Security & GDPR

Misure dichiarate solo dove verificabili

NeuroStep tratta dati clinici e dati riferibili a minori. Per questo la sicurezza viene descritta in modo operativo: cosa è configurato oggi, cosa è documentato e cosa resta in verifica prima di diventare un claim pubblico.

Dati e regioni

  • Firestore verificato in eur3 per il database applicativo principale.
  • Cloud Functions configurate in europe-west1 per le funzioni backend.
  • La regione Storage resta oggetto di verifica amministrativa prima di dichiarare un perimetro esclusivo SEE per tutti i media.

Accesso e isolamento

  • Autenticazione tramite Firebase Auth.
  • Separazione dei dati per owner o tenant organizzazione.
  • Controlli RBAC su ruoli clinici, membership, pazienti assegnati e funzioni callable.

Protezione dei dati

  • Cifratura in transito tramite HTTPS/TLS e cifratura a riposo gestita dal provider cloud.
  • Allegati del portale famiglia scaricabili tramite URL firmati a breve durata, dopo verifica server-side dell’accesso.
  • Segreti operativi gestiti tramite Secret Manager params nel codice delle Cloud Functions.

GDPR operativo

  • Privacy policy, cookie policy, termini, preferenze consenso e audit trail dei consensi nel prodotto pubblico.
  • Cancellazione programmata dei pazienti eliminati con rimozione dei dati collegati e degli allegati associati.
  • DPA, sub-responsabili, DPIA, retention e procedure DSR mantenuti come pacchetto documentale e soggetti a revisione.

Nota sui claim

Non dichiariamo crittografia end-to-end sull’intero stack: il backend deve leggere alcuni dati per erogare report, permessi, sincronizzazione e supporto clinico. Le misure applicate sono quindi controlli di accesso, cifratura provider, audit, retention e minimizzazione secondo il rischio del trattamento.

Vuoi approfondire i dettagli legali?

Leggi Privacy PolicyRichiedi DPA o Informazioni