🔒 GDPR Compliant

Privacy Policy

Ultimo aggiornamento: 12 marzo 2026

La presente informativa descrive le modalità di raccolta, utilizzo e protezione dei dati personali degli utenti che accedono al servizio Sectra Dev (di seguito "il Servizio"), accessibile all'indirizzo sectra.dev. Il trattamento avviene in conformità al Regolamento (UE) 2016/679 (GDPR) e alla normativa italiana vigente.

1. Titolare del trattamento

TitolareAndrea Saitta
Indirizzo emailhello@sectra.dev
PaeseItalia
ServizioSectra Dev — sectra.dev

Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile contattare il Titolare all'indirizzo email indicato.

2. Tipologie di dati raccolti

2.1 Dati di registrazione e account

Durante la registrazione e l'utilizzo del Servizio vengono raccolti:

  • Indirizzo email
  • Nome e cognome (opzionale, inserito dall'utente)
  • Identificativo univoco account (gestito da Clerk)
  • Data e ora di registrazione
  • Piano di abbonamento attivo

2.2 Dati di pagamento

I dati di pagamento (numero carta, IBAN, ecc.) sono gestiti esclusivamente da Stripe Inc. e non vengono mai trasmessi o conservati sui server di Sectra Dev. Il Titolare ha accesso esclusivamente agli identificativi di abbonamento e allo stato del pagamento.

2.3 Dati tecnici

In modo automatico durante la navigazione vengono raccolti:

  • Indirizzo IP
  • Tipo e versione del browser
  • Sistema operativo
  • Pagine visitate e timestamp delle richieste
  • Token di sessione (gestiti da Clerk)

2.4 Dati delle scansioni

Per l'erogazione del Servizio di security scanning vengono raccolti e trattati:

  • URL e domini inseriti dall'utente per le scansioni
  • Risultati delle scansioni (vulnerabilità rilevate, porte aperte, ecc.)
  • Report PDF generati
  • Storico delle scansioni effettuate
  • Configurazioni di scansione schedulate

Nota: l'utente è responsabile di eseguire scansioni esclusivamente su domini di cui ha autorizzazione. Sectra Dev non effettua controlli preventivi sull'autorizzazione ma si riserva il diritto di sospendere account in caso di utilizzo illecito.

3. Finalità del trattamento

Erogazione del Servizio

Registrazione account, autenticazione, esecuzione delle scansioni, generazione report PDF, gestione piani e limiti di utilizzo.

Gestione dei pagamenti

Elaborazione abbonamenti, fatturazione, gestione upgrade/downgrade e cancellazioni tramite Stripe.

Comunicazioni email

Invio dei report di scansione, notifiche di vulnerabilità critiche, alert schedulati, comunicazioni relative all'account e risposte al supporto tecnico.

Sicurezza e prevenzione frodi

Monitoraggio degli accessi, rilevamento di utilizzi anomali, protezione dell'infrastruttura e prevenzione di attività fraudolente.

Miglioramento del Servizio

Analisi aggregate e anonimizzate sull'utilizzo del Servizio per migliorare le funzionalità, esclusivamente in forma aggregata e non riconducibile al singolo utente.

4. Base giuridica del trattamento

FinalitàBase giuridica (GDPR)
Erogazione del ServizioArt. 6(1)(b) — Esecuzione del contratto
Gestione pagamentiArt. 6(1)(b) — Esecuzione del contratto
Comunicazioni email operativeArt. 6(1)(b) — Esecuzione del contratto
Sicurezza e prevenzione frodiArt. 6(1)(f) — Legittimo interesse
Comunicazioni di marketing (eventuale)Art. 6(1)(a) — Consenso
Obblighi fiscali e contabiliArt. 6(1)(c) — Obbligo legale

5. Conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

  • Dati di account: per tutta la durata del rapporto contrattuale e fino a 12 mesi dalla cancellazione dell'account, salvo obblighi di legge.
  • Dati di scansione e report: per tutta la durata dell'abbonamento; per il piano Agency lo storico è illimitato. Alla cancellazione dell'account i dati vengono eliminati entro 30 giorni.
  • Dati di pagamento: conservati da Stripe secondo le proprie policy (generalmente 7 anni per obblighi fiscali).
  • Log tecnici: massimo 90 giorni, salvo necessità di indagine su incidenti di sicurezza.
  • Comunicazioni email: fino a 24 mesi dall'ultima interazione.

6. Diritti dell'interessato (GDPR art. 15–22)

In qualità di interessato, l'utente ha il diritto di:

Art. 15Accesso

Ottenere conferma che sia in corso un trattamento e accedere ai propri dati.

Art. 16Rettifica

Ottenere la correzione di dati inesatti o incompleti.

Art. 17Cancellazione

Richiedere la cancellazione dei propri dati («diritto all'oblio»).

Art. 18Limitazione

Ottenere la limitazione del trattamento in determinati casi.

Art. 20Portabilità

Ricevere i propri dati in formato strutturato e leggibile da macchina.

Art. 21Opposizione

Opporsi al trattamento basato su legittimo interesse.

Per esercitare i propri diritti, inviare una richiesta a hello@sectra.dev. Il Titolare risponderà entro 30 giorni. In caso di risposta insoddisfacente, l'utente ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).

7. Responsabili del trattamento e terze parti

Il Servizio si avvale di fornitori terzi che trattano dati per conto del Titolare:

Clerk Inc.🇺🇸 USAAutenticazione e gestione sessioni

Aderente al Data Privacy Framework EU-USA. Conserva email, sessioni e token di autenticazione.

Privacy Policy →
Stripe Inc.🇺🇸 USAElaborazione pagamenti

Certificato PCI DSS Level 1. Gestisce integralmente i dati di pagamento.

Privacy Policy →
Resend Inc.🇺🇸 USAInvio email transazionali

Invia report, alert e comunicazioni di servizio. Tratta indirizzi email degli utenti.

Privacy Policy →
Anthropic, PBC🇺🇸 USAAnalisi AI delle vulnerabilità

I dati tecnici delle scansioni (non dati personali identificativi) vengono inviati all'API Claude per l'analisi AI. Anthropic non usa i dati dei clienti API per addestrare i modelli.

Privacy Policy →
Railway Corp.🇺🇸 USAHosting e infrastruttura cloud

Ospita l'intera applicazione, il database e i servizi backend. I dati sono ospitati su server in USA.

Privacy Policy →
NVD / NIST🇺🇸 USA (ente pubblico)Database vulnerabilità CVE

API pubblica consultata per arricchire i risultati di scansione con informazioni CVE. Nessun dato personale viene trasmesso.

Privacy Policy →

8. Trasferimento di dati extra-UE

Alcuni fornitori (Clerk, Stripe, Resend, Anthropic, Railway) hanno sede negli Stati Uniti d'America. Il trasferimento di dati verso questi paesi terzi avviene sulla base di:

  • Data Privacy Framework EU-USA (decisione di adeguatezza della Commissione Europea del luglio 2023) per i fornitori certificati.
  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea, per i fornitori non coperti dal DPF.
  • Garanzie aggiuntive di sicurezza implementate da ciascun fornitore (crittografia in transito e a riposo, certificazioni SOC 2, ISO 27001).

9. Cookie e tecnologie di tracciamento

Il Servizio utilizza esclusivamente cookie tecnici necessari al funzionamento. Non vengono utilizzati cookie di profilazione o di tracciamento pubblicitario.

Cookie di sessione ClerkTecnico — necessario

Mantengono la sessione autenticata dell'utente. Senza questi cookie non è possibile accedere al Servizio.

Durata: Sessione / 30 giorni

Cookie StripeTecnico — necessario

Utilizzati durante il processo di pagamento per garantire la sicurezza della transazione e prevenire frodi.

Durata: Sessione di pagamento

Poiché vengono utilizzati solo cookie tecnici necessari, non è richiesto il consenso ai sensi dell'art. 122 del Codice Privacy italiano.

10. Misure di sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate a proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione. Tra le misure adottate:

  • Crittografia TLS/HTTPS per tutte le comunicazioni
  • Autenticazione sicura tramite Clerk con supporto MFA
  • Database PostgreSQL con accesso ristretto e crittografia a riposo
  • Separazione degli ambienti di sviluppo e produzione
  • Variabili d'ambiente per la gestione dei segreti (nessuna chiave in codice sorgente)

11. Modifiche alla Privacy Policy

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, anche in risposta a cambiamenti normativi o tecnologici. Le modifiche sostanziali saranno comunicate agli utenti registrati tramite email all'indirizzo associato all'account, con un preavviso di almeno 15 giorni.

La versione aggiornata sarà sempre disponibile a questo indirizzo con l'indicazione della data dell'ultimo aggiornamento. L'utilizzo continuato del Servizio dopo la comunicazione delle modifiche costituisce accettazione della nuova informativa.

12. Contatti per l'esercizio dei diritti

Per esercitare i diritti di cui all'art. 15–22 GDPR o per qualsiasi richiesta relativa al trattamento dei dati personali:

Andrea Saitta — Titolare del Trattamento

Email: hello@sectra.dev

Il Titolare risponderà alla richiesta entro 30 giorni dal ricevimento. In caso di richieste complesse o numerose, il termine può essere prorogato di ulteriori 60 giorni, previa comunicazione all'interessato.

© 2026 Sectra Dev — Andrea Saitta. Tutti i diritti riservati.

HomePrivacy Policy
Privacy Policy | Sectra Dev