Sicurezza e privacy su QR-Verse
Meriti di sapere esattamente come i tuoi dati vengono archiviati, elaborati e protetti. Nessuna promessa vaga, solo fatti. QR-Verse opera su infrastruttura ospitata nell'UE, è conforme al GDPR e ti dà il pieno controllo sui tuoi dati.
Infrastruttura
Dove vivono i tuoi dati e come vengono serviti.
Hosting UE (Hetzner, Germania)
I server dell'applicazione girano sui data center cloud di Hetzner in Germania. I tuoi dati non lasciano l'Unione Europea.
Hetzner Online GmbH, Norimberga & Falkenstein, DE
Database (Supabase / PostgreSQL)
Tutti i dati dei QR code e gli account utente sono archiviati in PostgreSQL con Row Level Security attiva. Backup automatici giornalieri con recupero point-in-time.
Regione UE, crittografato a riposo (AES-256)
CDN e protezione DDoS (Cloudflare)
Tutto il traffico transita per Cloudflare per il caching edge, la disponibilità globale e la mitigazione DDoS. Cloudflare elabora i dati secondo termini conformi al GDPR.
Rete anycast, 300+ PoP in tutto il mondo
Crittografia
Protezione dei dati in transito e a riposo.
In transito
- TLS 1.2+ imposto su tutte le connessioni
- HSTS (HTTP Strict Transport Security) abilitato
- Reindirizzamento automatico da HTTP a HTTPS
- Cookie sicuri con attributi SameSite e Secure
A riposo
- Crittografia AES-256 per i dati archiviati
- Hashing bcrypt per le password (mai archiviate in testo in chiaro)
- Backup del database crittografati
- Dati di pagamento elaborati da Stripe - non vediamo mai i numeri di carta
Cosa raccogliamo e cosa non raccogliamo
Trasparenza su ogni dato.
Cosa raccogliamo
- Indirizzo e-mail dell'account
- Contenuto del QR code e URL di destinazione
- Analytics di scansione: tipo di dispositivo, posizione a livello di città, timestamp
- Informazioni di pagamento elaborate tramite Stripe (non vediamo mai i numeri di carta)
- Indirizzo IP durante la creazione dell'account (solo per sicurezza, non archiviato a lungo termine)
Cosa non raccogliamo
- Cronologia di navigazione delle pagine di destinazione degli scan
- Identità personale di chi scansiona i tuoi QR code
- Dati biometrici di qualsiasi tipo
- Dati da tracker di terze parti sulle pagine di scansione (non ne utilizziamo)
- Dati di posizione più precisi del livello di città
- Profili di social media o tracciamento cross-platform
Conformità GDPR
I tuoi diritti ai sensi del GDPR e come li rispettiamo.
Diritto di accesso
Puoi richiedere in qualsiasi momento un'esportazione completa di tutti i dati che conserviamo su di te dalle impostazioni del tuo account.
Diritto alla portabilità
Esporta i tuoi QR code, i dati di scansione e le informazioni dell'account in formati standard (CSV, JSON). I tuoi dati, come vuoi.
Diritto alla cancellazione
Elimina il tuo account e tutti i dati associati in qualsiasi momento. La cancellazione è permanente e irreversibile dopo il periodo di grazia di 30 giorni.
Nessuna vendita di dati
Non vendiamo, affittiamo né condividiamo i tuoi dati personali con terze parti per scopi di marketing o pubblicità. Senza eccezioni.
Analytics opt-in per chi esegue le scansioni
Le analytics di scansione sono opt-in per le persone che scansionano i tuoi QR code. Nessun cookie persistente viene impostato sulle pagine di scansione.
Accordo sul trattamento dei dati
I clienti Business possono richiedere un DPA (Accordo sul trattamento dei dati) inviando un'e-mail a [email protected].
Cosa succede quando annulli
Vogliamo che tu possa fidarti del fatto che il tuo lavoro sia al sicuro, anche se te ne vai.
I QR code continuano a reindirizzare
I tuoi QR code dinamici continuano a funzionare dopo la cancellazione. Non interrompiamo le catene di reindirizzamento solo perché un abbonamento è scaduto.
Analytics in pausa, non eliminate
Le analytics di scansione vengono messe in pausa quando si passa al piano gratuito. I tuoi dati storici vengono conservati e diventano nuovamente accessibili se riattivi il piano.
Esporta prima di eliminare
Puoi esportare tutti i tuoi QR code, dati di scansione e informazioni sull'account in qualsiasi momento - anche dopo la cancellazione, durante il periodo di grazia di 30 giorni.
Periodo di grazia di 30 giorni
Dopo la cancellazione il tuo account rimane completamente accessibile per 30 giorni. Successivamente, l'account viene archiviato (non eliminato immediatamente) per altri 60 giorni.
Segnalazione responsabile
Hai trovato un problema di sicurezza? Vogliamo saperlo.
Contatto: [email protected]
Inviaci un'e-mail con una descrizione del problema, i passaggi per riprodurlo e la tua valutazione della gravità. Chiave PGP disponibile su richiesta.
Conferma entro 48 ore
Ci impegniamo a confermare ogni segnalazione di sicurezza entro 48 ore. Per le vulnerabilità critiche, puntiamo a una patch entro 7 giorni.
Ricercatori in buona fede protetti
Non intraprenderemo azioni legali contro i ricercatori di sicurezza che segnalano vulnerabilità in buona fede, seguono le nostre linee guida e non accedono né modificano i dati degli utenti.
Hall of fame
I ricercatori che segnalano in modo responsabile vulnerabilità valide vengono citati nella nostra hall of fame della sicurezza (con autorizzazione).
Domande frequenti
QR-Verse è conforme al GDPR?
Sì. QR-Verse è progettato per essere conforme al GDPR. I nostri server sono ospitati in Germania (UE), elaboriamo solo i dati necessari, forniamo pieni diritti di esportazione ed eliminazione, non utilizziamo tracker di terze parti e non vendiamo i dati degli utenti. I clienti Business possono richiedere un accordo sul trattamento dei dati.
Dove vengono archiviati i miei QR code?
Tutti i dati dei QR code sono archiviati in un database PostgreSQL ospitato su Supabase nella regione UE. Il database utilizza la Row Level Security in modo che ogni utente possa accedere solo ai propri dati. I backup sono crittografati e archiviati nella stessa regione UE.
Cosa succede ai miei dati se cancello?
Quando cancelli, i tuoi QR code continuano a reindirizzare. Le analytics vengono messe in pausa ma i tuoi dati storici vengono conservati. Hai un periodo di grazia di 30 giorni con accesso completo all'account per esportare tutto. Dopodiché, l'account viene archiviato per altri 60 giorni prima dell'eliminazione permanente.
Vendete i dati degli utenti?
No. Non vendiamo, affittiamo né condividiamo i dati degli utenti con terze parti per scopi di marketing o pubblicità. Il nostro modello di business sono gli abbonamenti. I tuoi dati vengono utilizzati esclusivamente per fornire il servizio QR-Verse.
I miei dati di scansione sono anonimi?
Sì. Raccogliamo tipo di dispositivo, browser, sistema operativo, posizione approssimativa a livello di città e timestamp. Non raccogliamo nomi, indirizzi e-mail o informazioni di identificazione personale delle persone che scansionano i tuoi QR code. Nessun cookie viene impostato sulle pagine di scansione.
Come gestite le vulnerabilità di sicurezza?
I problemi di sicurezza devono essere segnalati a [email protected]. Confermiamo le segnalazioni entro 48 ore, diamo priorità alle correzioni in base alla gravità e proteggiamo i ricercatori in buona fede da azioni legali. Al momento non abbiamo un programma di bug bounty, ma manteniamo una hall of fame.
Posso esportare i miei dati?
Sì. Puoi esportare i tuoi QR code e le analytics di scansione in formato CSV o JSON in qualsiasi momento dalle impostazioni del tuo account. Disponibile per tutti i piani, incluso il gratuito. Puoi anche richiedere un'esportazione completa dei dati dell'account contattando il supporto.
Terze parti hanno accesso ai miei dati QR code?
I nostri partner infrastrutturali (Hetzner per l'hosting, Supabase per il database, Cloudflare per il CDN, Stripe per i pagamenti) hanno accesso limitato e necessario nell'ambito della fornitura del servizio. Nessuno di questi partner è autorizzato a utilizzare i tuoi dati per scopi propri. Non condividiamo dati con inserzionisti, data broker o piattaforme di analytics.
Inizia a creare QR code sicuri
Ospitato in UE, conforme al GDPR e trasparente su ogni dato. Gratis per iniziare.