Security Policy

Sicurezza Atto Nexus

Testo completo

Security Policy

SECURITY POLICY DI ATTO NEXUS

Data di ultimo aggiornamento: 2 maggio 2026


1. TITOLARE E CONTATTI

Atto Nexus è gestito da Federico Castorina, operante con il marchio “Atto Nexus”, con domicilio in Vicolo Enrico Toti 5B, 31038 Paese (TV), Italia.

Per comunicazioni relative alla sicurezza del servizio, vulnerabilità, accessi non autorizzati, compromissioni di account o incidenti tecnici, è possibile contattare Atto Nexus all’indirizzo:

info@atto-nexus.com


2. AMBITO DELLA SECURITY POLICY

La presente Security Policy descrive le misure generali adottate da Atto Nexus per proteggere il sito, la piattaforma, gli account utente, le organizzazioni clienti, i dati trattati e l’infrastruttura tecnica del servizio.

La policy si applica a:

- sito web atto-nexus.com;
- piattaforma applicativa Atto Nexus;
- dashboard e aree riservate;
- account utente e organizzazioni clienti;
- sistemi di autenticazione e gestione sessioni;
- sistemi di alert e comunicazioni email;
- componenti backend, frontend, database e infrastruttura applicativa;
- integrazioni con provider terzi, nei limiti delle responsabilità di Atto Nexus.

La presente policy non sostituisce le informative privacy, i Termini e Condizioni o le policy di sicurezza dei provider terzi utilizzati da Atto Nexus.


3. PRINCIPI GENERALI DI SICUREZZA

Atto Nexus adotta misure tecniche e organizzative ragionevoli e proporzionate al rischio per proteggere dati, account, applicazioni e infrastruttura.

Le misure sono orientate ai seguenti principi:

- protezione dei dati fin dalla progettazione e per impostazione predefinita;
- minimizzazione dei dati raccolti e trattati;
- separazione logica tra organizzazioni e account utente;
- controllo degli accessi in base a ruoli e necessità operative;
- protezione delle credenziali e dei token tecnici;
- limitazione dei dati sensibili nei log, nelle email e nei sistemi di supporto;
- uso di provider infrastrutturali specializzati;
- monitoraggio tecnico e gestione degli incidenti;
- revisione delle misure di sicurezza in base all’evoluzione del servizio.

Atto Nexus non promette livelli di sicurezza assoluti. Nessun sistema informatico può essere considerato completamente immune da vulnerabilità, errori di configurazione, attacchi, indisponibilità o comportamenti impropri degli utenti. Atto Nexus si impegna tuttavia ad adottare misure ragionevoli, proporzionate e progressivamente aggiornate per ridurre i rischi.


4. TIPOLOGIE DI DATI PROTETTI

Le misure di sicurezza riguardano, in particolare, le seguenti categorie di dati.

4.1 Dati degli utenti e degli account

- nome e cognome o nome completo;
- email;
- organizzazione o ente di appartenenza;
- ruolo dell’utente nel servizio;
- dati di autenticazione;
- stato dell’account, inviti, sessioni e token tecnici;
- preferenze, filtri, profili di ricerca e monitoraggi;
- richieste di supporto e messaggi inviati al servizio.

4.2 Dati delle organizzazioni clienti

- identificativi dell’organizzazione;
- membership degli utenti;
- ruoli Admin e Analyst;
- configurazioni operative;
- eventuali dati relativi a piano, abbonamento e stato del billing.

4.3 Dati di pagamento e billing

I pagamenti sono gestiti tramite Stripe. Atto Nexus non conserva dati completi di carte di pagamento, IBAN o credenziali bancarie.

Atto Nexus può conservare identificativi tecnici, stato del cliente, stato dell’abbonamento, eventi di billing, riferimenti al piano selezionato e informazioni necessarie alla gestione del rapporto contrattuale.

4.4 Dati tecnici e di sicurezza

- indirizzi IP e dati tecnici di connessione, nei limiti necessari;
- log applicativi e infrastrutturali;
- eventi di autenticazione e sicurezza;
- dati relativi a errori, disponibilità e funzionamento del servizio;
- dati necessari alla prevenzione di abusi, accessi non autorizzati, frodi, spam o uso improprio della piattaforma.

4.5 Dati provenienti da fonti pubbliche

Atto Nexus può trattare dati e metadati relativi a gare, appalti, incentivi, atti pubblici, enti, organizzazioni, aggiudicatari, beneficiari, operatori economici e altri soggetti presenti in fonti pubbliche o dataset accessibili pubblicamente.

Tali dati possono includere, in alcuni casi, dati personali di persone fisiche, imprese individuali, professionisti, referenti, RUP, funzionari, beneficiari o soggetti citati nei documenti pubblici. Atto Nexus adotta criteri di minimizzazione e utilizzo funzionale dei dati, limitando la pubblicazione e l’accessibilità di dati personali non necessari all’erogazione del servizio.


5. SICUREZZA DELL’INFRASTRUTTURA

Atto Nexus utilizza provider terzi per l’erogazione del servizio, tra cui:

- Cloudflare Pages, per hosting frontend, CDN, distribuzione e funzioni di protezione del traffico;
- Railway, per hosting backend e infrastruttura applicativa;
- PostgreSQL, per il database applicativo;
- Resend, per email transazionali e comunicazioni di servizio;
- Stripe, per checkout, pagamenti, customer portal e gestione degli abbonamenti;
- Google, per login tramite Google e, se attivato, Google Analytics 4.

L’utilizzo di provider terzi comporta che alcune misure di sicurezza, quali sicurezza fisica dei data center, protezione di rete, ridondanza, cifratura infrastrutturale, backup gestiti e continuità operativa, dipendano anche dalle configurazioni e dalle policy dei provider utilizzati.


6. TRASMISSIONE DEI DATI E PROTEZIONE DELLE COMUNICAZIONI

Atto Nexus utilizza connessioni protette tramite HTTPS/TLS per la trasmissione dei dati tra browser, frontend, backend e infrastrutture del servizio, compatibilmente con la configurazione dei provider impiegati.

L’obiettivo è ridurre il rischio di intercettazione, alterazione o accesso non autorizzato ai dati durante la trasmissione.

Gli utenti devono accedere al servizio tramite dispositivi, reti e browser aggiornati e sicuri.


7. AUTENTICAZIONE E GESTIONE DEGLI ACCOUNT

Atto Nexus prevede l’accesso tramite account utente. Le misure previste o adottate includono:

- login tramite email e password;
- login tramite Google, se attivo;
- verifica dell’indirizzo email;
- gestione di inviti per utenti appartenenti alla stessa organizzazione;
- token di verifica, reset password e invito con scadenza temporale;
- token tecnici hashati o comunque protetti, ove previsto dall’architettura;
- sessioni di autenticazione con durata limitata;
- refresh token revocabili, ove previsti;
- cookie HttpOnly e Secure in produzione, ove applicabile;
- protezione CSRF per le richieste sensibili;
- controlli CORS tramite allowlist dei domini autorizzati.

Le password degli utenti sono conservate mediante hashing con salt. Atto Nexus non conserva password in chiaro.

Gli utenti sono responsabili della riservatezza delle proprie credenziali. In caso di sospetto accesso non autorizzato, compromissione dell’account, furto di credenziali o uso anomalo del servizio, l’utente deve contattare tempestivamente Atto Nexus all’indirizzo info@atto-nexus.com.


8. RUOLI, PERMESSI E ISOLAMENTO TRA ORGANIZZAZIONI

Atto Nexus è progettato come servizio B2B multi-organizzazione. Le funzionalità di accesso e autorizzazione sono basate su:

- organizzazioni cliente;
- membership utente;
- ruoli applicativi, tra cui Admin e Analyst;
- limitazione dell’accesso ai dati della propria organizzazione;
- controlli di autorizzazione lato server;
- separazione logica dei dati tra organizzazioni diverse.

Gli amministratori dell’organizzazione cliente sono responsabili della gestione degli utenti invitati, dell’assegnazione dei ruoli e della revoca degli accessi non più necessari.

Atto Nexus raccomanda di concedere privilegi amministrativi solo agli utenti che ne abbiano effettiva necessità e di rimuovere tempestivamente gli account di collaboratori che non fanno più parte dell’organizzazione o che non devono più accedere alla piattaforma.


9. SICUREZZA APPLICATIVA

Atto Nexus adotta misure di sicurezza applicativa coerenti con la natura del servizio. Tali misure includono, ove applicabile:

- validazione server-side dei dati ricevuti;
- controlli di autorizzazione prima dell’accesso a dati o funzionalità protette;
- protezione CSRF per richieste sensibili;
- rate limiting su endpoint esposti o sensibili;
- limitazione degli errori esposti all’utente finale;
- gestione separata delle variabili d’ambiente e dei segreti applicativi;
- token tecnici con scadenza e revoca;
- logging tecnico per eventi rilevanti;
- controlli di disponibilità e health/readiness check dell’applicazione;
- uso di librerie e dipendenze aggiornate, ove possibile;
- revisione delle configurazioni prima della messa in produzione.

Atto Nexus non deve essere utilizzato per testare attacchi, exploit, scansioni aggressive o attività di sicurezza non autorizzate.


10. SICUREZZA DEI PAGAMENTI

I pagamenti, il checkout, il customer portal e la gestione degli abbonamenti sono affidati a Stripe.

Atto Nexus non memorizza direttamente dati completi di carte di pagamento, codici di sicurezza, IBAN o credenziali bancarie. Le informazioni di pagamento sono gestite da Stripe secondo i propri standard tecnici, contrattuali e di sicurezza.

Atto Nexus conserva solo le informazioni necessarie alla gestione operativa del rapporto, quali identificativi cliente, identificativi abbonamento, stato del piano, esito degli eventi di billing, collegamenti con il customer portal e dati necessari all’erogazione del servizio.

Gli utenti devono verificare attentamente le informazioni inserite nei flussi di pagamento e devono utilizzare strumenti di pagamento legittimi, autorizzati e riferibili a soggetti che abbiano titolo a usarli.


11. EMAIL TRANSAZIONALI E COMUNICAZIONI DI SERVIZIO

Atto Nexus utilizza servizi di invio email, quali Resend, per comunicazioni transazionali e di servizio, incluse, a titolo esemplificativo:

- verifica email;
- reset password;
- inviti a collaboratori;
- alert operativi su gare, appalti, incentivi o opportunità monitorate;
- riepiloghi o digest, se configurati;
- comunicazioni relative al funzionamento del servizio.

Le email di servizio non dovrebbero contenere password, segreti tecnici, token sensibili in chiaro non necessari, dati eccessivi o informazioni non pertinenti alla finalità della comunicazione.

Gli utenti devono prestare attenzione a phishing, email contraffatte e link sospetti. Atto Nexus non richiede mai la password completa via email e non chiede agli utenti di comunicare credenziali o dati di pagamento completi tramite messaggio email ordinario.


12. LOG, MONITORAGGIO E PREVENZIONE ABUSI

Atto Nexus può raccogliere e conservare log tecnici e di sicurezza per finalità di:

- funzionamento del servizio;
- diagnosi di errori;
- prevenzione di abusi, spam, frodi e accessi non autorizzati;
- rate limiting e protezione degli endpoint;
- verifica di eventi anomali;
- risposta a incidenti di sicurezza;
- tutela dei diritti di Atto Nexus, degli utenti e di terzi.

I log sono trattati secondo criteri di minimizzazione e conservati per periodi proporzionati alla finalità, come indicato nella Privacy Policy.

Atto Nexus limita, per quanto ragionevolmente possibile, l’inserimento nei log di password, segreti, token non necessari, dati di pagamento completi o informazioni eccedenti.


13. BACKUP, CONTINUITÀ OPERATIVA E RIPRISTINO

Atto Nexus adotta misure ragionevoli per ridurre il rischio di perdita accidentale dei dati, indisponibilità del servizio o interruzioni operative.

Le misure di continuità e ripristino possono includere backup, configurazioni infrastrutturali dei provider, monitoraggio dello stato dei servizi e procedure di intervento tecnico.

La disponibilità del servizio può dipendere anche da provider terzi, reti, piattaforme pubbliche, sistemi di pagamento, fonti dati esterne e servizi infrastrutturali non controllati direttamente da Atto Nexus.

Atto Nexus non garantisce assenza di interruzioni, errori, perdita di dati, ritardi o indisponibilità temporanee del servizio.


14. GESTIONE DEGLI INCIDENTI DI SICUREZZA

Atto Nexus gestisce gli incidenti di sicurezza in modo proporzionato alla natura dell’evento, ai dati coinvolti e ai rischi per utenti e interessati.

In caso di incidente, Atto Nexus può adottare una o più delle seguenti misure:

- analisi dell’evento e raccolta delle informazioni rilevanti;
- contenimento dell’incidente;
- revoca o rotazione di token, credenziali o segreti compromessi;
- limitazione temporanea di funzionalità o accessi;
- ripristino dei servizi interessati;
- comunicazione agli utenti coinvolti, ove necessario;
- documentazione interna dell’evento;
- notifica alle autorità competenti, ove richiesta dalla normativa applicabile.

Se un incidente comporta una violazione di dati personali, Atto Nexus valuta gli obblighi di notifica all’autorità di controllo e, ove necessario, agli interessati, secondo quanto previsto dalla normativa applicabile.


15. SEGNALAZIONE DI VULNERABILITÀ

Chiunque ritenga di aver individuato una vulnerabilità, un errore di configurazione, un problema di sicurezza o un comportamento anomalo del servizio può inviare una segnalazione a:

info@atto-nexus.com

La segnalazione dovrebbe includere, ove possibile:

- descrizione sintetica del problema;
- URL, endpoint o funzionalità interessata;
- passaggi necessari per riprodurre il problema;
- impatto potenziale;
- screenshot o log non contenenti dati personali di terzi, ove utili;
- recapito del segnalante per eventuali chiarimenti.

Atto Nexus esamina le segnalazioni ricevute e può contattare il segnalante per approfondimenti. L’invio di una segnalazione non comporta automaticamente il riconoscimento di compensi, premi o programmi di bug bounty, salvo diverso accordo scritto.


16. REGOLE PER LA DIVULGAZIONE RESPONSABILE

Per proteggere utenti, dati e infrastruttura, chi segnala una vulnerabilità deve evitare:

- accesso non autorizzato ad account, dati, sistemi o organizzazioni di terzi;
- esfiltrazione, copia, modifica o cancellazione di dati;
- interruzione o degrado del servizio;
- scansioni aggressive, brute force, denial of service o stress test non autorizzati;
- uso di exploit oltre quanto strettamente necessario per dimostrare la vulnerabilità;
- pubblicazione della vulnerabilità prima che Atto Nexus abbia avuto un tempo ragionevole per valutarla e intervenire;
- richieste di denaro, minacce, estorsioni o condizioni per evitare la divulgazione.

Le attività svolte in violazione di queste regole possono essere considerate non autorizzate e potranno comportare la sospensione degli account, la revoca degli accessi e la tutela dei diritti di Atto Nexus nelle sedi opportune.


17. RESPONSABILITÀ DEGLI UTENTI

Gli utenti contribuiscono alla sicurezza del servizio e sono tenuti a:

- usare password robuste e non riutilizzate su altri servizi;
- mantenere riservate le credenziali di accesso;
- non condividere account personali con altri soggetti;
- revocare tempestivamente l’accesso a utenti non più autorizzati;
- utilizzare dispositivi, browser e reti sicure;
- non caricare o comunicare dati non necessari;
- verificare l’attendibilità di email, link e comunicazioni ricevute;
- segnalare tempestivamente accessi sospetti o incidenti;
- rispettare i Termini e Condizioni e le regole di utilizzo del servizio.

Atto Nexus non è responsabile per conseguenze derivanti da comportamenti negligenti, uso improprio del servizio, condivisione non autorizzata di credenziali o mancata protezione degli account da parte degli utenti.


18. LIMITAZIONI

La presente Security Policy descrive misure e principi generali di sicurezza applicabili al servizio Atto Nexus.

Salvo diversa indicazione contrattuale, la presente policy non costituisce uno SLA, non garantisce livelli minimi di disponibilità, non certifica la conformità a standard specifici quali ISO 27001, SOC 2, PCI DSS o altri schemi di certificazione, e non garantisce l’assenza di vulnerabilità, errori, incidenti, indisponibilità o perdita di dati.

Le misure di sicurezza possono evolvere nel tempo in base allo sviluppo del servizio, alla natura dei rischi, all’introduzione di nuove funzionalità, ai provider utilizzati e agli obblighi normativi applicabili.


19. MODIFICHE ALLA SECURITY POLICY

Atto Nexus può aggiornare la presente Security Policy per riflettere modifiche tecniche, organizzative, normative o relative al servizio.

La versione aggiornata sarà pubblicata sul sito o resa disponibile attraverso la piattaforma. In caso di modifiche rilevanti, Atto Nexus potrà informare gli utenti tramite email, avviso nella dashboard o altra modalità idonea.

La data di ultimo aggiornamento indica la data dell’ultima modifica della presente Security Policy.


20. CONTATTI

Per domande, segnalazioni o comunicazioni relative alla sicurezza del servizio, è possibile contattare Atto Nexus all’indirizzo:

info@atto-nexus.com