Informativa sulla Sicurezza

1. Il nostro impegno per la tua sicurezza

TrueSpeak è costruito e mantenuto con uno standard di sicurezza rigoroso e continuo. Eseguiamo audit automatici di sicurezza tutti i mesi e agiamo sui risultati — perché la piattaforma che protegge le segnalazioni dei vostri whistleblower sia anch'essa protetta. Questa pagina è il nostro registro pubblico di tale impegno.

2. I quattro pilastri della nostra sicurezza

3. Cosa copriamo

Il nostro processo di audit verifica sistematicamente le seguenti categorie di rischio:

• Autenticazione, gestione delle sessioni e custodia delle password
• Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF)
• SQL injection e altri vettori di iniezione
• Deserializzazione insicura e istanziazione di oggetti non sicura
• Esposizione di dati sensibili e leak di segreti
• Server-Side Request Forgery (SSRF) e abuso di risorse esterne
• Header di sicurezza e hardening del transport layer (HTTPS, HSTS, CSP)
• Vulnerabilità nelle dipendenze di terze parti (cross-check con il database CVE)
• Configurazione crittografica e gestione delle chiavi
• Gestione del caricamento file e path traversal

4. Cadenza degli audit

Eseguiamo ogni mese un audit di sicurezza completo SAST + DAST in modo automatico. Questa è la nostra cronologia pubblica:

Cronologia degli audit

• 26 Maggio 2026 Più recente Completato

5. Cosa succede quando troviamo un problema

1. Triage. Ogni finding viene classificato per impatto ed exploitability secondo uno scoring di severità standard di settore.
2. Prioritizzazione. I problemi critici vengono gestiti immediatamente; quelli high entro lo sprint corrente; medium e inferiori nella prossima release pianificata.
3. Remediation. Le correzioni vengono applicate alla radice — aggiornando le dipendenze interessate, irrigidendo la configurazione, o rifattorizzando il codice.
4. Verifica. L'audit mensile successivo conferma la chiusura del problema e lo traccia nella cronologia degli audit.