QuoteForge è stato costruito sul principio che la geometria dei tuoi pezzi e i dati dei tuoi clienti appartengono esclusivamente a te. Ecco una panoramica chiara di come li proteggiamo.
I controlli applicativi e API di QuoteForge sono allineati all'OWASP Top 10 e alle famiglie di controlli CASA (Cloud Application Security Assessment) Tier 2: sicurezza OAuth 2.0, controllo degli accessi, validazione degli input, gestione dei segreti e logging. Al momento non disponiamo di un'attestazione formale CASA Tier 2; questi controlli rappresentano la nostra baseline di sicurezza interna.
Non utilizziamo i tuoi file STEP, preventivi o dati dei clienti per addestrare modelli di IA o machine learning — né i nostri né quelli di terze parti.
Il motore di pricing è completamente deterministico: legge la configurazione del tuo laboratorio (macchine, materiali, avanzamenti e velocità) e applica formule aritmetiche. Nessun modello viene addestrato, nessun dato esce dal tuo tenant in forma aggregata.
Per le funzionalità che utilizzano un LLM (come la generazione di commenti DFM), vengono inviati all'API LLM solo i metadati geometrici estratti — non il binario STEP grezzo. L'LLM riceve istruzioni di non registrare né conservare il contenuto delle richieste.
Ogni query al database è automaticamente limitata al tuo tenant_id a livello ORM. Non esiste alcun percorso attraverso cui un cliente possa leggere i preventivi, i file STEP, la configurazione del laboratorio o i dati di contatto di un altro cliente. L'accesso cross-tenant è una impossibilità strutturale, non solo una policy.
Tutto il traffico tra il tuo browser e i nostri server è crittografato in transito con TLS 1.2+. Le connessioni ai sotto-servizi (storage, database, API LLM) sono anch'esse esclusivamente TLS.
I dati a riposo — file STEP, PDF dei preventivi, dati dei clienti — sono crittografati a livello di storage Azure (AES-256).
I dati di pagamento sono gestiti esclusivamente da Stripe. Non vediamo, archiviamo né trasmettiamo mai numeri di carta grezzi. Stripe è certificato PCI DSS Livello 1.
Il database di produzione viene sottoposto a backup giornaliero con un periodo di conservazione di 30 giorni. I backup sono archiviati in una regione Azure separata.
I file STEP e i PDF generati sono archiviati in Azure Blob Storage con replica geo-ridondante.
Ai sensi del GDPR hai il diritto di richiedere l'esportazione o la cancellazione di tutti i dati associati al tuo account. Invia una richiesta a [email protected] e la gestiremo entro 30 giorni.
Se scopri un problema di sicurezza, ti chiediamo di divulgarlo in modo responsabile inviando un'e-mail a [email protected].