Sovranità
100 % dei suoi dati aziendali ospitati in Francia, presso OVH Cloud, in datacenter europei. Nessun trasferimento fuori dall'UE.
Sicurezza
La sicurezza dei suoi dati, senza chiacchiere
I suoi dati aziendali, viaggi, carichi, equipaggi, sono sensibili. Ecco concretamente cosa mettiamo in atto per proteggerli, sia tecnicamente che organizzativamente.
I 4 pilastri
Il nostro approccio in quattro livelli
Cifratura
TLS 1.3 ovunque (trasporto), cifratura a riposo sui dischi, password con argon2id (algoritmo moderno, resistente agli attacchi).
Controllo accessi
Multi-tenant rigoroso, PostgreSQL Row Level Security, 4 ruoli distinti, 2FA opzionale, registro di audit consultabile dall'armatore.
Continuità
Backup cifrati ogni ora, replicas calde su 2 datacenter, piano di ripristino testato, RTO < 4 h e RPO < 1 h.
Hosting
OVH Cloud · datacenter francesi
Tutti i servizi e i dati aziendali dei nostri clienti sono ospitati presso OVH Cloud, operatore francese certificato ISO 27001 e SecNumCloud (riferimento ANSSI per i servizi cloud sensibili).
I suoi dati sono distribuiti tra i datacenter di Gravelines (Hauts-de-France), Roubaix (Hauts-de-France) e Strasburgo (Grand Est), con replicazione attiva-attiva tra due regioni. Nessun dato aziendale lascia la Francia.
Solo il sito marketing fluviapro.fr è ospitato su Cloudflare (CDN mondiale, gratuito). Il sito contiene solo contenuti pubblici statici, nessun dato cliente vi transita.
- Operatore
- OVH Cloud (FR)
- Certificazioni
- ISO 27001, SecNumCloud
- Localizzazione dati
- Francia · 100 %
- Datacenter
- Gravelines · Roubaix · Strasburgo
Cifratura
I suoi dati cifrati, ovunque, sempre
In transito
TLS 1.3 tra il suo browser (o tablet del battelliere) e i nostri server. HSTS attivo. Certificati Let's Encrypt rinnovati automaticamente.
A riposo
Dischi cifrati a livello blocco (LUKS) su tutti i server. PostgreSQL Transparent Data Encryption attivo sul database di produzione.
Password
Hashing argon2id (vincitore del Password Hashing Competition 2015). Parametri moderni: 64 MB di memoria, 3 iterazioni, parallelismo 4.
Segreti
Gestiti da Infisical auto-ospitato. Nessun segreto in chiaro nel codice, nei log o nei backup. Rotazione delle chiavi ogni 90 giorni.
Controllo accessi
Multi-tenant rigoroso, 4 ruoli, audit completo
Ogni organizzazione cliente (armatore) è isolata da un `organization_id` presente su ogni tabella aziendale. Il filtraggio è applicato due volte: dal codice applicativo E dalla PostgreSQL Row Level Security. Una fuga da un'organizzazione all'altra è tecnicamente impossibile.
Quattro ruoli distinti con permessi granulari: armatore (amministrazione completa della sua organizzazione), battelliere (inserimento a bordo + sola lettura sui suoi viaggi), commercialista (fatture, esportazioni, sola lettura sul resto), cliente (portale spedizioniere in sola lettura sui suoi carichi).
L'autenticazione utilizza JWT di breve durata (15 minuti) con refresh token (30 giorni, revocabili). 2FA TOTP opzionale (raccomandata per gli armatori). Ogni accesso, ogni azione sensibile (esportazione, eliminazione, modifica diritti) è registrata in un registro di audit consultabile dall'armatore.
Backup & continuità
Nessun dato va mai perso
Backup
PostgreSQL Point-in-Time Recovery: ripristino possibile a qualsiasi secondo degli ultimi 30 giorni. Snapshot quotidiani cifrati conservati 12 mesi.
Replicazione
Replica sincrona in un secondo datacenter (Roubaix ⇄ Strasburgo). Switchover manuale < 1 h in caso di incidente grave sulla regione primaria.
Archiviazione file
OVH Object Storage con replicazione geografica. Vignette, certificati ed esportazioni PDF duplicati su 2 regioni francesi.
Piano di ripristino
Procedura testata ogni semestre. Obiettivi contrattuali: RTO (Recovery Time Objective) < 4 h, RPO (Recovery Point Objective) < 1 h.
Conformità
GDPR e oltre
- GDPR: conformità completa, registro dei trattamenti aggiornato, contratti di sub-fornitura firmati con tutti i sub-fornitori tecnici.
- Hosting provider certificato ISO 27001 e SecNumCloud (riferimento ANSSI per i servizi cloud sensibili).
- Audit di sicurezza esterno annuale da parte di un'agenzia indipendente (pentest applicativo + revisione infrastruttura).
- Audit settimanale delle dipendenze software (Snyk + Dependabot). Applicazione delle patch critiche entro 48 h.
- Politica di gestione degli incidenti: qualifica entro 4 h, notifica clienti entro 24 h, post-mortem pubblico entro 7 giorni.
Divulgazione responsabile
Ha trovato una vulnerabilità?
Se scopre una vulnerabilità di sicurezza in FluviaPro, la ringraziamo di segnalarcela in modo responsabile a security@fluviapro.fr. Confermiamo la ricezione entro 24 h, qualifichiamo entro 72 h e correggiamo le falle critiche entro 7 giorni massimo. Riconosciamo pubblicamente i contributi (con il suo accordo) e stiamo lavorando a un programma di bug bounty.
security@fluviapro.frDomande sulla nostra sicurezza?
Il nostro team tecnico risponde a tutte le domande di sicurezza (questionari DSI, audit interni, due diligence).