Sub-responsabili
CRA Evidence si avvale dei seguenti sub-responsabili terzi per fornire i nostri servizi. Questo elenco è mantenuto in conformità con l'articolo 28 del GDPR e il nostro Accordo sul Trattamento dei Dati.
Notifica di Modifica
Notificheremo i clienti almeno 30 giorni prima dell'aggiunta o della sostituzione di un sub-responsabile. È possibile iscriversi agli aggiornamenti contattando privacy@craevidence.com.
In caso di obiezioni relative a un nuovo sub-responsabile, è possibile presentarle entro 30 giorni dalla ricezione dell'avviso contattando privacy@craevidence.com.
Sub-responsabili dell'Infrastruttura
| Sub-responsabile | Finalità | Dati Trattati | Localizzazione |
|---|---|---|---|
| Amazon Web Services (AWS) | Hosting cloud, calcolo e archiviazione | Tutti i dati dei clienti | eu-west-1 (Dublino, Irlanda) |
| Amazon RDS | Database PostgreSQL gestito | Tutti i dati strutturati (account, prodotti, vulnerabilità) | eu-west-1 (Dublino, Irlanda) |
| Amazon S3 | Archiviazione oggetti | SBOM, documenti tecnici, immagini firmware | eu-west-1 (Dublino, Irlanda) |
| Amazon CloudFront | Distribuzione contenuti e sicurezza perimetrale | Asset statici, instradamento richieste | Punti di presenza UE |
| Amazon SES | Invio email transazionali | Indirizzi email, contenuto delle notifiche | eu-west-1 (Dublino, Irlanda) |
Sub-responsabili Applicativi
| Sub-responsabile | Finalità | Dati Trattati | Localizzazione |
|---|---|---|---|
| Google Workspace | Relay SMTP per la consegna email | Indirizzi email, contenuto delle email | Infrastruttura globale Google (SCCs UE incluse) |
| Stripe | Elaborazione pagamenti | Nome di fatturazione, email, metodo di pagamento | Stati Uniti (SCCs UE / DPF) |
| Cloudflare Turnstile | Protezione bot durante registrazione e accesso | Indirizzo IP, impronta del browser | Elaborazione edge (nessun PII archiviato) |
| Tailscale | VPN zero-trust per accesso amministrativo all'infrastruttura | Metadati dispositivi dei dipendenti, registri di accesso alla rete (nessun contenuto cliente) | Server di coordinamento: Canada/USA; traffico dati: WireGuard peer-to-peer all'interno di AWS UE |
| PostHog | Analisi del prodotto (modalità senza cookie sulle pagine pubbliche, analisi completa per utenti autenticati con consenso) | Visualizzazioni di pagina, utilizzo delle funzionalità, dati di interazione anonimizzati | UE (eu.posthog.com, Francoforte, Germania) |
Componenti Self-hosted
| Componente | Finalità | Dati Trattati | Localizzazione |
|---|---|---|---|
| Trivy (Aqua Security) | Scansione vulnerabilità degli SBOM | Contenuto SBOM, metadati pacchetti | Self-hosted nella nostra infrastruttura AWS (eu-west-1) |
Note
- Tutti i dati dei clienti sono archiviati esclusivamente nell'UE (AWS eu-west-1, Dublino, Irlanda).
- Stripe elabora i dati di pagamento negli Stati Uniti secondo le Clausole Contrattuali Tipo (SCCs) e il Quadro sulla Privacy dei Dati UE-USA (DPF).
- Google Workspace è coperto dal Cloud Data Processing Addendum (CDPA), che include Clausole Contrattuali Tipo per i trasferimenti internazionali.
- Cloudflare Turnstile elabora i dati al perimetro solo per la protezione bot. Nessun dato personale viene archiviato.
- Trivy funziona interamente all'interno della nostra infrastruttura e non invia dati a servizi esterni.
- Il server di coordinamento di Tailscale gestisce esclusivamente l'identità dei dispositivi e lo scambio di chiavi. Tutto il traffico dati transita peer-to-peer con crittografia WireGuard all'interno della nostra infrastruttura AWS. Nessun dato cliente passa attraverso i server di Tailscale.
- PostHog opera in modalità senza cookie sulle pagine pubbliche, raccogliendo solo dati anonimizzati sulle visualizzazioni di pagina senza impostare cookie o utilizzare l'archiviazione locale. Per gli utenti autenticati che acconsentono all'analisi, PostHog fornisce informazioni sull'utilizzo delle funzionalità. Tutti i dati sono trattati nell'UE (Francoforte, Germania).
Contatto
Per domande sui nostri sub-responsabili, contattare privacy@craevidence.com.
Ultimo aggiornamento: Febbraio 2026.