Traduzione automatica · in attesa di revisione Questa pagina è stata tradotta automaticamente dalla versione inglese. Un revisore madrelingua la verificherà prima che questa lingua venga considerata definitiva. La versione inglese è quella canonica.

Sicurezza

La sicurezza spiegata chiaramente.

Cosa facciamo oggi, verso cosa stiamo lavorando e cosa non faremo mai. Cerchiamo di essere onesti su entrambi gli aspetti — i ristoranti e i partner lo meritano, e la sicurezza basata sull'oscurità non è sicurezza.

Postura attuale

Infrastruttura ospitata nell'EU

Tutta l'infrastruttura di produzione è ospitata nello Spazio Economico Europeo. I backup sono archiviati nel SEE. Non trasferiamo dati personali verso paesi terzi, se non tramite Clausole Contrattuali Standard firmate per finalità limitate di fornitori (es. Anthropic per il widget AI Ask).

Crittografia in transito e a riposo

TLS 1.2+ su ogni endpoint pubblico con HSTS. Lo storage del database e i backup sono crittografati a riposo. Le chiamate tra servizi avvengono su canali autenticati.

Isolamento dei dati di pagamento

Fooodo non vede mai i dati grezzi della carta. I pagamenti sono gestiti da Mollie nell'ambito del loro perimetro PCI. L'app del menu riceve un URL di checkout e un callback — la carta non entra mai in contatto con la nostra infrastruttura.

Autenticazione e accesso

L'accesso di operatori e amministratori è protetto da account individuali con assegnazioni di ruolo verificabili. Token di sessione, IP, impronta digitale del dispositivo e timestamp di accesso vengono registrati per la revisione della sicurezza.

Isolamento dei tenant

Ogni record è associato a un tenant aziendale. Le policy sui ruoli applicano i confini del tenant a livello di accesso ai dati; gli amministratori del ristorante possono gestire solo il proprio ristorante.

Conformità GDPR

Minimizzazione dei dati per impostazione predefinita. Ogni raccomandazione che riguarda i dipendenti in Fooodo Insights richiede l'approvazione umana (GDPR Article 22). Gli interessati possono esercitare i propri diritti tramite dpo@fooodo.com.

Sub-responsabili del trattamento

Utilizziamo un numero limitato di sub-responsabili verificati. L'elenco aggiornato:

VendorRoleRegion
MollieElaborazione dei pagamentiEU
VercelHosting del sito marketingRegioni EU per questo sito
AnthropicModelli che alimentano il widget AskInternazionale (SCC in vigore)

L'elenco completo dei sub-responsabili, inclusi i fornitori di infrastruttura della piattaforma Fooodo, è disponibile su richiesta agli operatori nell'ambito del Contratto di trattamento dei dati.

La roadmap della sicurezza

SOC 2 Type II formale

Previsto

Al momento non siamo certificati SOC 2. L'attività di audit è in roadmap; la tempistica dipende dalla domanda dei clienti. Il nostro framework di controllo interno è disponibile su richiesta.

ISO/IEC 27001

In valutazione

Monitoriamo internamente la conformità allo standard; la certificazione richiede un processo di 12+ mesi e viene decisa in base alla domanda dei clienti.

Penetration testing

Annuale

Ci avvaliamo di tester esterni con cadenza annuale e dopo modifiche architetturali rilevanti. I report vengono sintetizzati per i team di sicurezza dei clienti su richiesta.

Segnalazione vulnerabilità

Live

Le segnalazioni vanno inviate a security@fooodo.com (PGP disponibile su richiesta). Confermiamo la ricezione entro due giorni lavorativi. Al momento non gestiamo un programma di bug bounty a pagamento.

Gestione degli incidenti

In caso di incidente di sicurezza che coinvolga un cliente, notifichiamo il referente designato entro 72 ore dalla presa di conoscenza (il termine di notifica delle violazioni previsto dal GDPR) e inviamo un rapporto scritto entro 30 giorni. Per qualsiasi evento legato ai pagamenti, coordiniamo con i canali di gestione degli incidenti dei provider di pagamento.

Cosa non faremo mai

  • Non venderemo i tuoi dati, i dati dei tuoi ospiti o quelli del tuo personale — a nessuno, mai.
  • Non utilizzeremo i tuoi dati operativi per addestrare modelli AI senza il tuo consenso esplicito e opt-in.
  • Non terremo i tuoi dati in ostaggio — le esportazioni sono disponibili in formati standard durante il contratto e alla sua scadenza.
  • Non implementeremo automaticamente raccomandazioni AI che riguardano i dipendenti. Article 22 è un limite invalicabile.

Contatta il team sicurezza

Segnalazioni di vulnerabilità, due diligence dei fornitori, questionari di sicurezza dei clienti — scrivi a security@fooodo.com. Le richieste degli interessati vanno inviate a dpo@fooodo.com. Rispondiamo a entrambi entro due giorni lavorativi.

security@fooodo.com · dpo@fooodo.com

Pagine correlate: Informativa sulla privacy · Condizioni del servizio · Accordo sul trattamento dei dati · Contatti