Sicurezza e conformità
Revisionato, crittografato e visibile solo a te.
Revisionato in modo indipendente, ospitato nell'UE e crittografato end-to-end. Le tue fatture e i dati bancari rimangono privati, anche per noi.
Difesa in profondità
Sicurezza integrata in ogni livello.
I tuoi dati non lasciano mai l'UE
Tutte le tue fatture, transazioni bancarie e documenti sono archiviati a Francoforte, in Germania. Nulla viene instradato o archiviato negli Stati Uniti o al di fuori dell'Unione Europea. Questo vale per tutto: i tuoi file, i record del database e i backup.
Non possiamo vedere i tuoi documenti
I dipendenti di Invoflux non hanno alcun accesso alle tue fatture, ai dati bancari o ai documenti finanziari. I tuoi dati sono isolati a livello di database, il che significa che anche se la nostra applicazione avesse un bug, i dati di un'azienda non potrebbero mai finire in quelli di un'altra. Non è una politica, è il modo in cui è costruito il sistema.
Piena conformità al GDPR
Agiamo come responsabili del trattamento dei dati ai sensi del GDPR. Puoi esportare tutti i tuoi dati o eliminare definitivamente il tuo account in qualsiasi momento, direttamente dalle impostazioni. Elaboriamo i dati solo secondo le tue istruzioni e non li condividiamo mai con nessuno.
Tutto è crittografato
I tuoi documenti sono crittografati durante il transito verso e dai nostri server (TLS 1.3) e crittografati nuovamente quando archiviati (AES-256-GCM, lo stesso standard utilizzato dalle banche). Le credenziali dei tuoi account collegati sono crittografate separatamente con chiavi dedicate e non vengono mai archiviate in testo semplice.
Chiediamo solo ciò di cui abbiamo bisogno
Quando colleghi Gmail o la tua banca, richiediamo i permessi minimi necessari. L'accesso a Gmail è in sola lettura e limitato alla ricerca di email contenenti fatture. L'accesso bancario riguarda solo i dati delle transazioni in sola lettura. Non inviamo mai email per tuo conto, non modifichiamo nulla e non accediamo mai a nulla oltre lo stretto necessario.
Ogni azione è registrata
Ogni accesso, accesso ai file, esportazione dati ed evento di integrazione viene registrato con timestamp e dettagli. Ogni azienda ha il proprio registro di controllo separato. Le informazioni sensibili come indirizzi email e IBAN vengono rimosse automaticamente dai log per evitare esposizioni.
Ogni azienda è completamente isolata
Se gestisci più aziende o se il tuo commercialista lavora con diversi clienti, ogni area di lavoro è separata a livello di database utilizzando Row-Level Security. Non c'è modo di accedere accidentalmente (o intenzionalmente) ai dati di un'altra azienda, nemmeno dall'interno dell'applicazione.
Verificato da Google
Invoflux ha superato la valutazione di sicurezza CASA Tier 2 di Google, la certificazione più elevata offerta da Google per le app che accedono a Gmail e Drive. Ciò ha incluso un audit di sicurezza di terze parti e conferma che richiediamo solo i permessi minimi. La certificazione viene rivalutata annualmente.
Protetti contro gli attacchi
Gli endpoint di accesso e autenticazione sono protetti con limitazione della frequenza per prevenire tentativi di brute-force. I dati sensibili come i token di sessione sono archiviati lato server in cookie sicuri e mai esposti al browser. Eseguiamo scansioni di sicurezza regolari per rilevare vulnerabilità prima che diventino problemi.
Domande
Domande frequenti
Quali servizi di terze parti accedono ai miei dati?
Utilizziamo Supabase (database e archiviazione file ospitati nell'UE), Salt Edge (connessioni bancarie in sola lettura, con sede nell'UE) e OpenAI (solo per l'estrazione dati delle fatture, senza conservazione dei dati da parte loro). Tutti i servizi sono contrattualmente vincolati agli standard di gestione dei dati dell'UE.
Cosa succede ai miei dati se annullo l'abbonamento?
Puoi esportare tutto prima, quindi eliminare il tuo account. L'eliminazione è permanente e rimuove tutti i tuoi documenti, i record delle transazioni e le informazioni personali dai nostri sistemi.
Vendete o condividete i miei dati?
No. Mai. I tuoi dati finanziari sono tuoi. Non li monetizziamo, non li condividiamo con inserzionisti e non li utilizziamo per scopi diversi dal funzionamento del servizio a cui ti sei iscritto.
Gestione dei dati
Come gestiamo i tuoi dati
- Archiviati nell'UE, opzionalmente replicati sul tuo cloud: le tue fatture risiedono in uno spazio di archiviazione crittografato nell'UE. Puoi anche replicarle sul tuo Google Drive, OneDrive, Dropbox o Box, dove Invoflux interagisce solo con le cartelle che crea.
- Dati strutturati, completamente ricercabili: fornitore, numero fattura, data, totali e stato di riconciliazione vengono estratti in modo che tutto sia ricercabile e riconciliato.
- Nessun addestramento AI: i dati degli utenti non vengono mai utilizzati per addestrare modelli pubblici.
- Sub-responsabili trasparenti: tutti conformi alle normative UE.
- Controllo totale sulla conservazione: elimina i dati in qualsiasi momento.
Open banking
Open Banking e conformità PSD2
Come funzionano le connessioni bancarie
- Ti autentichi direttamente presso la tua banca.
- Le credenziali non vengono mai condivise con Invoflux.
- L'accesso è rigorosamente in sola lettura e conforme alla PSD2.
- Vengono recuperati solo i dati sulle transazioni necessari.
Accesso regolamentato ai dati bancari
Copertura licenza PSD2
L'accesso bancario è fornito tramite un provider pienamente regolamentato e conforme alla PSD2.
eIDAS e autenticazione forte del cliente
Tutte le connessioni utilizzano certificati qualificati e seguono le regole SCA della PSD2.
Dati finanziari in sola lettura
Non è possibile avviare pagamenti; le credenziali non vengono mai archiviate o visualizzate.
Perché è importante
- Nessuna esposizione delle credenziali
- Accesso pienamente regolamentato secondo gli standard UE
- Sola lettura, sicuro e conforme
- L'utente mantiene il controllo totale
I tuoi diritti
Conformità GDPR
I tuoi diritti
- Accedere ai tuoi dati
- Portabilità dei dati
- Cancellazione
- Limitazione o opposizione
- Nessun processo decisionale automatizzato senza consenso
Accordo sul trattamento dei dati
Disponibile su richiesta all'indirizzo [email protected].
Rafforzamento
Intestazioni di sicurezza
Invoflux implementa intestazioni di sicurezza complete per proteggersi dalle comuni vulnerabilità web:
- Strict-Transport-Security: Forza le connessioni HTTPS
- X-Frame-Options: Previene gli attacchi di clickjacking
- X-Content-Type-Options: Previene lo sniffing del tipo MIME
- Content-Security-Policy: Mitiga gli attacchi XSS
- Permissions-Policy: Controlla l'accesso alle funzionalità del browser
- Referrer-Policy: Controlla quali informazioni vengono condivise durante la navigazione tra le pagine
Sicurezza che puoi verificare.
Inizia gratuitamente e scopri come Invoflux protegge i tuoi dati fin dal primo giorno.
Inizia gratuitamente