Contratto di trattamento dei dati
Modello DPA standard per ogni scuola cliente. Definisce ruoli (titolare, responsabile), finalità del trattamento, periodi di conservazione, politica di cancellazione.
Sicurezza
Protezione dei dati personali.
La sicurezza non è una scelta.
Gli studenti sostengono esami. Gli insegnanti gestiscono i voti.
È nostra responsabilità che queste informazioni siano accessibili
solo a chi deve accedervi.
GDPR
conformità totale
Cifrate
connessioni ovunque
24h
archivi di backup
100%
registro di audit
Architettura
Protezione a strati, dal dispositivo al database
01
Quello che vedi
Applicazione o browser. Connessione cifrata fin dal momento dell'apertura.
02
Il collegamento tra te e noi
Protetto con protocolli moderni. Nessuno lungo il percorso può leggere la comunicazione.
03
Prima di raggiungere il server
Limiti delle richieste, intestazioni di sicurezza, filtri. Prima linea contro attacchi automatizzati.
04
Chi vede cosa
Una sessione attiva alla volta, controllo dei ruoli, isolamento per scuola.
05
Cosa succede
Applicazione delle regole di business, controlli per ogni azione, audit delle operazioni sensibili.
06
Dove vivono i dati
Database protetto in un ambiente isolato. I servizi hanno solo i diritti necessari. Backup giornalieri.
GDPR
Trasparenza e controllo
La conformità al GDPR è integrata nella progettazione. L'esportazione e la cancellazione sono strumenti nell'applicazione — direttamente accessibili, senza moduli e senza attese.
Diritto di accesso
L'utente vede quali dati conserviamo su di lui — nomi, email, voti, esami, file. Trasparente, in esportazione JSON. (GDPR art. 15)
Esportazione dei dati personali
Esportazione con un clic nell'applicazione. Formato JSON — leggibile da persone e programmi. Senza moduli, senza email al supporto. (GDPR art. 15 + 20)
Informazioni minimizzate
Non raccogliamo dati superflui. Senza tracciamento, senza impronte di dispositivo, senza comportamento pubblicitario. Solo quello che serve per il funzionamento dell'esame.
Richiesta di cancellazione
L'utente avvia la cancellazione dell'account dalle impostazioni. La richiesta passa per una breve approvazione a fini di audit. Una volta approvata — cancellazione completa a cascata di tutti i dati personali. (GDPR art. 17)
Notifica di incidente
In caso di violazione della sicurezza — entro 72 ore notifichiamo le scuole interessate con dettagli: cosa è successo, quali dati sono coinvolti, quali misure abbiamo adottato. (GDPR art. 33)
Difesa attiva
Sicurezza in tempo reale
Connessioni cifrate ovunque
Tutto il traffico è cifrato con protocolli moderni. Le versioni più vecchie sono disattivate. I certificati si rinnovano automaticamente 30 giorni prima della scadenza.
Limiti contro il traffico eccessivo
Ogni tipo di richiesta — API principale, file, gestione — ha limiti separati. Protezione contro attacchi automatizzati e carico eccessivo.
Una sessione attiva
Al nuovo accesso dello stesso utente, tutte le sessioni precedenti vengono terminate automaticamente. Protezione contro accessi condivisi.
Isolamento per scuola
I dati di una scuola non sono visibili a un'altra, nemmeno per un amministratore. Le richieste sono limitate a livello di database — è impossibile, accidentalmente o intenzionalmente, vedere studenti, voti o esami di altre scuole.
Trasparenza per tutto ciò che è importante
Ogni azione sensibile viene registrata — chi l'ha fatta, quando, su cosa. Il dirigente scolastico vede la cronologia di tutto all'interno della scuola. I record non vengono cancellati.
Processi isolati
Il database, la cache e l'applicazione funzionano come utenti separati senza diritti superflui. Ogni servizio ha accesso solo a ciò di cui ha bisogno.
Sicurezza dell'esame
Protezione dell'ambiente d'esame
Blocco per IP
Opzionale: la scuola può bloccare i suoi esami solo agli indirizzi IP della propria rete. Lo studente non può sostenere l'esame da casa, anche se è connesso.
Monitoraggio in tempo reale
L'insegnante segue l'attività degli studenti durante l'esame — chi è attivo, chi ha smesso di lavorare, chi ha terminato.
Reinvio sicuro
L'invio dell'esame è protetto dalla duplicazione. Anche quando la rete costringe il client a ripetere più volte, le risposte raggiungono il server una sola volta.
Invio automatico alla scadenza
Allo scadere del tempo, le risposte vengono inviate automaticamente. Nessuna possibilità di continuare oltre il termine stabilito.
File d'esame protetti
Immagini e PDF degli esami si aprono solo dall'applicazione con identificazione di sessione. Un link condiviso in chat o nel browser non funziona al di fuori della sessione. I link hanno una durata limitata.
Registrazione di ogni violazione
Cambio di finestra, copia, apertura di una nuova scheda — tutto viene registrato. L'insegnante vede le violazioni immediatamente nel registro dell'esame.
Backup
Procedura di ripristino testata
Ripristiniamo periodicamente i dati in un ambiente separato e verifichiamo la loro integrità — per sapere che la procedura funziona quando serve e che i nostri backup non sono un'illusione di sicurezza.
- Backup giornaliero del database
- Storico di 30 giorni
- Recupero dei dati critici
- Backup prima di ogni distribuzione in produzione
- Opzionale: backup esterno in una posizione separata
Hai requisiti specifici?
Contattaci per una revisione dettagliata della sicurezza o per un modello DPA.
Contattaci