Dove sono i dati
I dati di Palolem sono memorizzati su Supabase, hostato nell'Unione Europea (Irlanda). Il database è protetto da backup automatici gestiti dalla piattaforma per garantire la continuità del servizio. La connessione al database è sempre cifrata.
Autenticazione e accesso
Le password degli utenti sono protette con hashing bcrypt e non sono mai memorizzate in chiaro. L'accesso al tuo account è protetto da email e password. In caso di smarrimento, puoi richiedere un reset sicuro via email.
Row Level Security
A livello di database, Palolem implementa Row Level Security: questa tecnica garantisce che ogni utente possa accedere solo ai propri dati. Anche in caso di bug nel codice applicativo, la sicurezza del database impedisce l'accesso trasversale tra account diversi.
Pagamenti
I pagamenti Palolem sono gestiti da Stripe, processore con certificazione PCI DSS Level 1 — il più alto livello di conformità per i processori di carte di credito. Numeri di carta, CVV e dati di pagamento non transitano mai per i server di Palolem: vengono inseriti direttamente nei moduli sicuri di Stripe. Palolem memorizza solo identificatori astratti forniti da Stripe (customer ID, subscription ID).
Integrazione Google Calendar
La sincronizzazione con Google Calendar avviene tramite il protocollo OAuth 2.0 standard. I token di accesso al calendario dell'utente sono protetti da una doppia crittografia: encryption at-rest a livello disco (gestita da Supabase, AES-256) ed encryption applicativa AES-256-GCM con chiave gestita separatamente dal database. Anche in caso di accesso non autorizzato al database, i token risulterebbero inutilizzabili senza la chiave di crittografia separata. Il tutto è isolato a livello di Row Level Security.
Rate limiting
Tutti gli endpoint AI di Palolem sono protetti da rate limiting per garantire stabilità del servizio e prevenire abusi. I limiti applicati sono di 30 richieste/ora e 100/giorno per il piano Free, 200/ora e 1000/giorno per Pro. Il sistema usa transazioni atomiche su PostgreSQL con comportamento fail-safe: in caso di errore del rate limiter, le richieste passano normalmente per non bloccare gli utenti legittimi. Anche le richieste guest tramite il Pack ospite sono limitate a 30/ora e 150/giorno per token, evitando abusi sui link pubblici.
Conformità GDPR
Palolem opera in conformità con il Regolamento GDPR europeo. I tuoi diritti come utente includono:
- Accesso ai tuoi dati personali
- Correzione di dati inesatti
- Cancellazione del tuo account (diritto all'oblio)
- Portabilità dei dati (ricevere una copia esportabile)
- Opposizione al trattamento
Per esercitare questi diritti oggi, puoi scrivere a privacy@palolem.ai. Rispondiamo entro 30 giorni lavorativi come previsto dal GDPR.
Gli utenti possono richiedere in qualsiasi momento l'esportazione completa dei propri dati personali direttamente dalla dashboard, nella pagina Privacy e dati. Riceveranno via email un link a un archivio ZIP contenente tutti i loro dati in formato JSON e CSV, valido per 48 ore.
Gli utenti possono richiedere in qualsiasi momento la cancellazione del proprio account direttamente dalla pagina Privacy e dati. La cancellazione segue il principio del soft delete con grace period di 30 giorni: l'account è disattivato immediatamente e tutti i dati sono cancellati definitivamente dopo 30 giorni. Durante il grace period, l'utente può richiedere il recupero contattando privacy@palolem.ai. La cancellazione è registrata in un audit log permanente per conformità con l'Articolo 17 del GDPR.
I nostri sub-processor
Palolem utilizza provider terzi qualificati per fornire il servizio. Ogni provider è conforme al GDPR e, quando hostato fuori dall'UE, opera sotto il framework EU-US Data Privacy Framework (DPF).
- Supabase — database, hostato in Irlanda (UE)
- OpenAI — generazione AI, USA (conforme al DPF)
- Stripe — pagamenti, USA (conforme al DPF)
- Vercel — hosting, USA (conforme al DPF)
- Resend — email transazionali, USA (conforme al DPF)
- Plausible — analytics, Germania (UE)
- Aruba — registrazione dominio e DNS, Italia (UE)
Incidenti di sicurezza
In caso di incidente di sicurezza che coinvolga dati personali, Palolem notificherà gli utenti colpiti via email entro 72 ore dalla scoperta e notificherà il Garante Privacy, come previsto dal GDPR (articoli 33 e 34).
Per segnalare un problema di sicurezza, scrivi a security@palolem.ai. Rispondiamo il prima possibile.