Sicurezza
Evibe è costruita attorno alla tua fiducia. Ecco come manteniamo i tuoi dati al sicuro — a riposo, in transito e nella nostra infrastruttura.
Il nostro database contiene solo dati del portafoglio anonimizzati — nessun nome, nessuna identità leggibile da una persona. La tua email serve solo per farti accedere e risiede in Firebase Authentication, non sui nostri server.
Tutto il traffico tra i tuoi dispositivi e i nostri server è crittografato in transito (TLS 1.3). A riposo, i tuoi dati risiedono su un volume completamente crittografato (LUKS2, AES-256) e i backup esterni vengono crittografati prima ancora di lasciare il server.
Un tocco all'interno dell'app e tutto sparisce — portafogli, transazioni, account. Conforme al GDPR per impostazione predefinita, incluso il diritto all'esportazione e all'oblio.
Best practice operative
Seguiamo le best practice di sicurezza attese da una moderna azienda cloud-native, tra cui: accesso a privilegio minimo ai sistemi di produzione, autenticazione a due fattori obbligatoria su ogni account amministrativo, segreti e credenziali crittografati e gestiti tramite un archivio sicuro irrobustito, scansione automatizzata di dipendenze e vulnerabilità con patch tempestive, e una netta separazione tra ambienti di sviluppo e di produzione.
Crittografia in profondità
In transito: TLS end-to-end (1.2 o superiore) tra i tuoi dispositivi e la nostra infrastruttura.
A riposo: database, cache e swap risiedono su un volume crittografato (LUKS2 / AES-256-XTS) sbloccato all'avvio da un modulo di sicurezza hardware (TPM 2.0) sul server — la chiave di crittografia non viene mai scritta sul disco in chiaro. I backup esterni vengono crittografati sul server (AES-256) prima del caricamento, e le chiavi che proteggono quei backup sono a loro volta conservate sul volume crittografato.
Poiché conserviamo solo identificatori opachi e nessun nome, un disco perso o dismesso non espone alcun dato personale o finanziario utilizzabile.
Autenticazione
L'autenticazione è delegata a Firebase Authentication (Google Cloud), un fornitore standard del settore usato da centinaia di migliaia di app. Non vediamo né conserviamo mai la tua password — se ne occupa Firebase sulla sua infrastruttura irrobustita.
Sub-responsabili e ubicazione dei dati
I nostri sub-responsabili del trattamento sono: Firebase (Google Ireland Ltd.) per l'autenticazione e OVH Hosting Inc. (Canada) per l'hosting dei dati del portafoglio. I dati del portafoglio sono conservati in forma anonimizzata in Canada (datacenter OVH di Beauharnois); il trasferimento dalla nostra entità UE (Wonderlink SL, Spagna) si basa sulla decisione di adeguatezza della Commissione europea per il Canada (per le organizzazioni soggette al PIPEDA). Entrambi i sub-responsabili sono vincolati da accordi sul trattamento dei dati conformi al GDPR.
Segnalare una vulnerabilità
Se ritieni di aver individuato un problema di sicurezza, scrivici utilizzando l'indirizzo di contatto in fondo a questa pagina. Cerchiamo di confermare le segnalazioni entro 48 ore e di rilasciare correzioni per i problemi confermati il più rapidamente possibile. Siamo grati ai ricercatori che aiutano a mantenere Evibe al sicuro e ti riconosceremo pubblicamente il merito (con il tuo permesso) una volta rilasciata la correzione.