Residenza dei dati e privacy
Maintainer: Aether365 Team Destinatari: Responsabili della protezione dei dati e team di conformità Ambito: Dove Aether365 archivia i dati e flusso dei dati tra le regioni
Dove vengono archiviati i tuoi dati
Aether365 opera su due data plane indipendenti: EU (Stoccolma, Ireland) e US (N. Virginia, USA). Ogni tenant risiede interamente in una sola regione - i dati non vengono mai replicati tra di esse.
Scegli la tua regione dati la prima volta che accedi:
- Dopo aver completato la registrazione vieni portato alla schermata Scegli la tua regione dati.
- Seleziona Europa (EU) o Stati Uniti (US).
- Conferma. La scelta è permanente - non può essere modificata successivamente.
La regione scelta viene registrata come claim region nel tuo token di accesso e nel record del tenant. Ogni chiamata API della tua app viene instradata all'endpoint API della regione corrispondente, e le azioni amministrative sul tuo tenant sono limitate al database di quella regione.
| Tipo di dato | Servizio di archiviazione | Regione |
|---|---|---|
| Risultati delle scansioni e anomalie | Database (PostgreSQL) | La regione scelta |
| Metadati tenant e account | Database (PostgreSQL) | La regione scelta |
| File dei risultati delle scansioni | Object storage | La regione scelta |
| Segreti applicativi (credenziali) | Encrypted secrets vault | La regione scelta |
| Log di accesso | Platform logging service | La regione scelta |
| Identità (pool utenti identity service) | Identity service | EU (pool globale singolo, solo claim) |
Quali dati archiviamo
Dati che raccogliamo e perché
| Categoria | Dati | Scopo |
|---|---|---|
| Dati dell'account | Indirizzo email, ID tenant Microsoft, livello del piano | Identità, fatturazione e controllo accessi |
| Snapshot della configurazione | Valori letti da Microsoft Graph durante le scansioni | Valutazione dei controlli di sicurezza |
| Risultati delle scansioni | Stato superato/non superato/ignorato per controllo, valori rilevati, punteggi | Report di conformità |
| Metadati delle connessioni | ID tenant Microsoft, timestamp di connessione | Gestione delle connessioni ai tenant |
| Impostazioni delle notifiche | Indirizzi email, URL webhook Teams | Invio delle notifiche delle scansioni |
| Voci del registro di audit | Azione, utente, timestamp, IP | Funzionalità di audit trail Enterprise |
Dati che non raccogliamo
- Contenuti email, dati del calendario o qualsiasi contenuto generato dagli utenti di Microsoft 365
- Password o credenziali degli utenti Microsoft
- Token di accesso Microsoft Graph (utilizzati temporaneamente durante le scansioni, mai archiviati)
- Qualsiasi dato dei servizi Microsoft 365 non necessario per valutare i controlli di sicurezza
- Qualsiasi dato inviato a servizi di AI o di machine learning: i tuoi dati di configurazione e di scansione non vengono mai utilizzati per addestrare modelli di AI né trattati da strumenti di AI di terze parti
Conservazione dei dati
I dati delle scansioni vengono conservati per un periodo di conservazione definito, dopodiché vengono eliminati definitivamente dal database e da object storage. L'eliminazione è irreversibile. Puoi configurare un periodo di conservazione più breve in Impostazioni > Conservazione. Contatta support@aether365.io per discutere periodi di conservazione personalizzati.
Eliminazione dei dati
Eliminare una scansione
Puoi eliminare singole scansioni dalla pagina Scansioni. Questo rimuove permanentemente il record della scansione e tutti i risultati dei test associati dal database e da object storage.
Eliminare il tuo account
Per richiedere l'eliminazione dell'account, contatta hello@aether365.io. Provvederemo a:
- Confermare la tua identità
- Eliminare tutti i dati delle scansioni, i metadati dell'account e le impostazioni delle notifiche entro 30 giorni
- Inviare un'email di conferma dell'eliminazione
L'eliminazione dell'account è irreversibile.
Richieste dell'interessato
Per esercitare i tuoi diritti ai sensi del GDPR (accesso, rettifica, cancellazione, portabilità), contatta privacy@aether365.io. Rispondiamo alle richieste degli interessati entro 30 giorni.
Sub-responsabili del trattamento
Aether365 utilizza i seguenti sub-responsabili per l'erogazione del servizio:
| Sub-responsabile | Scopo | Ubicazione |
|---|---|---|
| Infrastruttura cloud | Hosting, storage, calcolo, invio email | EU (Stoccolma, Ireland) |
| Microsoft Azure / Entra ID | Autenticazione (OpenID Connect) | EU |
| Stripe | Elaborazione pagamenti | US / EU |
Non vendiamo né condividiamo i tuoi dati con terze parti per scopi pubblicitari o di marketing.
Accordo sul trattamento dei dati
Un Data Processing Agreement (DPA) è disponibile per i clienti dei piani Pro ed Enterprise. Richiedi il DPA inviando un'email a privacy@aether365.io.