Le parole «conforme al GDPR» sono inflazionate. Le scrive praticamente chiunque, spesso senza che dietro ci sia una verifica reale. Ecco cosa significano davvero questi standard per La Cassaforte Digitale — con fatti verificabili, non dichiarazioni generiche.
GDPR (Regolamento UE 2016/679)
L'infrastruttura de La Cassaforte Digitale è interamente situata in UE/SEE. Nessun dato transita fuori dall'Europa, nessun server è ospitato presso provider extra-europei soggetti a legislazioni come il Cloud Act. L'architettura implementa nativamente i principi di Privacy by Design e Privacy by Default: i dati sono cifrati per impostazione predefinita, l'accesso è limitato al titolare tramite il PIN Master, e nessun dato viene raccolto oltre lo stretto necessario per il funzionamento del servizio.
Il DPA (Data Processing Agreement) è disponibile su richiesta per aziende e professionisti che necessitano di formalizzare il rapporto di trattamento dati secondo l'Art. 28 del GDPR.
AES-256 (FIPS 197)
AES-256 è lo standard crittografico approvato dal NIST degli Stati Uniti, utilizzato da governi, forze armate e istituzioni finanziarie a livello globale per proteggere informazioni classificate. Ad oggi non ha vulnerabilità note. Con 2^256 possibili combinazioni, un attacco brute-force richiederebbe più tempo dell'età dell'universo anche con i supercomputer più potenti esistenti.
Argon2ID
Argon2ID è il vincitore della Password Hashing Competition e lo standard raccomandato dall'OWASP per la protezione delle credenziali. A differenza dei vecchi algoritmi come SHA-256 o bcrypt, Argon2ID è memory-hard: richiede grandi quantità di memoria RAM per ogni tentativo, rendendo gli attacchi con hardware specializzato enormemente più costosi. Il PIN Master degli utenti è protetto esclusivamente con Argon2ID.
TLS 1.3
TLS 1.3 è il protocollo più recente per la cifratura delle comunicazioni web. Rispetto alle versioni precedenti, elimina cipher suite obsolete e vulnerabili e offre una sicurezza significativamente superiore. La Cassaforte Digitale utilizza esclusivamente TLS 1.3 con certificato SSL valido e cipher suite moderne.
OWASP Top 10
OWASP pubblica periodicamente la lista delle 10 vulnerabilità web più critiche. La Cassaforte Digitale implementa misure di mitigazione specifiche per ciascuna, dalla protezione contro injection e cross-site scripting alla gestione sicura delle sessioni e degli errori.
Su richiesta è possibile ottenere documentazione tecnica dettagliata su ciascuno di questi standard, il DPA completo e il White Paper Tecnico.
Non dichiarazioni: fatti. Verificabili da qualsiasi esperto di sicurezza informatica. Perché la conformità non è un'etichetta — è una pratica quotidiana.