Trust
Lavoriamo con chi maneggia dati sensibili: PE, M&A advisory, family office. La fiducia è la base, non un nice-to-have. Qui c'è tutto ciò che deve sapere chi ci affida i propri dati.
Ultimo aggiornamento: 8 maggio 2026 · v0
I quattro pilastri
Hosting EU
Database e storage in Frankfurt. Nessun dato cliente esce dall'Unione Europea, eccezione esplicita per la chiamata AI.
Cifratura end-to-end
AES-256 at rest, TLS 1.3 in transit. Credenziali API isolate in vault separato.
Audit trail PE-grade
Ogni deliverable accompagnato da manifesto JSON con fonti, modello AI, prompt version, hash input e revisore umano.
Zero-retention AI
Anthropic opera sotto SCC + DPA zero-retention: i dati inviati al modello non vengono usati per training né conservati.
Sicurezza
Hosting europeo. Tutti i dati sono ospitati su Supabase Frankfurt, con backup cifrati. Nessun dato esce dall'Unione Europea ad eccezione di quanto descritto nella sezione AI providers.
Cifratura. Dati at-rest cifrati AES-256, dati in transit via TLS 1.3. Le credenziali API sono in vault separato (Vercel Environment Variables + Doppler).
Accessi. Solo personale Blind Side autorizzato accede ai dati cliente. Logging completo di ogni accesso. Audit log conservato 24 mesi.
Vulnerability management. Patching automatico delle dipendenze tramite Dependabot. Annual penetration test esterno previsto da gennaio 2027 (o prima se richiesto da cliente Enterprise).
Privacy & GDPR
Titolare del trattamento. Blind Side è data controller per i dati commerciali (lead, contatti) e data processor per i dati che il cliente carica nei deliverable.
Base giuridica. Esecuzione contrattuale (art. 6.1.b GDPR) per i dati cliente. Consenso esplicito (art. 6.1.a) per le comunicazioni marketing.
Diritti dell'interessato. Accesso, rettifica, cancellazione, limitazione, portabilità. Email dedicata privacy@blindside.ai. Risposta entro 30 giorni.
DPO. Data Protection Officer esterno (avvocato in convenzione). Contatto pubblico dpo@blindside.ai.
Trasferimenti extra-UE. L'unico trasferimento extra-UE è verso Anthropic (US) per la sola elaborazione AI, sotto Standard Contractual Clauses (SCC) con clausola di non-training del modello sui dati cliente. Tutti gli altri provider sono in regione UE.
Retention. Dati cliente conservati per la durata del contratto + 24 mesi (audit trail dei deliverable consegnati). Cancellazione completa entro 60 giorni dalla richiesta.
AI Providers e modelli
Provider AI. Blind Side utilizza Anthropic Claude (Sonnet 4.6 e Haiku) per tutta la pipeline analitica. Anthropic opera sotto DPA con clausola zero-retention: i dati inviati al modello non vengono usati per training, non vengono conservati oltre la durata della sessione, non sono accessibili ad altri tenant.
Trasparenza AI Act. Ogni deliverable Blind Side è etichettato come “AI-augmented analysis, human-reviewed” in copertina e in footer. La revisione umana è effettuata da personale Blind Side prima della consegna.
Limiti dichiarati. I modelli AI possono produrre errori. Tutti i numeri presenti nei deliverable hanno una source link cliccabile alla fonte ufficiale (CCIAA, bilancio, atto). La responsabilità sulle decisioni di investimento resta del cliente. Ogni deliverable contiene un disclaimer formale.
Audit trail e source traceability
Ogni deliverable è accompagnato da un manifesto JSON che documenta:
- Timestamp di generazione
- Modello AI utilizzato (Sonnet 4.6 / Haiku)
- Versione del prompt
- Fonti dei dati con URL e timestamp di scraping
- Hash dei file di input
- Identità del revisore umano
- Numero di iterazioni del modello
Il manifesto è conservato per 24 mesi e disponibile su richiesta del cliente per audit interno o di terze parti.
Sub-processors
Lista completa dei provider che processano dati cliente. Ogni cambio viene notificato con almeno 30 giorni di preavviso e diritto di obiezione.
| Provider | Funzione | Sede | Base legale |
|---|---|---|---|
| Anthropic | Modelli AI (Claude Sonnet 4.6 / Haiku) | US | SCC + DPA zero-retention |
| Supabase | Database PostgreSQL e storage | DE — Frankfurt | GDPR-compliant |
| Vercel | Hosting applicativo + Edge | EU regione | DPA standard |
| OpenAPI.com | Dati CCIAA / Registro Imprese | IT | Provider italiano |
| Resend | Email transazionali | EU | DPA |
| Sentry | Error monitoring | EU | DPA + IP scrubbing |
Incident response
In caso di data breach: notifica al cliente entro 24 ore dall'individuazione, notifica al Garante Privacy entro 72 ore se richiesto dal GDPR, root cause analysis entro 7 giorni, post-mortem pubblicato entro 30 giorni.
Recovery target. RPO 24 ore, RTO 4 ore lavorative.
Roadmap di certificazione
Maggio 2026 — stato attuale
- GDPR baseline operativa
- DPA firmati con sub-processor
- Audit log interno 24 mesi
- Trust Page pubblica (questa pagina)
Q4 2026 — Q1 2027
- SOC 2 Type 1
- ISO 27001 readiness assessment
- AI Act conformity assessment per classificazione high-risk se applicabile
2027 — 24 mesi
- SOC 2 Type 2
- ISO 27001 certificata
- ISO 42001 (AI Management System) quando standard di mercato
Contatti
Domande sulla privacy o esercizio dei diritti GDPR: privacy@blindside.ai
Data Protection Officer: dpo@blindside.ai
Domande commerciali o richieste di documentazione (DPA, MSA, SCC): contattaci.
Per richiedere DPA, MSA o accesso al manifesto JSON di un deliverable.
Contattaci