Sicurezza

Custodiamo i dati come voi custodite i bambini

Q: Chi è il titolare del trattamento dei dati dei bambini?

È la scuola , in quanto soggetto che ha il rapporto contrattuale con la famiglia per l'erogazione del servizio educativo. Araldo opera come responsabile del trattamento ai sensi dell'art. 28 GDPR, sulla base del contratto stipulato con la scuola titolare. Una catena chiara: la famiglia parla con la scuola, la scuola con Araldo.

Q: Cosa succede ai dati se la scuola smette di usare Araldo?

I dati restano disponibili per 90 giorni dopo la scadenza del periodo, per consentire alla scuola l'esportazione completa in formati standard. Trascorso questo periodo, i dati vengono cancellati o anonimizzati irreversibilmente. La scuola può richiedere export in qualsiasi momento durante il contratto.

Q: Come segnalo una vulnerabilità di sicurezza?

Scrivi a security@araldoscuolafamiglia.it descrivendo il problema e le condizioni di riproducibilità. Rispondiamo entro 5 giorni lavorativi e adottiamo una policy di responsible disclosure : nessun ricercatore di sicurezza in buona fede verrà mai querelato per una segnalazione costruttiva.

Server in Europa, crittografia di livello bancario, conformità GDPR by design. Quando una famiglia ci affida i dati del proprio figlio, sa che restano dove devono.

Approfondisci la privacy Trattamento minori

Mascotte Araldo medievale con un sigillo

Sicurezza dei dati

Dove vivono e come sono protetti

I pilastri tecnici alla base di tutta l'infrastruttura Araldo.

Server in Europa

I dati risiedono nel data center UE di Hostinger a Francoforte (Germania), conforme GDPR. Nessun trasferimento extra-UE per i dati primari.

Infrastruttura ISO/IEC 27001

L'hosting è affidato a Hostinger, certificato ISO/IEC 27001:2022: data center sorvegliati 24/7, accessi controllati e sistemi ridondati.

Crittografia TLS 1.3 in transito

Tutte le comunicazioni tra App, browser e server sono cifrate con lo standard più recente. Stesso livello delle banche online.

Crittografia a riposo

I dati salvati sul disco del server sono cifrati con AES-256. Anche un accesso fisico ai dischi non darebbe accesso ai dati in chiaro.

Backup giornalieri

Snapshot automatici quotidiani con retention configurabile. RTO e RPO dichiarati nel contratto con la scuola.

DDoS e test di sicurezza

Protezione anti-DDoS, firewall applicativo e scansioni di vulnerabilità con penetration test continui a livello di infrastruttura.

GDPR e privacy

Conformità ai dati personali

Il trattamento dei dati segue il Regolamento (UE) 2016/679 sin dalla progettazione: privacy by design, non come patch successiva.

Titolare

iKYBER S.r.l.s.

Email: [email protected]

Conservazione

90 giorni dopo la scadenza

Poi i dati vengono cancellati o anonimizzati irreversibilmente.

Sicurezza

Segnala una vulnerabilità

[email protected]

Per il testo integrale della privacy policy e l'elenco aggiornato dei sub-responsabili, consulta l'informativa GDPR.

Trattamento minori

Cautele aggiuntive per i bambini

I bambini di nido e scuola dell'infanzia hanno meno di 6 anni. Non hanno capacità autonoma di consenso. Per questo applichiamo cautele aggiuntive.

Scuola titolare del trattamento

La scuola è titolare autonoma dei dati dei propri iscritti. Araldo opera come responsabile del trattamento ai sensi dell'art. 28 GDPR.

Consenso acquisito dalla scuola

Il consenso al trattamento dei dati del bambino viene acquisito dalla scuola al momento dell'iscrizione, sui propri modelli.

Dati minimi necessari

Trattiamo solo i dati necessari al servizio educativo: anagrafica, sezione, transiti, allegati Diario. Niente dati biometrici, niente geolocalizzazione del bambino.

Diritti dei tutori

I genitori possono visualizzare i dati del bambino, chiedere rettifica e cancellazione (alla scuola titolare), esportarli in formato leggibile.

Documento dedicato. Per il dettaglio completo del trattamento dei dati di minori — quali dati trattiamo, quali non trattiamo, durata della conservazione, diritti dei tutori — c'è un'informativa legale dedicata.

Sicurezza applicativa

Come l'applicazione è costruita

Le buone pratiche di sicurezza non sono una toppa: sono parte della progettazione.

Sessione con scadenza automatica

Ogni sessione App/Web/totem è autenticata con token firmato e scadenza automatica. Niente sessioni eterne, niente furto credenziali residue.

Hashing password standard

Le password sono salvate con algoritmi di hashing moderni con salt univoco per utente. Nessuna password viene mai memorizzata in chiaro.

Audit log completo

Ogni operazione critica (transito, allerta, modifica anagrafica, accesso a documento sensibile) è tracciata in un log interno consultabile dall'amministratore della scuola.

QR Code dinamici

I QR usati per accessi e deleghe si rinnovano periodicamente: non possono essere fotografati e riutilizzati altrove.

Certificazioni e conformità

Quadro di riferimento

Conformità GDPR

Regolamento (UE) 2016/679 applicato in modo strutturale: privacy by design, base giuridica esplicita per ogni finalità, diritti dell'interessato gestiti operativamente.

Certificazioni ISO/SOC 2

L'infrastruttura di hosting è certificata ISO/IEC 27001:2022. Una certificazione a livello applicativo Araldo è in valutazione per i prossimi 24 mesi: questa pagina verrà aggiornata al conseguimento.

Provider infrastruttura

Hostinger, con data center UE a Francoforte (Germania). Certificato ISO/IEC 27001:2022 e conforme GDPR, con sorveglianza 24/7, protezione anti-DDoS e penetration test continui.

Trasparenza

Status del servizio, changelog delle release, segnalazioni di incidenti di sicurezza: tutto raccolto in un punto solo. Una scuola che usa Araldo può controllare in qualsiasi momento lo stato del sistema.

Vai alla pagina trasparenza

Domande frequenti

Le domande dei decisori scuola

Chi è il titolare del trattamento dei dati dei bambini?

È la scuola, in quanto soggetto che ha il rapporto contrattuale con la famiglia per l'erogazione del servizio educativo. Araldo opera come responsabile del trattamento ai sensi dell'art. 28 GDPR, sulla base del contratto stipulato con la scuola titolare. Una catena chiara: la famiglia parla con la scuola, la scuola con Araldo.

I dati vengono mai trasferiti fuori dall'Unione Europea?

I dati primari (anagrafiche, messaggi, transiti, Diario) restano sui server in Europa, presso il data center UE di Hostinger a Francoforte (Germania), certificato ISO/IEC 27001:2022. Alcuni servizi tecnici accessori (es. il provider di notifiche push, Firebase Cloud Messaging) possono comportare un trasferimento marginale verso paesi terzi con Standard Contractual Clauses e decisioni di adeguatezza. La privacy policy elenca i sub-responsabili e le relative garanzie.

Cosa succede ai dati se la scuola smette di usare Araldo?

I dati restano disponibili per 90 giorni dopo la scadenza del periodo, per consentire alla scuola l'esportazione completa in formati standard. Trascorso questo periodo, i dati vengono cancellati o anonimizzati irreversibilmente. La scuola può richiedere export in qualsiasi momento durante il contratto.

Avete una pagina di stato del servizio (uptime, incidenti)?

La pagina trasparenza raccoglie status del servizio, changelog delle release e — in caso si verificassero — segnalazioni di incidenti di sicurezza. Per gli SLA contrattuali (uptime garantito, finestre di manutenzione) il riferimento è il contratto con la scuola.

Come segnalo una vulnerabilità di sicurezza?

Scrivi a [email protected] descrivendo il problema e le condizioni di riproducibilità. Rispondiamo entro 5 giorni lavorativi e adottiamo una policy di responsible disclosure: nessun ricercatore di sicurezza in buona fede verrà mai querelato per una segnalazione costruttiva.

Hai domande sul trattamento dei dati?

Scrivici. Le valutazioni di sicurezza e privacy delle scuole sono un dovere serio e le prendiamo in carico personalmente.

Scrivi al referente privacy Prenota una demo dedicata