Sicurezza tecnica — Fismapant

Questa pagina riassume le misure tecniche (Art. 32 GDPR) implementate per proteggere i tuoi dati.

🔐 Cifratura at-rest (Phase 25.D)

• Algoritmo: AES-256-GCM (NIST SP 800-38D), authenticated encryption.
• Architettura: envelope encryption con per-teacher KEK derivata via HKDF-SHA256 da KMS_MASTER_KEY off-line.
• Crypto-shredding O(1): cancellazione 1 row teacher_keys = tutti i body cifrati immediatamente illeggibili.
• Backup: anche i backup del database restano illeggibili senza la chiave master.

🛡️ Sicurezza in transito

• HTTPS obbligatorio in produzione (HSTS 1 anno, includeSubDomains).
• CSP rigorosa: prevenzione XSS + frame injection.
• SameSite=Lax sui cookie sessione.
• CSRF token rotation su ogni mutazione.

🔑 Autenticazione

• Password: bcrypt cost 12 (resistant a rainbow tables + brute-force GPU).
• Rate-limiting: 10/min/IP su /login (anti-brute-force).
• Session rotation: ID rigenerato a ogni privilege change.

📊 Audit & monitoring

• privileged_access_log: append-only, ogni azione admin loggata con motivazione obbligatoria.
• crypto_access_log: tracking di ogni encrypt/decrypt/shred (Art. 5 §2 accountability).
• consent_audit: storia immutabile di consent grant/revoke.
• Pseudonimizzazione IP/UA: hash SHA-256, no PII raw.

🔒 Isolation per-utente

• Ogni docente vede SOLO i propri contenuti (verificato con test E2E concurrent multi-teacher).
• Super-admin tecnici NON hanno accesso automatico ai contenuti dei docenti — il KMS_MASTER è off-line.
• Permission system per-template + multi-instance fork isolato per teacher_id.

🚨 Data breach response

• Notifica al Garante entro 72h (Art. 33 GDPR).
• Notifica utenti se rischio elevato (Art. 34 GDPR).
• Drill semestrale documentato (Phase 25.C12).

Esercita i tuoi diritti GDPR · Contatta il DPO · Informativa privacy