VeritasOS
🧪 Demo Gratuita Soluzione Prezzi API Docs ⚡ Integrazioni Blog Security Verifica Certificato 🔑 Accedi
🚀 Inizia il Trial Gratuito
SECURITY & COMPLIANCE

Costruito per i settori più regolamentati

VeritasOS è progettato per soddisfare i requisiti di sicurezza di banche, assicurazioni e PA. Architettura zero-trust, crittografia end-to-end, conformità GDPR e EU AI Act nativa.

🔒 TLS 1.3 in transit
🗄️ AES-256 at rest
🇪🇺 Dati in EU
📋 GDPR nativo
🤖 EU AI Act 2024/1689
Architettura
Sicurezza by design
Ogni componente di VeritasOS è progettato con il principio di minimo privilegio. I documenti non vengono mai memorizzati in chiaro e vengono eliminati dopo la validazione.
🔐
Crittografia End-to-End
Tutti i dati in transito sono protetti con TLS 1.3. I dati a riposo usano AES-256. Le API key vengono salvate solo come hash SHA-256 irreversibili.
✓ ATTIVO
🗑️
Data Minimization
I file caricati vengono eliminati dal server dopo la validazione. Nel database viene conservato solo il testo analizzato e il risultato, mai il file originale.
✓ ATTIVO
🔑
Autenticazione Sicura
Password con bcrypt (cost factor 12). API key con HMAC-SHA256. Session token con rotazione automatica ogni 8 ore. Rate limiting per IP.
✓ ATTIVO
🌍
Residenza Dati in EU
Tutti i server sono in Europa (Hostinger EU). I dati non vengono mai trasferiti fuori dall'UE. OpenAI API viene usata in modalità zero data retention.
✓ CONFORME
📝
Audit Log Completo
Ogni accesso, ogni validazione e ogni chiamata API viene registrata con timestamp, IP, user ID e risultato. Log disponibili per export per audit esterni.
✓ ATTIVO
🛡️
Webhook con Firma HMAC
Tutte le notifiche webhook includono firma HMAC-SHA256 verificabile. Il destinatario può verificare che il payload non sia stato alterato in transito.
✓ ATTIVO
Flusso di un documento — cosa succede ai tuoi dati
1
Upload
File inviato via TLS 1.3 cifrato
2
Analisi AI
OpenAI API con zero data retention
3
Risultato
Score + flags + certificato vrt:
4
Eliminazione
File originale eliminato dal server
5
Hash pubblico
Solo SHA-256 nel registro pubblico
Conformità Normativa
Conforme alle normative europee
VeritasOS è progettato nativamente per le normative europee. Non è una soluzione adattata a posteriori — la compliance è nel core del prodotto.
NormativaAmbitoStatoDettaglio
GDPR Reg. UE 2016/679 Protezione dati personali ✓ CONFORME Minimizzazione dati, base giuridica esplicita, DPA disponibile, cancellazione su richiesta
EU AI Act Reg. UE 2024/1689 Sistemi AI ad alto rischio ✓ CONFORME Trasparenza output AI, human oversight, documentazione tecnica, registro attività
NIS2 Dir. UE 2022/2555 Sicurezza reti e sistemi ⚡ IN CORSO Misure tecniche implementate. Certificazione formale in roadmap Q3 2026
ISO/IEC 27001 Gestione sicurezza informazioni 📅 ROADMAP Processo di certificazione avviato. Previsto Q4 2026
SOC 2 Type II Sicurezza e disponibilità 📅 ROADMAP Previsto contestualmente a ISO 27001. Q4 2026
AgID Cloud PA Qualificazione servizi PA ⚡ IN CORSO Documentazione tecnica in preparazione per qualificazione Marketplace PA
Dati e AI
Come vengono usati i tuoi dati con l'AI
Questa è la domanda più frequente dei CISO bancari. Risposta diretta e completa.
Cosa fa VeritasOS con i tuoi documenti
• Il testo viene inviato a OpenAI API per l'analisi
• OpenAI opera in modalità zero data retention — non usa i tuoi dati per addestrare modelli
• Il file originale viene eliminato dopo la validazione
• Nel nostro DB viene salvato solo: score, flags, hash SHA-256
• Puoi richiedere la cancellazione completa in qualsiasi momento
Cosa NON fa VeritasOS
• Non condivide i tuoi dati con terze parti
• Non usa i tuoi documenti per addestrare AI
• Non vende dati a inserzionisti
• Non trasferisce dati fuori dall'UE
• Non conserva il testo dei documenti dopo la validazione
📋 Documentazione disponibile su richiesta
DPA (Data Processing Agreement) GDPR compliant · Registro delle attività di trattamento · Valutazione d'impatto (DPIA) · Architettura di sicurezza dettagliata · OpenAI Data Processing Agreement (sub-processor)
Richiedi Documentazione →
Enterprise SSO

Single Sign-On SAML 2.0

Le organizzazioni Enterprise possono autenticare i propri utenti tramite il provider di identità aziendale esistente, senza gestire password separate.

🔵
Microsoft Azure AD / Entra ID
Integrazione nativa con Azure AD tramite SAML 2.0. Supporta Conditional Access, MFA aziendale e gruppi di sicurezza.
🔴
Google Workspace
SSO con account Google Workspace aziendale. Gli utenti accedono con le stesse credenziali Google dell'organizzazione.
🟡
Okta
Integrazione con Okta Identity Cloud. Supporta provisioning automatico utenti (SCIM opzionale) e lifecycle management.
🟢
Generic SAML 2.0
Compatibile con qualsiasi provider SAML 2.0: ADFS, OneLogin, PingIdentity, Shibboleth e altri.
🔑 Disponibile su piano Enterprise. Configura SSO dalla dashboard in Impostazioni → SSO SAML oppure contatta [email protected] per assistenza.
📋 Documentazione disponibile su richiesta
DPA (Data Processing Agreement) GDPR compliant · Registro delle attività di trattamento · Valutazione d'impatto (DPIA) · Architettura di sicurezza dettagliata · OpenAI Data Processing Agreement (sub-processor)
Richiedi Documentazione →
FAQ Sicurezza
Domande frequenti dai CISO
I miei documenti vengono usati per addestrare l'AI?
No. VeritasOS usa le API di OpenAI in modalità zero data retention (ZDR). Questo significa che OpenAI non conserva né usa i tuoi dati per addestrare i propri modelli. Puoi verificarlo direttamente nelle policy enterprise di OpenAI.
Dove sono fisicamente i server?
I server di VeritasOS sono in Europa (UE). Non effettuiamo trasferimenti di dati personali fuori dall'UE. OpenAI processa i dati negli USA ma opera come sub-processor con adeguate garanzie contrattuali (DPA, Standard Contractual Clauses).
Posso richiedere un DPA (Data Processing Agreement)?
Sì. Il DPA è disponibile per tutti i clienti piano Pilot ed Enterprise. Include: descrizione del trattamento, misure tecniche e organizzative, elenco sub-processor, procedure di violazione dati, diritti degli interessati. Contatta [email protected].
Come funziona il certificato crittografico vrt:?
Il certificato vrt: è un hash SHA-256 del contenuto del documento combinato con l'ID di validazione e il timestamp. È verificabile pubblicamente su veritas-os.it/verify.php senza account. L'hash garantisce che il documento non sia stato alterato dopo la validazione.
Avete un SLA? Qual è l'uptime garantito?
Il piano Enterprise include SLA con uptime garantito 99.9% (max 8.7 ore downtime/anno). Il piano Pilot ha SLA best-effort. Per SLA personalizzati con penali contrattuali, contattare [email protected].
È possibile un'installazione on-premise?
L'installazione on-premise è in roadmap per Q2 2027 per clienti Enterprise con requisiti specifici (banche sistemicamente importanti, PA critiche). Attualmente offriamo deployment in cloud privato EU su richiesta. Contattare [email protected] per valutare le opzioni.
Come gestite un data breach?
In caso di violazione dei dati: notifica al Garante Privacy entro 72 ore (GDPR Art. 33), notifica agli interessati se necessario (GDPR Art. 34), report dettagliato ai clienti enterprise entro 24 ore dall'identificazione. Abbiamo procedure documentate di incident response disponibili su richiesta.