Trust

Lavoriamo con chi maneggia dati sensibili: PE, M&A advisory, family office. La fiducia è la base, non un nice-to-have. Qui c'è tutto ciò che deve sapere chi ci affida i propri dati.

Ultimo aggiornamento: 8 maggio 2026 · v0

I quattro pilastri

Hosting EU

Database e storage in Frankfurt. Nessun dato cliente esce dall'Unione Europea, eccezione esplicita per la chiamata AI.

Cifratura end-to-end

AES-256 at rest, TLS 1.3 in transit. Credenziali API isolate in vault separato.

Audit trail PE-grade

Ogni deliverable accompagnato da manifesto JSON con fonti, modello AI, prompt version, hash input e revisore umano.

Zero-retention AI

Anthropic opera sotto SCC + DPA zero-retention: i dati inviati al modello non vengono usati per training né conservati.

Sicurezza

Hosting europeo. Tutti i dati sono ospitati su Supabase Frankfurt, con backup cifrati. Nessun dato esce dall'Unione Europea ad eccezione di quanto descritto nella sezione AI providers.

Cifratura. Dati at-rest cifrati AES-256, dati in transit via TLS 1.3. Le credenziali API sono in vault separato (Vercel Environment Variables + Doppler).

Accessi. Solo personale Blind Side autorizzato accede ai dati cliente. Logging completo di ogni accesso. Audit log conservato 24 mesi.

Vulnerability management. Patching automatico delle dipendenze tramite Dependabot. Annual penetration test esterno previsto da gennaio 2027 (o prima se richiesto da cliente Enterprise).

Privacy & GDPR

Titolare del trattamento. Blind Side è data controller per i dati commerciali (lead, contatti) e data processor per i dati che il cliente carica nei deliverable.

Base giuridica. Esecuzione contrattuale (art. 6.1.b GDPR) per i dati cliente. Consenso esplicito (art. 6.1.a) per le comunicazioni marketing.

Diritti dell'interessato. Accesso, rettifica, cancellazione, limitazione, portabilità. Email dedicata privacy@blindside.ai. Risposta entro 30 giorni.

DPO. Data Protection Officer esterno (avvocato in convenzione). Contatto pubblico dpo@blindside.ai.

Trasferimenti extra-UE. L'unico trasferimento extra-UE è verso Anthropic (US) per la sola elaborazione AI, sotto Standard Contractual Clauses (SCC) con clausola di non-training del modello sui dati cliente. Tutti gli altri provider sono in regione UE.

Retention. Dati cliente conservati per la durata del contratto + 24 mesi (audit trail dei deliverable consegnati). Cancellazione completa entro 60 giorni dalla richiesta.

AI Providers e modelli

Provider AI. Blind Side utilizza Anthropic Claude (Sonnet 4.6 e Haiku) per tutta la pipeline analitica. Anthropic opera sotto DPA con clausola zero-retention: i dati inviati al modello non vengono usati per training, non vengono conservati oltre la durata della sessione, non sono accessibili ad altri tenant.

Trasparenza AI Act. Ogni deliverable Blind Side è etichettato come “AI-augmented analysis, human-reviewed” in copertina e in footer. La revisione umana è effettuata da personale Blind Side prima della consegna.

Limiti dichiarati. I modelli AI possono produrre errori. Tutti i numeri presenti nei deliverable hanno una source link cliccabile alla fonte ufficiale (CCIAA, bilancio, atto). La responsabilità sulle decisioni di investimento resta del cliente. Ogni deliverable contiene un disclaimer formale.

Audit trail e source traceability

Ogni deliverable è accompagnato da un manifesto JSON che documenta:

  • Timestamp di generazione
  • Modello AI utilizzato (Sonnet 4.6 / Haiku)
  • Versione del prompt
  • Fonti dei dati con URL e timestamp di scraping
  • Hash dei file di input
  • Identità del revisore umano
  • Numero di iterazioni del modello

Il manifesto è conservato per 24 mesi e disponibile su richiesta del cliente per audit interno o di terze parti.

Sub-processors

Lista completa dei provider che processano dati cliente. Ogni cambio viene notificato con almeno 30 giorni di preavviso e diritto di obiezione.

ProviderFunzioneSedeBase legale
AnthropicModelli AI (Claude Sonnet 4.6 / Haiku)USSCC + DPA zero-retention
SupabaseDatabase PostgreSQL e storageDE — FrankfurtGDPR-compliant
VercelHosting applicativo + EdgeEU regioneDPA standard
OpenAPI.comDati CCIAA / Registro ImpreseITProvider italiano
ResendEmail transazionaliEUDPA
SentryError monitoringEUDPA + IP scrubbing

Incident response

In caso di data breach: notifica al cliente entro 24 ore dall'individuazione, notifica al Garante Privacy entro 72 ore se richiesto dal GDPR, root cause analysis entro 7 giorni, post-mortem pubblicato entro 30 giorni.

Recovery target. RPO 24 ore, RTO 4 ore lavorative.

Roadmap di certificazione

Maggio 2026 — stato attuale

  • GDPR baseline operativa
  • DPA firmati con sub-processor
  • Audit log interno 24 mesi
  • Trust Page pubblica (questa pagina)

Q4 2026 — Q1 2027

  • SOC 2 Type 1
  • ISO 27001 readiness assessment
  • AI Act conformity assessment per classificazione high-risk se applicabile

2027 — 24 mesi

  • SOC 2 Type 2
  • ISO 27001 certificata
  • ISO 42001 (AI Management System) quando standard di mercato

Contatti

Domande sulla privacy o esercizio dei diritti GDPR: privacy@blindside.ai

Data Protection Officer: dpo@blindside.ai

Domande commerciali o richieste di documentazione (DPA, MSA, SCC): contattaci.

Per richiedere DPA, MSA o accesso al manifesto JSON di un deliverable.

Contattaci