Sicurezza & cloud · ISO 27001 ready

Dati al sicuro.
Davvero.

Server in Italia, TLS 1.3 in transito, accessi tracciati, audit periodici. La cifratura AES-256 dei dati sensibili è disponibile come opzione attivabile. Le pratiche di sicurezza non sono una checkbox: sono come progettiamo la piattaforma.

Richiedi audit di sicurezza Documentazione →

01 — Infrastruttura

Dove vivono i tuoi dati.

Datacenter certificati nello Spazio Economico Europeo, con replica geografica per garantire continuità di servizio.

Server in UE

Datacenter Tier-3 in Italia (Milano, Arezzo) e Germania (Francoforte). Conformità piena al GDPR.

Replica geografica

Replica sincrona del database tra due data center. In caso di guasto totale di uno, l'altro prende il carico.

Uptime garantito

SLA del 99,5% mensile sul piano Studio (con risposta entro 4h) e 99,9% sull'Enterprise self-hosted. Statistiche pubbliche su status.medaid.it.

02 — Crittografia

Protetto in transito, cifrabile a riposo.

TLS 1.3 per dati in transito (HTTPS, API) — sempre attivo
HSTS con preload · certificate pinning sul pannello
Hashing con Argon2id per le password (parametri OWASP)
AES-256-GCM per dati sensibili a riposo — opzionale, attivabile per singolo campo o form dal professionista
Cifratura end-to-end opzionale per messaggistica paziente
Master key gestite con KMS hardware quando la cifratura è attiva (FIPS 140-2 Level 3)

03 — Accessi e identità

Sai sempre chi ha visto cosa.

Audit log completo, accessi a strati, autenticazione robusta. Nessuna scorciatoia.

Autenticazione 2FA

Codice OTP via app autenticatore (Google Authenticator, Authy, 1Password). Inclusa in tutti i piani; obbligatoria su Studio ed Enterprise self-hosted, opzionale su Base e Pro.

Ruoli granulari

Medico, segretaria, amministratore, ruoli custom. Permessi a livello di funzione e di paziente.

Audit log immutabile

Ogni accesso, modifica, cancellazione è tracciato. Log conservati per 5 anni, esportabili in qualsiasi momento.

04 — Backup & disaster recovery

Mai più dati persi.

Backup completo ogni notte, conservato per 30 giorni (tutti i piani)
Snapshot incrementali ogni 6 ore sul piano Pro o ogni ora sul piano Studio
Test mensile di ripristino con verifica integrità
RTO (recovery time objective): 4 ore · RPO: 6 ore
Replica off-site geograficamente separata
Immutable backup contro ransomware (write-once, read-many)

05 — Compliance

Le norme che rispettiamo.

Non solo conformità di facciata: documentazione, processi e audit indipendenti.

GDPR

Privacy by design, registro trattamenti, DPIA, DPA per il responsabile del trattamento.

Linee AgID

Conformità alle linee guida sull'identità digitale, conservazione documentale, trasmissione documenti.

ISO 27001

Sistema di gestione della sicurezza delle informazioni in fase di certificazione (audit Q3 2026).

NIS2

Conformità alla direttiva sulla sicurezza delle reti e dei sistemi informativi, recepimento italiano.

D.Lgs. 81/08

Specifico per Medicina del Lavoro: sorveglianza sanitaria, idoneità, conservazione documentale.

Trasmissione documenti

Esportazione, firma digitale e archiviazione di documenti clinici secondo le linee guida italiane di conservazione documentale.

06 — Documenti

Cosa puoi richiedere.

Disponibili per i clienti attivi e per la fase di valutazione (sotto NDA).

Data Processing Agreement (DPA) firmabile digitalmente
Documento di valutazione d'impatto (DPIA) sintetico
Registro trattamenti come responsabile
Architettura di sistema e flussi dati
Piano di continuità operativa e disaster recovery

Dati al sicuro. Davvero.