Privacy Policy
Titolare del trattamento: NoxField — noxfield.tech
Contatto privacy: privacy@noxfield.tech
Ultimo aggiornamento: 03/07/2026
Premessa
La presente informativa descrive come NoxField ("noi", "Titolare") tratta i dati personali degli utenti del sito noxfield.tech e dei clienti dei servizi di cybersecurity, threat intelligence e digital risk (di seguito, i "Servizi"), ai sensi del Regolamento UE 2016/679 (GDPR) e della normativa italiana applicabile.
Dati raccolti
Trattiamo le seguenti categorie di dati:
- Dati di contatto: nome, cognome, email, telefono, azienda, ruolo — forniti tramite i moduli di richiesta o durante l'onboarding.
- Dati di autenticazione: email e password hashata (gestiti tramite Supabase Auth).
- Dati di perimetro: domini, indirizzi IP, endpoint, target di monitoraggio dichiarati dal cliente e da esso autorizzati.
- Dati di casi e alert: evidenze minimizzate raccolte durante l'esecuzione dei servizi (Exposure Check, Exposure Response, Watchtower, ShieldOps, Remediation Advisory).
- Dati di pagamento: gestiti direttamente da Stripe (PCI DSS Level 1); NoxField non conserva numeri di carta.
- Dati tecnici: log applicativi, indirizzo IP, user agent, orari di accesso, esclusivamente per finalità di sicurezza e diagnostica.
Finalità e basi giuridiche
- Erogazione dei servizi (art. 6.1.b GDPR — esecuzione del contratto): gestione account, casi, alert, report, fatturazione.
- Risposta a richieste commerciali (art. 6.1.b): gestione dei moduli di richiesta e follow-up preventivi.
- Adempimenti di legge (art. 6.1.c): fatturazione, conservazione contabile, obblighi antifrode.
- Sicurezza e prevenzione abusi (art. 6.1.f — legittimo interesse): protezione della piattaforma, audit log, contrasto a intrusioni.
- Comunicazioni operative (art. 6.1.b): notifiche di casi, alert Watchtower/ShieldOps, report periodici via email, Telegram o WhatsApp secondo le preferenze impostate dall'utente.
Destinatari e responsabili esterni
Per erogare i servizi ci avvaliamo dei seguenti responsabili del trattamento (art. 28 GDPR):
- Supabase — hosting database, autenticazione, storage report (regione UE quando disponibile).
- Resend — invio email transazionali (con dominio verificato noxfield.tech).
- Stripe — gestione pagamenti e abbonamenti.
- Lovable / Cloudflare — hosting frontend, CDN, protezione edge.
- Telegram — invio alert opzionali su canale del cliente.
Alcuni provider possono trasferire dati fuori dall'UE. In tali casi sono adottate le Clausole Contrattuali Standard della Commissione Europea (SCC 2021).
Conservazione
- Dati di lead non convertiti: 24 mesi dall'ultimo contatto.
- Dati di account attivo: per tutta la durata del contratto.
- Casi, alert ed evidenze: 24 mesi dalla chiusura del caso, salvo diverse istruzioni del cliente.
- Dati contabili e fiscali: 10 anni (obbligo di legge).
- Log tecnici e audit: 12 mesi.
Misure di sicurezza
- Cifratura in transito (TLS 1.2+) e a riposo lato provider.
- Row Level Security su tutte le tabelle applicative; ogni cliente accede esclusivamente ai propri dati.
- Storage report privato, accessibile solo via URL firmato a scadenza breve.
- Vault credenziali cifrato con chiave master server-side; NoxField admin non ha accesso in chiaro.
- Audit log per operazioni sensibili (accessi admin, reveal credenziali, upload evidenze).
- Autenticazione a più fattori consigliata per gli account admin.
Diritti dell'interessato
Ai sensi degli artt. 15-22 GDPR l'utente ha diritto a:
- accesso ai propri dati e ricezione di copia;
- rettifica di dati inesatti;
- cancellazione ("diritto all'oblio") nei limiti previsti dalla legge;
- limitazione o opposizione al trattamento;
- portabilità dei dati;
- revoca del consenso in qualsiasi momento;
- reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).
Per esercitare i diritti scrivi a privacy@noxfield.tech. Risponderemo entro 30 giorni.
Modifiche a questa policy
Ci riserviamo di aggiornare la presente informativa per adeguarla a evoluzioni normative o operative. La versione vigente è sempre pubblicata su questa pagina con la data di ultimo aggiornamento.