Sicurezza & conformità
Le carte che teniamo, le teniamo bene.
Lo studio professionale custodisce la vita delle persone — atti, fascicoli, dichiarazioni, contratti. Trattare quei documenti con leggerezza non è un'opzione. Questa pagina riassume in linguaggio piano come Jamm IA gestisce dati, cifratura e conformità. Per la documentazione contrattuale completa scrivi a privacy@jamm-ia.it.
Dati in Italia
Infrastruttura cloud certificata, regione EU — Italia (Lombardia). I documenti dello studio non lasciano i confini europei e non attraversano continenti per essere indicizzati.
GDPR — per davvero
DPO nominato, registro dei trattamenti aggiornato, valutazione d'impatto (DPIA) eseguita. Base giuridica: esecuzione del contratto e legittimo interesse, valutati e documentati. Le carte le mandiamo se le chiedi.
Cifratura at-rest e in-flight
AES-256 per i dati a riposo, TLS 1.3 in transito. Le chiavi sono gestite tramite KMS regionale, con rotazione periodica e separazione dei ruoli. Nessun operatore Jamm IA può leggere i tuoi dati in chiaro per default.
Campi strutturati, non documenti
Il documento, dopo l'analisi, non lo conserviamo. Durante la sessione il sistema legge il file ed estrae i dati strutturati che servono al gestionale. Finita la sessione, il documento sparisce dai nostri server: ai tuoi atti restano i campi estratti, non il file originale. Niente vendita a terzi, niente uso per addestrare modelli di altri. Esportazione completa, sempre.
Audit & sub-processor
Pubblichiamo l'elenco dei sub-processor che usiamo per far funzionare il prodotto — hosting, database, email, protezione di rete — sulla pagina dedicata. Eseguiamo audit interni con cadenza annuale e notifichiamo i clienti almeno 30 giorni prima di qualsiasi cambio nella lista. Gli incidenti di sicurezza che coinvolgono dati personali vengono notificati al Garante entro 72 ore, come prescrive il GDPR, e ai clienti coinvolti nei tempi previsti dalla normativa.
Certificazioni e qualifiche
Stiamo costruendo lo studio in pubblico, e di conseguenza anche l'impalcatura di conformità. Ad oggi:
- ISO/IEC 27001 — percorso di certificazione in corso.
- AgID, qualifiche cloud per la PA — in valutazione, non ancora ottenute.
- SOC 2 Type I — pianificata per Q3 2026.
- GDPR — applicato e documentato dal primo giorno, con DPO interno.
Quando una certificazione viene ottenuta lo scriviamo qui, con la data e il certificatore. Finché non c'è il pezzo di carta, non la rivendichiamo.
Domande, segnalazioni, esercizio dei diritti
Per richieste di accesso, rettifica, cancellazione, portabilità o per segnalare un sospetto incidente, scrivi a privacy@jamm-ia.it. Rispondiamo entro 30 giorni come prevede il GDPR — di solito molto prima.