Sicurezza, privacy, trasparenza

Hydradent gestisce dati sanitari (categoria speciale art. 9 GDPR). Niente buzzword. Architettura, misure tecniche, e impegni documentati. Verifica tu, non fidarti.

Server EU

Convex Frankfurt + Backblaze Frankfurt + Resend Ireland. I dati non escono mai dall'Unione Europea per i sub-processor primari.

Crittografia

TLS 1.2+ in transit (HSTS preload). Encryption at-rest fornita dai sub-processor (Convex + B2). AES-256-GCM application-level su credenziali (Sogei, Google, WhatsApp, Aruba).

DPA obbligatorio

Senza firma DPA art. 28 GDPR, l'app blocca la creazione paziente. Versione 2026.1 attualmente in uso. Re-acceptance richiesta a ogni nuova versione.

Audit accessi staff

Visibile in tempo reale dalla dashboard del titolare. Append-only, niente delete possibile. Oggi: 1 founder con NDA = lista vuota = trust forte.

Sub-processor list

12 sub-processor dichiarati pubblicamente. Notifica email 30 giorni prima di ogni cambio. Diritto di opposizione = recesso senza penali.

Notifica violazioni

Procedura documentata art. 33 GDPR: notifica al titolare entro 24h dalla scoperta. Notifica al Garante entro 72h. Disponibile in '/sicurezza/data-breach-procedure'.

Architettura di sicurezza

Browser dentista
    │
    │  TLS 1.3 (HSTS preload)
    ▼
┌──────────────────────────────────┐
│ Vercel (Frankfurt edge)          │
│ - Hosting Next.js                │
│ - CSP nonce-based                │
│ - Cookie httpOnly + sameSite     │
└──────────────────────────────────┘
    │
    │  Clerk JWT (1h TTL)
    ▼
┌──────────────────────────────────┐
│ Convex (Frankfurt eu-west-1)     │
│ - Database transazionale         │
│ - Encryption at-rest             │
│ - Audit logs append-only         │
│ - GDPR cascade delete            │
└──────────────────────────────────┘
    │                  │
    │ AWS SigV4        │ Bearer
    ▼                  ▼
┌─────────────┐  ┌──────────────┐
│ Backblaze   │  │ Resend EU    │
│ B2 Frankfurt│  │ (email)      │
│ (imaging)   │  │              │
└─────────────┘  └──────────────┘

File imaging (DICOM, foto, CBCT, video) sono uploaded direttamente dal browser a Backblaze B2 via signed URL — non transitano per Vercel/Convex per ridurre attack surface.

Compliance scorecard

Adempimento	Riferimento	Stato
DPA art. 28 obbligatorio firma online	GDPR art. 28	✓ Attivo
Sub-processor list pubblica + notifica 30gg	GDPR art. 28 par. 2	✓ Attivo
Audit log accessi staff visibile al cliente	GDPR art. 32 par. 1 lett. d	✓ Attivo
Cancellazione cascading dati paziente	GDPR art. 17	✓ Attivo
Export totale dati JSON	GDPR art. 15+20	✓ Attivo
Notifica violazione (procedura)	GDPR art. 33	In documentazione
DPIA Data Protection Impact Assessment	GDPR art. 35	In documentazione
DPO Data Protection Officer designato quando >5000 pazienti aggregati	GDPR art. 37	Pianificato
ISO 27001 certificazione post Stripe activation, +50 clienti	Audit esterno	Pianificato
Conservazione decennale cartelle cliniche	art. 92 D.Lgs. 196/2003	✓ Attivo
Server EU (no extra-UE transfer)	GDPR art. 44+	✓ Attivo
TLS in transit + HSTS preload	GDPR art. 32 par. 1 lett. a	✓ Attivo
Encryption at-rest (provider-level)	GDPR art. 32 par. 1 lett. a	✓ Attivo
Encryption application-level credenziali sensibili	GDPR art. 32 par. 1 lett. a	✓ Attivo
Open source dei moduli critici di sicurezza moduli crypto in attesa di review legal	Trasparenza tecnica	Pianificato

Sub-processor

12 fornitori dichiarati. Notifica 30gg. Diritto opposizione.

Privacy policy

Cosa raccogliamo, perché, basi giuridiche, diritti del paziente, contatti.

Cookie policy

Cookie tecnici essenziali. Niente tracking di terze parti.

Termini di servizio

Condizioni contrattuali con lo studio cliente. Limitazione responsabilità, SLA.

Documenti compliance pubblici

Documenti formali di compliance pubblicati integralmente. Source-of-truth canonical in docs/compliance/*.md nel repo Hydradent — modifiche tracciate via Git commit, audit trail completo disponibile su richiesta.

DPIA — Data Protection Impact Assessment (art. 35 GDPR)· 8 rischi identificati + mitigazioni
Procedura notifica violazioni di dati (art. 33-34 GDPR)· Timeline T+0 → T+30gg + template
Internal Access Policy — accesso staff Hydradent ai dati cliente· 5 ragioni autorizzate + sanzioni

Cosa NON facciamo (onestà brutale)

Non promettiamo "impossibile vedere i tuoi dati". Tecnicamente lo staff Hydradent può accedere ai dati per support/debugging. Lo stesso vale per Doctolib, Salesforce Health, qualsiasi cloud SaaS. La differenza: lo dichiariamo esplicitamente + audit log + DPA + zero accessi in lista.
Non facciamo encryption end-to-end totale. Rompevemmo Sistema TS, reminder, AI red flag, conservazione AgID. Cifriamo solo credenziali e (in roadmap) note cliniche libere.
Non siamo ancora ISO 27001 certificati. Procedura pianificata post-Stripe activation. Non vendere fumo: il certificato e'esterno, costa €15-20k/anno. Lo vedrete pubblicato qui quando ottenuto.
Non abbiamo DPO formale. Obbligatorio solo quando "trattamento su larga scala dati sanitari". Soglia operativa: ~5000 pazienti aggregati. Sotto, il founder è privacy contact (privacy@hydradent.com).

Segnalazioni sicurezza

Hai trovato una vulnerabilità o ti sembra qualcosa fuori posto? Scrivici prima possibile.

Security: security@hydradent.com · PGP key disponibile su richiesta
Privacy/GDPR: privacy@hydradent.com
Data breach: breach@hydradent.com · monitoraggio 24/7

Bug bounty in roadmap post-50 clienti paganti. Per ora, ringraziamento pubblico e priorità di fix garantita.