Accordo sul trattamento dei dati

"Titolare del trattamento" indica la persona fisica che crea e possiede i dati all'interno della propria cassaforte Clavitor. Lei è sempre il Titolare del trattamento delle proprie credenziali e dei propri dati personali.

"Responsabile del trattamento" indica Clavitor.ai, l'entità che fornisce servizi di hosting, orchestrazione della crittografia e archiviazione dei dati per conto del Titolare del trattamento.

"Interessato" indica la persona fisica i cui dati personali sono trattati; questa può essere Lei (il Titolare del trattamento) o altre persone i cui dati Lei archivia nella propria cassaforte (familiari, dipendenti, clienti).

"Dati personali" indica qualsiasi informazione relativa a una persona fisica identificata o identificabile archiviata nella Sua cassaforte, inclusi, a titolo esemplificativo ma non esaustivo: credenziali, password, chiavi API, dati di carte di pagamento, documenti d'identità e informazioni di contatto.

"Trattamento" indica qualsiasi operazione eseguita sui Dati personali, inclusi raccolta, archiviazione, crittografia, trasmissione, backup ed eliminazione.

3.1 Trattare solo su istruzioni documentate. Clavitor tratta i Dati personali solo per fornire il servizio di cassaforte come descritto nei nostri Termini di Servizio. Non utilizziamo i dati per i nostri scopi, per addestrare modelli IA, derivare insight o monetizzare oltre le tariffe di abbonamento.

3.2 Garantire la riservatezza. Tutto il personale Clavitor con potenziale accesso all'infrastruttura è vincolato da accordi di riservatezza. L'accesso viene concesso secondo il principio del privilegio minimo e registrato.

3.3 Implementare misure di sicurezza. Implementiamo:

• Crittografia end-to-end: Dati crittografati a riposo e in transito
• Crittografia a livelli (L2/L3): Campi di identità crittografati con chiavi derivate dal Suo dispositivo (WebAuthn PRF) — non decifrabili da noi
• Architettura zero-knowledge: Non possiamo decifrare il contenuto della cassaforte; solo i metadati (ID delle voci, tipi, timestamp) sono leggibili
• Autenticazione basata sul dispositivo (WebAuthn): Nessuna password archiviata lato server
• Distribuzione geografica: 21 Punti di Presenza (POP) con replica crittografata
• Risposta agli incidenti: Monitoraggio 24/7, avvisi automatici, procedure documentate di violazione

3.4 Trasparenza dei sub-responsabili del trattamento. Utilizziamo solo i sub-responsabili del trattamento elencati nel nostro Elenco dei sub-responsabili del trattamento. Notifichiamo agli abbonati 30 giorni prima di aggiungere qualsiasi nuovo sub-responsabile del trattamento.

3.5 Assistere con i diritti degli Interessati. Su Sua richiesta, La assisteremo nel rispondere alle richieste degli Interessati che esercitano i diritti ai sensi del GDPR/FADP (accesso, rettifica, cancellazione, portabilità, limitazione, opposizione). Nota: A causa dell'architettura di crittografia, non possiamo accedere o modificare il contenuto crittografato della cassaforte; l'assistenza è limitata alle operazioni a livello di account.

3.6 Assistere con gli obblighi di sicurezza. Forniamo documentazione sulla sicurezza, riepiloghi di penetration test (è richiesto un NDA per i dettagli) e log di audit su richiesta.

3.7 Eliminare o restituire i dati. Al termine dell'abbonamento, le Sue casseforti diventano di sola lettura per 30 giorni. Dopo 30 giorni, i dati della cassaforte vengono eliminati in modo permanente. I backup di conformità vengono distrutti 30 giorni dopo l'eliminazione. Per gli account sospesi a causa di mancato pagamento, i dati vengono eliminati 30 giorni dopo la sospensione e i backup vengono ruotati 60 giorni dopo. L'eliminazione immediata è disponibile su richiesta in qualsiasi momento. I dati non possono essere restituiti in forma decifrata (non abbiamo le chiavi). Dettagli completi nei nostri Termini di Servizio.

3.8 Audit e ispezione. Con preavviso scritto di 30 giorni, Lei può verificare la nostra conformità al presente DPA. Gli audit vengono condotti presso la nostra sede centrale di Zurigo o virtualmente. Forniamo la documentazione pertinente; l'accesso diretto all'infrastruttura richiede un nulla osta di sicurezza.

3.9 Notificare le violazioni. La notifichiamo entro 24 ore dalla scoperta di qualsiasi violazione che interessi i Suoi Dati personali. Non ritarderemo mai la notifica per indagini o revisioni legali.

3.10 Documentare le attività di trattamento. Manteniamo registri delle attività di trattamento e rendiamo disponibili riepiloghi su richiesta.

Lei garantisce che:

• Lei dispone di una base giuridica per trattare i Dati personali nella Sua cassaforte
• Lei ha fornito informative sulla privacy appropriate agli Interessati i cui dati Lei archivia
• Lei non archivierà dati in violazione delle leggi applicabili
• Lei ci notificherà prontamente qualsiasi richiesta degli Interessati o indagine normativa

I dati della Sua cassaforte sono archiviati crittografati nel Punto di Presenza (POP) geograficamente più vicino al Suo schema di accesso. I POP primari e di backup si trovano in regioni diverse per garantire la resilienza. L'elenco completo dei 21 POP con città, provider e certificazioni di conformità è mantenuto nel nostro database POP.

I provider di infrastrutture utilizzati per i POP includono: Amazon Web Services (17 POP, provider principale per la maggior parte delle regioni), ISHosting (Istanbul, Almaty, Bogotá) e HostAfrica (Lagos). Le operazioni della sede centrale di Zurigo (fatturazione, amministrazione) utilizzano Hostkey.

Tutti i POP sono:

• In giurisdizioni con decisioni di adeguatezza (UE, SEE, Svizzera, Regno Unito, Canada, ecc.)
• Vincolati da Clausole Contrattuali Standard (SCC) laddove non esista una decisione di adeguatezza

A causa della nostra architettura di crittografia (zero-knowledge), anche i dati archiviati in giurisdizioni non adeguate sono tecnicamente protetti. Non possiamo decifrarli; né le autorità locali. La risoluzione DNS è gestita da Cloudflare; nessun dato della cassaforte passa mai attraverso la loro rete.

Nessun dato è decifrabile da noi a riposo. Il file della cassaforte è crittografato e la chiave di crittografia non è archiviata sul server. Quando un agente o un utente si connette, porta con sé la chiave L1 — potremmo tecnicamente intercettarla in transito (anche se non lo facciamo, e TLS impedisce a terzi di farlo). Anche con L1, sono visibili solo i metadati. I campi delle credenziali e dell'identità rimangono sigillati.

• L1 (Crittografia della cassaforte): La cassaforte è crittografata a riposo con AES-256-GCM. La chiave L1 a 8 byte viene trasportata dall'agente o dall'utente ad ogni richiesta — non è archiviata sul server. Con L1, sono visibili i titoli delle voci, i tipi e i timestamp. Questo è il minimo operativo richiesto per servire le richieste.
• L2 (Campi delle credenziali): Password, chiavi API, seed TOTP, token OAuth — crittografati per campo con una chiave a 16 byte che non esiste mai sul server. L2 è detenuta solo dal browser dell'utente e dai suoi agenti registrati. Non possiamo decifrare i campi delle credenziali e nessun processo lato server ha mai accesso a L2.
• L3 (Campi di identità): Carte di credito, CVV, numeri di passaporto, codici fiscali, codici di recupero — crittografati con una chiave a 32 byte di pura entropia casuale, generata alla creazione della cassaforte. L'utente non conosce questa chiave. Noi non ce l'abbiamo. L3 non esiste mai su alcun server. È protetta incapsulandola con l'output a 32 byte della PRF della Sua chiave hardware (impronta digitale, volto o chiave di sicurezza tramite WebAuthn PRF). Senza il dispositivo fisico, L3 non può essere spacchettata. Matematicamente non possiamo decifrare i campi di identità e non possiamo essere obbligati a produrre una chiave che non possediamo.

Per richieste relative al DPA:

Responsabile della Protezione dei Dati (DPO) Clavitor LLC c/o Johan Jongsma

Il presente DPA è efficace a partire dalla data di inizio del Suo abbonamento e rimane in vigore fino alla cessazione. Le modifiche vengono notificate con 30 giorni di preavviso. L'uso continuato costituisce accettazione.

Ultimo aggiornamento: 25 maggio 2026 · Versione 1.1