Percorso audit strutturato
Per rendere più verificabili sicurezza e qualità abbiamo separato il percorso audit in quattro letture più utili.
Sicurezza e fiducia operativa
Una pagina pubblica per capire se Lexferie regge una due diligence tecnica seria.
Questa pagina non è una certificazione e non sostituisce un allegato tecnico completo. Serve a mostrare meglio ciò che il prodotto fa sul serio e a rendere più chiaro cosa va ancora verificato a parte.
Continuità e qualità
Incident response, ripristino, onboarding, supporto e miglioramento continuo non restano più impliciti.
Dati separati e ruoli
Il prodotto è costruito per lavorare per azienda e per ruoli. Il perimetro utile di dipendenti, richieste, documenti, sedi e dashboard deve restare nell'azienda corretta e nel ruolo autorizzato.
Accesso al portale e alla miniapp
Il portale usa sessioni tecniche e controlli di accesso. La miniapp Telegram usa il contesto Telegram per autenticazione e passaggio sicuro del profilo nel perimetro miniapp.
Protezione dei form pubblici
- protezioni anti-bot sui form pubblici;
- token form firmati e con durata limitata;
- honeypot e timing minimo anti-abuso;
- rate limit e lockout sui flussi sensibili.
Protezione del portale autenticato
- cookie di sessione tecnico per l'area autenticata;
- controlli CSRF sui flussi portale che ne hanno bisogno;
- audit di eventi sicurezza sui form pubblici e flussi sensibili;
- separazione tra accessi pubblici, amministrativi e miniapp.
Tracking tecnico e webview
Una parte dei segnali tecnici del prodotto passa da sessioni, storage locale, Telegram WebApp e componenti di protezione form. Questo perimetro non va confuso con tracciamento pubblicitario: la configurazione attuale è centrata su componenti tecnici e necessari.
Assistente e limiti
La fiducia nell'assistente non nasce da una promessa generica, ma dal fatto che il contesto usato per rispondere deve essere costruito dopo autenticazione, azienda corretta e filtro ruolo. Questo perimetro è descritto meglio nella pagina dedicata.
Continuità operativa e backup
Esistono procedure tecniche e strumenti per backup e restore del database, con verifiche di integrità e passaggi di ripristino. La pagina pubblica non sostituisce il runbook completo, ma segnala che la continuità operativa non è lasciata solo alla speranza o al provider.
Gestione degli incidenti
Questa è spesso la parte meno visibile da una pagina pubblica. Se stai facendo una valutazione più formale, chiedi per iscritto procedura data breach, tempi di notifica, escalation interna, retention log, backup e contatto di emergenza.
Se vuoi approfondire
- DPA e lista dei servizi esterni o sub-responsabili attivi;
- residenza dei dati, separazione tra clienti e controlli di accesso reali;
- dettagli sul provider dell'assistente e sulle relative policy;
- retention matrix per dati, log e backup;
- nota scritta su gestione incidenti e ripristino.
Limite onesto di questa pagina
Questa pagina serve a ridurre l'opacità pubblica, non a sostituire documentazione contrattuale o tecnica più granulare. Se il tuo processo di acquisto chiede un allegato sicurezza o una scheda servizi esterni, va richiesto in modo formale.