Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Sicurezza in YARDtwin

Come proteggiamo i dati dei clienti, garantiamo la disponibilità della piattaforma e manteniamo la conformità con EU GMP Annex 11, 21 CFR Part 11 e GDPR.

Punteggio 4,8/5,00 risultati di pentestResidenza dati EU/EEAConforme al GDPR

Piattaforma e hosting

YARDtwin è ospitato su Microsoft Azure con elaborazione in Norway East e Sweden Central per dati, registry e segreti. Tutti i dati dei clienti rimangono all'interno dell'UE/SEE, in conformità con gli articoli 44–49 del GDPR.

App Service (Linux Container) — Norway East
Azure PostgreSQL Flexible Server — Sweden Central
Azure Blob Storage — Norway East, container privati
Azure Key Vault — Sweden Central, controllo RBAC
Azure Front Door + WAF — Modalità prevenzione
Log Analytics + Microsoft Sentinel — conservazione 90 giorni

Sicurezza di rete e del trasporto

Controllo	Implementazione	Stato
TLS	TLS 1.3 con AES-256-GCM tramite Azure	Verificato
WAF	Azure Front Door WAF (modalità Prevenzione)	Attivo
HSTS	max-age di 2 anni con preload	Verificato
Solo HTTPS	Applicato da App Service	Verificato
Firewall DB	Solo Azure + allowlist IP amministratore	Verificato

Autenticazione e controllo degli accessi

Controllo	Implementazione	Stato
Policy password	8+ caratteri, maiuscola, minuscola, numero, carattere speciale	Applicato
Verifica violazioni	Ricerca HIBP k-anonymity alla registrazione / modifica	Attivo
MFA	TOTP (Google/Microsoft Authenticator)	Disponibile
SSO/SAML	SAML 2.0 (Azure AD, Okta, Google Workspace)	Attivo
Forza bruta	5 tentativi, blocco di 15 min (429)	Attivo
Token JWT	Accesso 1 ora, aggiornamento 7 giorni	Attivo
RBAC	8 ruoli con applicazione a livello di percorso	Attivo
Isolamento tenant	Ogni query filtrata per tenant_id	Verificato

Protezione dei dati

Controllo	Implementazione	Stato
Cifratura a riposo	Azure PostgreSQL AES-256	Attivo
Cifratura in transito	TLS 1.3	Attivo
Hashing password	bcrypt (12 round)	Attivo
SQL parametrizzato	154 query, 0 concatenazioni	Verificato
Segreti	Azure Key Vault	Attivo
Audit trail	Solo aggiunta, conforme ALCOA+	Attivo

Content Security Policy

CSP restrittiva con nonce per richiesta sugli script (nessun unsafe-inline). Set completo di header di sicurezza restituiti ad ogni risposta: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Test e validazione

Penetration testing indipendente il 17–18 aprile 2026 (10 categorie OWASP, 36 payload): 0 vulnerabilità.Test di sicurezza funzionale dell'11 aprile 2026 su oltre 1.890 chiamate API per 270 appuntamenti: 0 errori.Pentest annuale di terze parti pianificato e audit SOC 2 Type II in corso.

Conformità

EU GMP Annex 11 — Integrità dei dati (ALCOA+), audit trail append-only, registrazioni elettroniche, controllo degli accessi, validato
21 CFR Part 11 — Registrazioni elettroniche, audit trail, attribuzione, catena di custodia dei sigilli
GDPR — Portabilità dei dati (JSON + CSV), flusso di lavoro DSAR, tracciamento del consenso, residenza esclusivamente in UE/SEE
SOC 2 Type II — Audit in corso

Documenti e modelli

Modello di Data Processing Agreement (DPA) — per revisione e firma aziendale
Informativa GDPR
Informativa sulla privacy
security.txt

Responsible disclosure

Accogliamo con favore le segnalazioni dei ricercatori di sicurezza. Invia un'e-mail a admin@yardtwin.comcon una descrizione della vulnerabilità e i passaggi per riprodurla. Confermiamo la ricezione entro 2 giorni lavorativi e ci impegniamo a correggere i problemi critici entro 7 giorni. Si prega di non divulgare pubblicamente le vulnerabilità prima che abbiamo avuto la possibilità di porvi rimedio.

Ultimo aggiornamento: aprile 2026 · yardtwin.com

Ciao! Inizia la tua prova gratuita in 2 minuti: ti aiuto a configurare tutto!