AlertaCert
PrezziBlogSicurezzaSupporto
AccediInizia gratuitamente
Sicurezza tecnica

Come proteggiamo i tuoi certificati

AlertaCert archivia credenziali fiscali critiche. Queste sono le misure tecniche specifiche che applichiamo, senza eufemismi di marketing.

Cifratura AES-256-GCM a riposo

Tutti i file di certificato (.p12, .cer, .key, .pem) sono archiviati cifrati con AES-256-GCM seguendo un modello di chiave a due livelli: ogni file ha la propria chiave di cifratura dei dati (DEK), avvolta da una chiave di cifratura delle chiavi (KEK) gestita in AWS KMS. Le password dei certificati vengono cifrate prima di essere scritte nel database — non viene applicato l'hash, perché devono essere usate operativamente per caricare i certificati.

Rotazione KEK applicata tramite AWS KMS. Le DEK vengono ri-avvolte ad ogni rotazione senza esporre il contenuto dei file.

Autenticazione con chiave di accesso (Passkey / WebAuthn)

AlertaCert supporta chiavi di accesso biometriche (Face ID, impronta digitale, Windows Hello) come secondo fattore di autenticazione. Le chiavi di accesso sono resistenti allo phishing per design — non vengono mai trasmesse al server.

Disponibile in tutti i piani. Gli amministratori possono richiederle a tutti i membri del team.

Re-autenticazione per azioni sensibili

Le azioni ad alto rischio — rivelare la password, scaricare il certificato, eliminare, firmare documenti, gestire i membri — richiedono una re-autenticazione recente. Se la tua sessione è vecchia, ti verrà chiesto di confermare la tua identità prima di procedere.

Mitiga il rischio di sessioni sequestrate anche con una sessione attiva.

Controllo degli accessi per ruolo

Ogni organizzazione ha ruoli di amministratore e membro. I membri non possono invitare utenti, cambiare ruoli, eliminare clienti o annullare flussi di firma. Gli amministratori controllano esattamente quali permessi sono sensibili nella loro organizzazione.

Limite di posti applicato in tempo reale — senza accesso fantasma.

Registro di audit immutabile

Ogni azione sensibile — caricamento, download, visualizzazione password, firma, eliminazione, cambio ruolo — viene registrata in un log di audit. Il log non ha politica di INSERT, UPDATE o DELETE per nessun utente o amministratore: solo il client di servizio può aggiungere voci. Le voci del log sono collegate tramite hash — ogni voce include l'hash della precedente, rendendo rilevabile qualsiasi manomissione silenziosa.

Gli amministratori possono filtrare la cronologia completa da Configurazione → Audit

Limite di velocità negli endpoint sensibili

Gli endpoint di caricamento, download, firma e autenticazione hanno limiti di velocità per utente. I tentativi eccessivi vengono bloccati prima di raggiungere il database.

I controlli di sicurezza falliscono sempre in modo chiuso — i limiti di frequenza e i controlli di autenticazione non vengono mai aggirati a causa di errori di infrastruttura.

Sicurezza a livello di riga in tutto il database

Ogni tabella del database ha la sicurezza a livello di riga (RLS) abilitata. I dati di un'organizzazione sono inaccessibili dalle query di un'altra organizzazione, anche se si utilizza la stessa istanza del database. Le chiavi di ruolo del servizio sono archiviate nella gestione dei segreti, mai nel codice dell'applicazione, e ruotate regolarmente. Gli URL dei file di archiviazione sono firmati con finestre di scadenza brevi e serviti tramite un proxy lato server — mai a lunga durata o indovinabili pubblicamente.

Isolamento dei dati garantito a livello di motore di database, non solo nel codice dell'applicazione.

Convalida dei file durante il caricamento

Ogni file caricato viene convalidato tramite magic bytes prima di essere archiviato. Un file che non sia un file DER/PKCS12 o PEM valido viene rifiutato. Non vengono mai archiviati file arbitrari mascherati da certificati.

I download vengono serviti su un server con Cache-Control: no-store.

Infrastruttura di terze parti

AlertaCert non gestisce i propri server. Ci affidiamo a fornitori di infrastruttura con certificazioni proprie.

DatabaseSupabase (PostgreSQL) — infrastruttura gestita con backup automatici
ArchiviazioneSupabase Storage — bucket privati, accesso firmato, RLS applicato
AutenticazioneSupabase Auth — token JWT a breve durata
Gestione chiaviAWS KMS — cifratura envelope con separazione DEK/KEK. Rotazione delle chiavi applicata. Nessuna chiave in testo normale nella configurazione dell'applicazione.
PagamentiStripe — AlertaCert non archivia mai i dati delle carte
PostaResend — solo metadati di notifica, senza contenuto di certificati
TrasportoHTTPS obbligatorio su tutti gli endpoint. Nessuna eccezione HTTP.

Cosa non facciamo mai

  • Accedere al contenuto dei tuoi file di certificato senza esplicita autorizzazione AWS KMS e un registro di audit verificabile. Ogni evento di decifratura richiede un uso deliberato della chiave KMS — nessun accesso in background o silenzioso è architetturalmente possibile.
  • Vendere o condividere dati di certificati con terze parti
  • Archiviare le password dei certificati in formato testo
  • Trasmettere i file dei certificati a servizi esterni (ad eccezione dell'archiviazione cifrata)
  • Utilizzare cookie di tracciamento pubblicitario
  • Registrare il contenuto dei file — solo metadati (nome, tipo, scadenza)

Hai trovato una vulnerabilità o hai domande sulla sicurezza?

[email protected]