I vostri dati restano in Europa.
DentalPolyglot è costruito da europei, per cliniche europee, su infrastruttura europea. I dati dei pazienti non attraversano mai l'Atlantico. Cifratura a riposo e in transito. Il GDPR è il punto di partenza, non il traguardo.
Tre impegni. Scritti nella piattaforma.
I vostri dati restano nell'UE.
Cartelle dei pazienti, conversazioni, piani di cura, allegati: tutto vive a Francoforte sulla regione fra1 di Vercel, con il database nel cluster UE di Neon. Nulla viene replicato oltre l'Atlantico. Nulla.
Sono vostri. Noi li custodiamo.
Potete esportare in qualsiasi momento i contenuti della clinica e la casella delle richieste, in formati che non vi vincolano. Non vendiamo dati, non li analizziamo, non addestriamo modelli su di essi.
Il GDPR è la base.
Impostazioni dell'account sicure di base. Le password sono protette con hashing Argon2id, mai conservate in chiaro, e ogni nuova password viene verificata contro l'archivio HaveIBeenPwned al momento dell'impostazione. Le sessioni sono HttpOnly e firmate HMAC. Diritto all'oblio, per clinica e per paziente, eseguito entro 30 giorni dalla richiesta.
Oggi una sola regione. Sempre nell'UE.
DentalPolyglot gira sulla regione Francoforte di Vercel (fra1), con il database nel cluster UE di Neon. Non replichiamo verso Stati Uniti, Regno Unito, né verso alcun paese al di fuori dell'UE. Il nostro CDN è l'edge europeo di Vercel, l'email transazionale passa per l'infrastruttura europea di Resend, e i nostri analytics non lasciano mai Vercel.
Il disaster recovery multi-regione è sulla roadmap per il 2026. Quando lo attiveremo, pubblicheremo architettura e regioni su questa pagina prima che qualsiasi dato venga spostato.
Cifrato a riposo. Cifrato in transito.
Due ruoli. Ogni query delimitata a livello di database.
Ogni fornitore. Ogni paese.
Ogni terza parte che tocca dati che custodiamo per voi. Notifichiamo per iscritto le cliniche 30 giorni prima di qualsiasi cambiamento. Se siete su un DPA con flow-down, potete opporvi a un nuovo sub-responsabile e troveremo una soluzione insieme.
Anthropic è l'unico fornitore con sede negli Stati Uniti in questa lista. I contenuti della clinica (testi delle pagine, testo sorgente dei piani di cura) sono inviati a Claude solo quando una clinica richiede una traduzione. Usiamo l'API standard, che secondo Anthropic non viene utilizzata per addestrare i loro modelli. Non inviamo identificatori dei pazienti nelle richieste di traduzione.
Le cartelle odontoiatriche sono dati sanitari. Li trattiamo come tali.
Foto, radiografie, piani di cura, conversazioni tra paziente e clinica sono dati di categoria particolare ai sensi dell'articolo 9 GDPR. Li custodiamo con regole più severe rispetto al resto della piattaforma.
Cifrate al momento dell'upload, mai indicizzate per la ricerca, mai usate per addestrare modelli ML. Vi accedono solo il paziente, la sua clinica e il traduttore di DentalPolyglot assegnato al caso.
Conservato cifrato a riposo. Le copie tradotte automaticamente sono derivate dall'originale, mai condivise con terzi, cancellate insieme alla fonte su richiesta.
Generati lato server, archiviati come PDF con il marchio della clinica, scaricabili da paziente e clinica. Conservati per il periodo legale previsto dall'ordinamento della clinica.
Nome, email e telefono del paziente sono conservati separatamente dai contenuti sanitari, collegati solo tramite ID opachi. Difesa in profondità: una violazione di uno strato non espone l'altro.
Conserviamo le cartelle dei pazienti per il tempo richiesto dalla legge locale sulle cartelle cliniche (tipicamente 10 anni in DE/AT/IT, 5 anni in RO). Trascorso questo periodo, o prima su richiesta, le cartelle vengono cancellate, anche dai backup nel ciclo di snapshot successivo.
Impostazioni predefinite solide. Essere noiosi è il punto.
Gli accessi successivi usano email e password. Le password sono protette con hashing Argon2id (parametri allineati alle linee guida OWASP), mai conservate in chiaro, e ogni nuova password viene verificata contro l'archivio HaveIBeenPwned al momento dell'impostazione. Dimenticata? Un link monouso alla vostra email verificata, niente domande di sicurezza, niente codici via SMS.
Le sessioni sono HttpOnly, SameSite=lax, secure in produzione. Nome del cookie e durata sono costanti nel codice, non gestite caso per caso.
Ogni query al database che legge dati della clinica filtra per ID del tenant derivato dalla sessione. Non ci fidiamo mai di un ID fornito dal client. Lo schema viene rivisto a ogni modifica.
Ogni endpoint API valida il body della richiesta contro uno schema Zod prima di fare qualsiasi cosa. Gli input malformati vengono respinti subito con un codice di errore chiaro.
I tentativi di accesso sono limitati per IP e per email, fail-closed (un'interruzione di Redis blocca, non lascia passare). La traduzione IA e lo scrape sono limitati per clinica, anch'essi fail-closed. I moduli di contatto sono limitati per IP e fail-open (un'interruzione momentanea di Redis non blocca mai un paziente reale).
Ogni pagina serve una Content-Security-Policy stretta con nonce per richiesta e strict-dynamic, oltre agli header di isolamento cross-origin (COOP, COEP, CORP). Se un attaccante riuscisse a iniettare contenuti, il browser rifiuterebbe di eseguirli. securityheaders.com ci assegna A+.
Le firme dei webhook di Stripe e Resend vengono verificate prima che il payload venga toccato. I webhook non verificati restituiscono 400 e non raggiungono mai il database.
Avete trovato qualcosa. Ce lo dite.
Non gestiamo ancora un bug bounty retribuito. Leggiamo però ogni segnalazione di sicurezza, confermiamo entro 24 ore e risolviamo rapidamente i problemi critici. Se avete trovato qualcosa, scriveteci con una descrizione e i passaggi per riprodurla. Credito pubblico su questa pagina, salvo vostra richiesta contraria.
Confermiamo entro 24 ore. Puntiamo a risolvere i problemi critici in 48 ore, alti in 7 giorni, medi in 30 giorni. Vi diremo cosa abbiamo fatto e cosa abbiamo cambiato.
- · dentalpolyglot.com
- · siti tenant *.dentalpolyglot.com
- · I nostri endpoint API
- · Test di rate-limit o volumetrici in produzione
- · Ingegneria sociale verso personale o cliniche
- · Attacchi fisici all'infrastruttura
Avvocati benvenuti.
Responsabili privacy in particolare.
Scriveteci a privacy@dentalpolyglot.com e invieremo quanto serve entro un giorno lavorativo.