è ospitato presso provider extra-europei soggetti a normative come il Cloud Act. L'architettura implementa nativamente i principi di Privacy by Design e Privacy by Default: i dati sono cifrati per impostazione predefinita, l'accesso è limitato al titolare tramite la Chiave Privata (PIN Master), e nessun dato viene raccolto oltre lo stretto necessario per il funzionamento del servizio.
Il DPA (Data Processing Agreement) è disponibile su richiesta per aziende e professionisti che necessitano di formalizzare il rapporto di trattamento dati secondo l'Art. 28 del GDPR.
AES-256 (FIPS 197)
AES-256 è lo standard crittografico approvato dal NIST degli Stati Uniti, utilizzato da governi, forze armate e istituzioni finanziarie a livello globale per proteggere informazioni classificate. Ad oggi non ha vulnerabilità note. Con 2^256 possibili combinazioni, un attacco brute-force richiederebbe più tempo dell'età dell'universo anche con i supercomputer più potenti esistenti.
Argon2ID
Argon2ID è il vincitore della Password Hashing Competition e lo standard raccomandato dall'OWASP per la protezione delle credenziali. A differenza degli algoritmi tradizionali, Argon2ID è memory-hard: richiede grandi quantità di memoria RAM per ogni tentativo, rendendo gli attacchi con hardware specializzato enormemente più costosi. La Chiave Privata degli utenti è protetto esclusivamente con Argon2ID.
TLS 1.3
TLS 1.3 è il protocollo più recente per la cifratura delle comunicazioni web. Rispetto alle versioni precedenti, elimina cipher suite obsolete e vulnerabili e offre una sicurezza significativamente superiore. La Cassaforte Digitale utilizza esclusivamente TLS 1.3 con certificato SSL valido e cipher suite moderne.
OWASP Top 10
OWASP pubblica periodicamente la lista delle 10 vulnerabilità web più critiche. La Cassaforte Digitale implementa misure di mitigazione specifiche per ciascuna, dalla protezione contro injection e cross-site scripting alla gestione sicura delle sessioni e degli errori.
Su richiesta è possibile ottenere documentazione tecnica dettagliata su ciascuno di questi standard, il DPA completo e il White Paper Tecnico.
Non dichiarazioni: fatti. Verificabili da qualsiasi esperto di sicurezza informatica. Perché la conformità non è un'etichetta — è una pratica quotidiana.