Lexferie Suite operativa
Sicurezza e fiducia operativa

Quello che Lexferie dichiara pubblicamente su sicurezza e conformita.

Questa pagina non e una certificazione ISO, non sostituisce un DPA e non pretende di essere l'intero allegato tecnico sicurezza. Serve a mostrare meglio cio che il prodotto fa sul serio e a rendere piu chiaro cosa va ancora verificato in una due diligence aziendale.

Segregazione tenant e ruoli

Il prodotto e costruito per lavorare per tenant e per ruoli. Il perimetro utile di dipendenti, richieste, documenti, sedi e dashboard deve restare nel tenant corretto e nel ruolo autorizzato.

Accesso al portale e alla miniapp

Il portale usa sessioni tecniche e controlli di accesso. La miniapp Telegram usa il contesto Telegram per autenticazione e passaggio sicuro del profilo nel perimetro miniapp.

Protezione dei form pubblici

  • protezioni anti-bot sui form pubblici;
  • token form firmati e con durata limitata;
  • honeypot e timing minimo anti-abuso;
  • rate limit e lockout sui flussi sensibili.

Protezione del portale autenticato

  • cookie di sessione tecnico per l'area autenticata;
  • controlli CSRF sui flussi portale che ne hanno bisogno;
  • audit di eventi sicurezza sui form pubblici e flussi sensibili;
  • separazione tra accessi pubblici, amministrativi e miniapp.

Tracking tecnico e webview

Una parte dei segnali tecnici del prodotto passa da sessioni, storage locale, Telegram WebApp e componenti di protezione form. Questo perimetro non va confuso con tracciamento pubblicitario: la configurazione attuale e centrata su componenti tecnici e necessari.

Leggi la pagina Cookie e tracking tecnico

AI e permission boundary

La fiducia nell'assistente AI non nasce da una promessa generica, ma dal fatto che il contesto usato per rispondere deve essere costruito dopo autenticazione, tenant scope e filtro ruolo. Questo perimetro e descritto meglio nella pagina dedicata.

Leggi la pagina AI e governance

Continuita operativa e backup

Esistono procedure tecniche e strumenti per backup e restore del database, con verifiche di integrita e passaggi di ripristino. La pagina pubblica non sostituisce il runbook completo, ma segnala che la continuita operativa non e lasciata solo alla speranza o al provider.

Incident response e breach readiness

Dal punto di vista marketing pubblico questa e quasi sempre la parte piu debole di un SaaS. Se stai facendo una valutazione enterprise, chiedi per iscritto procedura data breach, tempi di notifica, escalation interna, retention log, backup/restore e contatto di emergenza.

Cosa chiedere in due diligence

  • DPA e lista sub-responsabili attivi;
  • data residency, tenant separation e access control reali;
  • dettagli sul provider AI, retention e training del provider;
  • retention matrix per dati, log e backup;
  • nota scritta su incident handling e backup/restore.

Limite onesto di questa pagina

Questa pagina serve a ridurre l'opacita pubblica, non a sostituire documentazione contrattuale o tecnica piu granulare. Se il tuo processo di acquisto chiede un allegato sicurezza o una scheda subprocessor, va richiesto in modo formale.