Vai al contenuto principale

Sicurezza e Compliance

Ultimo aggiornamento: Marzo 2026

Il Nostro Impegno per la Sicurezza

In GSEO S.r.l. operiamo quotidianamente con dati aziendali sensibili: strategie di business, dataset proprietari, processi interni, codice sorgente e informazioni riservate dei nostri clienti. Per questo motivo, la sicurezza delle informazioni non rappresenta un aspetto accessorio del nostro lavoro, ma un pilastro fondamentale di ogni progetto che realizziamo.

Ogni soluzione AI che sviluppiamo, ogni sessione di formazione che eroghiamo e ogni consulenza che offriamo si fonda su un principio non negoziabile: i dati dei nostri clienti devono essere protetti con il massimo livello di attenzione e rigore. Questa pagina descrive nel dettaglio le politiche, le procedure e gli standard che adottiamo per garantire la sicurezza e la conformita normativa in ogni fase della collaborazione.

La nostra sede operativa si trova in Via Zenzalino Sud 6, Bologna (P.IVA: 04370971204). Operiamo su tutto il territorio nazionale e in contesti internazionali, adeguando le nostre procedure ai requisiti normativi di ciascuna giurisdizione.

1. Protezione dei Dati Aziendali

Classificazione dei dati

All'avvio di ogni progetto, effettuiamo una classificazione formale dei dati coinvolti secondo tre livelli di sensibilita:

  • Confidenziale: dati strategici, segreti industriali, informazioni finanziarie non pubbliche, dataset proprietari, credenziali di accesso, informazioni personali identificabili (PII). Questi dati sono soggetti alle misure di protezione piu rigorose, con accesso limitato ai soli membri del team strettamente necessari.
  • Interno: documentazione di progetto, specifiche tecniche, comunicazioni operative, bozze di lavoro. Dati accessibili al team di progetto assegnato, ma non divulgabili all'esterno.
  • Pubblico: materiali destinati alla pubblicazione, contenuti marketing, documentazione tecnica pubblica. Nessuna restrizione di accesso, ma comunque soggetti a controllo qualita prima della diffusione.

Procedure di trattamento

Durante lo svolgimento dei progetti, applichiamo procedure rigorose per la gestione dei dati:

  • Principio del minimo privilegio: ogni membro del team accede esclusivamente ai dati strettamente necessari per svolgere le attivita assegnate. Non esistono accessi generici o condivisi.
  • Separazione degli ambienti: i dati di ciascun cliente sono isolati in ambienti dedicati, senza alcuna possibilita di contaminazione incrociata tra progetti diversi.
  • Tracciabilita completa: ogni accesso, modifica o trasferimento di dati viene registrato con timestamp, identita dell'operatore e natura dell'operazione.
  • Cancellazione sicura: al termine del progetto, tutti i dati del cliente vengono restituiti e successivamente eliminati dai nostri sistemi con procedure di cancellazione sicura, certificate e documentate.

Crittografia

Tutte le comunicazioni e i trasferimenti di dati avvengono tramite canali crittografati:

  • In transito: protocollo TLS 1.3 per tutte le comunicazioni. Connessioni VPN dedicate quando richiesto dal cliente. SFTP o trasferimenti crittografati end-to-end per i file.
  • A riposo (at rest): crittografia AES-256 per tutti i dati archiviati sui nostri sistemi. Gestione delle chiavi di crittografia separata e con accesso ristretto.

Controllo degli accessi

L'accesso ai dati dei clienti e regolato da un sistema multilivello:

  • Autenticazione a due fattori (2FA) obbligatoria per tutti i membri del team.
  • Accesso basato su ruoli (RBAC) con revisione periodica dei permessi.
  • Revoca immediata degli accessi al termine dell'incarico o in caso di cambio di ruolo.
  • Log dettagliati di ogni accesso, conservati per il periodo concordato con il cliente.

2. Conformita GDPR

GSEO S.r.l. opera in piena conformita con il Regolamento Generale sulla Protezione dei Dati (GDPR - Regolamento UE 2016/679) e con il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018).

Accordo sul trattamento dei dati (DPA)

Prima dell'avvio di qualsiasi progetto che comporti il trattamento di dati personali, stipuliamo con il cliente un Data Processing Agreement (DPA) conforme all'articolo 28 del GDPR. Il DPA definisce in modo puntuale:

  • Le finalita e la durata del trattamento.
  • Le categorie di dati personali e di interessati coinvolti.
  • Gli obblighi e i diritti del titolare e del responsabile del trattamento.
  • Le misure tecniche e organizzative adottate.
  • Le condizioni per il ricorso a sub-responsabili del trattamento.
  • Le procedure di notifica in caso di violazione dei dati (data breach).

Principio di minimizzazione

Applichiamo rigorosamente il principio di minimizzazione dei dati: raccogliamo, trattiamo e conserviamo esclusivamente i dati strettamente necessari per il raggiungimento delle finalita concordate. Quando possibile, lavoriamo con dati anonimizzati o pseudonimizzati, riducendo al minimo l'esposizione di informazioni personali identificabili.

Diritto alla cancellazione

Al completamento di ogni progetto, il cliente ha il pieno diritto di richiedere la cancellazione di tutti i dati personali trattati durante l'incarico. Garantiamo l'esecuzione della cancellazione entro 30 giorni dalla richiesta, con rilascio di certificazione scritta dell'avvenuta eliminazione da tutti i nostri sistemi, inclusi backup e ambienti di sviluppo.

Valutazione d'Impatto (DPIA)

Quando un progetto comporta un trattamento che puo presentare un rischio elevato per i diritti e le liberta degli interessati, in particolare nell'ambito dell'utilizzo di tecnologie AI su larga scala, effettuiamo una Data Protection Impact Assessment (DPIA) conforme all'articolo 35 del GDPR. La DPIA viene condotta in collaborazione con il cliente e, ove necessario, con il coinvolgimento dell'Autorita Garante.

Registro dei trattamenti

Manteniamo un registro aggiornato di tutte le attivita di trattamento, come previsto dall'articolo 30 del GDPR, disponibile per ispezione su richiesta del cliente o delle autorita competenti.

3. NDA e Riservatezza

Accordi di non divulgazione

Ogni collaborazione con GSEO S.r.l. inizia con la sottoscrizione di un Non-Disclosure Agreement (NDA) bilaterale. L'NDA tutela entrambe le parti e stabilisce obblighi chiari:

  • Divieto assoluto di divulgazione di informazioni riservate a terzi non autorizzati.
  • Durata degli obblighi di riservatezza che si estende oltre la conclusione del progetto, tipicamente per un periodo di 5 anni o superiore, secondo le necessita del cliente.
  • Definizione puntuale di cosa costituisce informazione riservata.
  • Rimedi contrattuali e penali in caso di violazione.

Riservatezza del team

Tutti i collaboratori, dipendenti e consulenti esterni di GSEO S.r.l. sottoscrivono individualmente accordi di riservatezza prima di accedere a qualsiasi informazione relativa ai progetti dei clienti. Il rispetto di tali accordi e condizione indispensabile per la collaborazione con la nostra azienda.

Proprieta intellettuale

Salvo diverso accordo scritto, la proprieta intellettuale di tutto il lavoro svolto nell'ambito del progetto appartiene al cliente. Questo include:

  • Codice sorgente sviluppato.
  • Modelli AI addestrati o configurati.
  • Documentazione tecnica e funzionale.
  • Workflow, automazioni e configurazioni realizzate.
  • Analisi, report e deliverable di qualsiasi natura.

GSEO S.r.l. non mantiene alcun diritto di utilizzo, riproduzione o distribuzione dei deliverable del progetto senza esplicita autorizzazione scritta del cliente.

4. Sicurezza nell'Uso di Strumenti AI

L'utilizzo di strumenti di Intelligenza Artificiale e il cuore della nostra attivita. Per questo motivo, abbiamo sviluppato politiche specifiche e particolarmente rigorose per la gestione sicura delle API e delle piattaforme AI.

Utilizzo esclusivo di tier Enterprise/API

Per tutti i progetti, utilizziamo esclusivamente le API commerciali e i piani Enterprise dei principali provider di AI (OpenAI, Anthropic, Google, e altri). Questo garantisce che:

  • I dati inviati alle API non vengono utilizzati per l'addestramento dei modelli. I termini di servizio dei tier API/Enterprise di tutti i principali provider lo vietano esplicitamente.
  • Le comunicazioni con le API avvengono su canali crittografati dedicati.
  • I dati vengono elaborati e non conservati dai provider oltre il tempo tecnico strettamente necessario.

Nessun dato su interfacce pubbliche

Applichiamo una politica di tolleranza zero riguardo all'utilizzo di interfacce AI pubbliche (come ChatGPT consumer, Gemini consumer, o altri chatbot pubblici) per il trattamento di dati dei clienti. Ogni interazione con strumenti AI avviene esclusivamente tramite API dedicate, ambienti aziendali controllati o istanze self-hosted.

Opzioni on-premise e self-hosted

Per i clienti con requisiti di sicurezza particolarmente stringenti, offriamo la possibilita di utilizzare modelli AI self-hosted o on-premise, eseguiti interamente all'interno dell'infrastruttura del cliente. Questo approccio garantisce che nessun dato lasci mai il perimetro aziendale, ed e particolarmente indicato per settori regolamentati come quello finanziario, sanitario e della pubblica amministrazione.

Tracciabilita delle chiamate API

Manteniamo un audit trail completo di tutte le chiamate alle API AI effettuate nell'ambito dei progetti. Per ogni chiamata registriamo:

  • Timestamp e durata della richiesta.
  • Modello utilizzato e versione.
  • Tipologia di dati inviati (senza conservare il contenuto effettivo dopo il completamento del progetto).
  • Risposta ricevuta e suo utilizzo nel contesto del progetto.

Questi log sono disponibili per il cliente su richiesta e rappresentano uno strumento essenziale per la trasparenza e la verificabilita delle operazioni.

5. Infrastruttura e Sicurezza Tecnica

Sviluppo sicuro

Adottiamo pratiche di sviluppo sicuro lungo l'intero ciclo di vita del software:

  • Secure coding practices: il codice viene scritto seguendo le linee guida OWASP e le best practice di sicurezza per ciascun linguaggio e framework utilizzato.
  • Code review obbligatoria: ogni porzione di codice viene rivista da almeno un secondo sviluppatore prima dell'integrazione, con attenzione specifica agli aspetti di sicurezza.
  • Analisi statica del codice (SAST): utilizziamo strumenti automatizzati per identificare vulnerabilita nel codice sorgente prima del deployment.
  • Test di sicurezza: integriamo test di penetrazione e vulnerability assessment nelle fasi critiche del progetto.

Deployment e infrastruttura

  • Il deployment avviene esclusivamente su infrastruttura approvata dal cliente, sia essa cloud (AWS, Azure, GCP), on-premise o ibrida.
  • Ogni ambiente di produzione e protetto da firewall, sistemi di rilevamento intrusioni (IDS/IPS) e monitoraggio continuo.
  • Le configurazioni seguono il principio dell'infrastruttura immutabile, riducendo la superficie di attacco.
  • Gli aggiornamenti di sicurezza vengono applicati entro le tempistiche concordate con il cliente, con priorita massima per le vulnerabilita critiche (CVSS 9.0+).

Backup e disaster recovery

  • Procedure di backup regolari con crittografia dei dati di backup.
  • Piano di disaster recovery documentato e testato periodicamente.
  • Recovery Point Objective (RPO) e Recovery Time Objective (RTO) definiti con il cliente in fase di progettazione.
  • Backup conservati in location geograficamente separate, conformemente ai requisiti di residenza dei dati.

6. Formazione e Sensibilizzazione

La formazione rappresenta una parte significativa della nostra attivita. Abbiamo sviluppato protocolli specifici per garantire la sicurezza anche durante le sessioni formative.

Protezione dei dati durante la formazione

  • Non chiediamo mai ai partecipanti di utilizzare dati reali sensibili durante le esercitazioni. Tutti gli esercizi pratici vengono condotti con dataset sintetici o anonimizzati, appositamente preparati per replicare scenari realistici senza esporre informazioni riservate.
  • Le sessioni di formazione si svolgono in ambienti sandbox isolati, completamente separati dai sistemi di produzione del cliente.
  • Al termine di ogni sessione formativa, gli ambienti sandbox vengono azzerati e tutti i dati generati durante le esercitazioni vengono eliminati.

Trasferimento di competenze sulla sicurezza

Ogni percorso formativo include moduli dedicati alla sicurezza nell'uso degli strumenti AI:

  • Best practice per l'utilizzo sicuro di ChatGPT, Copilot e altri strumenti AI in ambito aziendale.
  • Rischi legati al data leakage attraverso strumenti AI e come mitigarli.
  • Linee guida per la creazione di policy aziendali sull'uso dell'AI.
  • Procedure per la valutazione e la selezione sicura di nuovi strumenti AI.

AI Usage Policy Template

A ogni cliente forniamo un template di policy aziendale sull'utilizzo dell'AI, personalizzabile secondo le specifiche esigenze organizzative. Il template copre:

  • Strumenti AI autorizzati e non autorizzati in azienda.
  • Tipologie di dati che possono e non possono essere condivisi con strumenti AI.
  • Procedure di approvazione per nuovi casi d'uso AI.
  • Responsabilita e governance dell'utilizzo dell'AI.
  • Obblighi di formazione continua per il personale.

7. Certificazioni e Standard

Allineamento agli standard internazionali

GSEO S.r.l. opera in allineamento con i principali standard internazionali di sicurezza delle informazioni:

  • ISO/IEC 27001: i nostri processi e le nostre politiche di sicurezza sono progettati in conformita con i requisiti dello standard ISO 27001 per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Stiamo attivamente lavorando al percorso di certificazione formale.
  • ISO/IEC 27701: adottiamo i principi dello standard per la gestione delle informazioni sulla privacy, a integrazione del nostro framework di sicurezza.
  • EU AI Act: monitoriamo attivamente l'evoluzione del Regolamento Europeo sull'Intelligenza Artificiale e adeguiamo proattivamente le nostre pratiche ai requisiti emergenti.

Conformita OWASP

Tutto lo sviluppo software segue le linee guida della OWASP Foundation:

  • Conformita alla OWASP Top 10 per le applicazioni web.
  • Applicazione della OWASP ASVS (Application Security Verification Standard) per la verifica della sicurezza applicativa.
  • Utilizzo delle OWASP Testing Guide come riferimento per le attivita di security testing.

Audit e miglioramento continuo

  • Conduciamo audit interni di sicurezza con cadenza semestrale.
  • Ci avvaliamo di auditor esterni indipendenti per verifiche periodiche delle nostre pratiche di sicurezza.
  • Ogni incidente di sicurezza, anche potenziale, viene analizzato in modo approfondito con l'obiettivo di identificare cause radice e implementare azioni correttive e preventive.
  • Manteniamo un programma di miglioramento continuo basato sul ciclo Plan-Do-Check-Act (PDCA), con obiettivi di sicurezza misurabili e riesame periodico da parte della direzione.

8. Come Lavoriamo: Il Processo Sicuro

Ogni collaborazione con GSEO S.r.l. segue un processo strutturato che integra la sicurezza in ogni fase.

Fase 1 - Sottoscrizione NDA

Prima di qualsiasi scambio di informazioni tecniche o aziendali, entrambe le parti sottoscrivono un NDA bilaterale. Solo dopo la firma dell'NDA si procede alla discussione dei dettagli del progetto.

Fase 2 - Valutazione della sicurezza

Effettuiamo una valutazione preliminare dell'ambiente del cliente per comprendere il contesto di sicurezza esistente, i vincoli normativi applicabili e le eventuali policy interne da rispettare. Questa fase ci consente di calibrare le nostre procedure alle specifiche esigenze del cliente.

Fase 3 - Accordo di classificazione dei dati

Insieme al cliente, definiamo formalmente la classificazione dei dati coinvolti nel progetto. Questo accordo stabilisce quali dati saranno trattati, con quale livello di sensibilita e con quali misure di protezione specifiche.

Fase 4 - Setup sicuro del progetto

Configuriamo gli ambienti di lavoro dedicati al progetto: repository privati, canali di comunicazione crittografati, accessi con autenticazione forte, ambienti di sviluppo e test isolati. Ogni elemento viene configurato secondo i requisiti concordati con il cliente.

Fase 5 - Checkpoint di sicurezza periodici

Durante lo svolgimento del progetto, conduciamo checkpoint di sicurezza a cadenza regolare. Questi momenti di verifica servono a garantire il rispetto continuo delle politiche di sicurezza, a identificare eventuali nuove esigenze e ad affrontare tempestivamente qualsiasi criticita emergente.

Fase 6 - Completamento e consegna

Al termine del progetto, tutti i deliverable vengono consegnati al cliente attraverso canali sicuri. Successivamente, i dati del cliente vengono eliminati dai nostri sistemi secondo le procedure di cancellazione sicura concordate. Il cliente riceve una certificazione formale dell'avvenuta eliminazione.

Fase 7 - Audit post-progetto

A conclusione dell'incarico, conduciamo un audit interno per verificare che tutte le procedure di sicurezza siano state rispettate, che tutti i dati siano stati correttamente gestiti e che non vi siano residui informativi sui nostri sistemi. I risultati dell'audit sono disponibili per il cliente su richiesta.

9. Contatti per la Sicurezza

Per qualsiasi questione relativa alla sicurezza delle informazioni o alla protezione dei dati, i nostri riferimenti dedicati sono sempre disponibili.

Segnalazioni di sicurezza e vulnerabilita Email: info@gseo.it Per la segnalazione responsabile di vulnerabilita di sicurezza o per qualsiasi preoccupazione relativa alla protezione dei dati nell'ambito di un progetto in corso.

Data Protection Officer (DPO) Email: info@gseo.it Per richieste relative ai diritti degli interessati ai sensi del GDPR, per informazioni sulle nostre politiche di trattamento dei dati personali o per la sottoscrizione di DPA.

Sede legale e operativa GSEO S.r.l. Via Zenzalino Sud 6, Bologna P.IVA: 04370971204

Ultimo aggiornamento: marzo 2026. Questa pagina viene rivista e aggiornata con cadenza trimestrale o in occasione di modifiche significative alle nostre politiche di sicurezza.

🦉

GSEO Agent

Online ora

🦉

GSEO Agent

Agente AI attivo

🦉

📋 Assessment gratuito

Richiesta inviata!

Ti ricontatteremo entro 24 ore.

Assessment AI gratuito — 30 min
Richiedi Info