Sicurezza e Conformità di Skillsincloud

Ultimo aggiornamento: 17 giugno 2026


1. ARCHITETTURA E PROTEZIONE DEI DATI (PRIVACY BY DESIGN)


Segregazione Nativa

Skillsincloud è ingegnerizzata come un ecosistema SaaS multi-tenant all'interno del quale la sicurezza del dato è garantita da un'architettura con database segregati e ambienti privati per ogni singolo cliente, in piena conformità con le normative GDPR.


Isolamento delle Risorse

Questa struttura a database indipendenti assicura che il trattamento e l'archiviazione delle informazioni avvengano nel rispetto dei massimi standard di privacy, escludendo a monte il rischio di commistione dei dati tra i diversi tenant.



2. INFRASTRUTTURA CLOUD E CERTIFICAZIONI DEI PARTNER


Hosting di Livello Enterprise

L'applicazione e il database principale (PostgreSQL) sono ospitati sulla piattaforma PaaS Heroku (Salesforce).


Standard Internazionali

L'hosting e la gestione fisica dei dati rispondono ai più rigorosi standard di sicurezza internazionali, potendo contare su infrastrutture certificate:

• ISO 27001

• SOC 1 / SOC 2

• PCI DSS

• FISMA

• SOX


Storage Sicuro

L'archiviazione di file e asset multimediali è delegata a bucket sicuri su Amazon Web Services (AWS S3), con crittografia dei dati a riposo (AES-256) e in transito (TLS/SSL).



3. SICUREZZA APPLICATIVA E MONITORAGGIO CONTINUO


Protezione Perimetrale

Tutto il traffico in ingresso è protetto e ottimizzato tramite l'Entry Layer di Cloudflare, che si occupa della gestione del traffico, del caching e della mitigazione delle minacce cyber (DDoS protection, WAF).


Penetration Testing

Per certificare la robustezza del codice e delle infrastrutture di fronte alle minacce emergenti, la piattaforma viene sottoposta regolarmente a sessioni di Web Application Penetration Testing (WAPT).


Error Tracking in Tempo Reale

Il comportamento dell'applicazione e le anomalie tecniche vengono monitorati h24 tramite il sistema di tracciamento Rollbar, consentendo al team IT di intervenire tempestivamente in caso di eccezioni software.



4. CONTINUITÀ OPERATIVA E LIVELLI DI SERVIZIO (SLA)


Strategia di Backup

Viene eseguita una pianificazione di backup periodici dei dati archiviati sulla piattaforma in conformità con le migliori pratiche del settore, riducendo al minimo il rischio di perdita di informazioni. Per i dettagli completi sulla frequenza e i periodi di conservazione, consultare la Backup Policy.


Garanzia di Uptime

Skillsincloud si impegna contrattualmente a mantenere una percentuale di disponibilità (SLA) della piattaforma pari al 99,5% su base mensile.

Lo stato in tempo reale della piattaforma è consultabile alla pagina skillsincloud.betteruptime.com.



5. GESTIONE DELLE VULNERABILITÀ TECNICHE


Processo di identificazione

Future of Work Group S.r.l. adotta un processo strutturato e continuativo per l'identificazione, la valutazione e la risoluzione delle vulnerabilità tecniche della piattaforma Skillsincloud. Le vulnerabilità vengono rilevate attraverso:


Penetration Testing (WAPT): sessioni periodiche di Web Application Penetration Testing condotte da specialisti di sicurezza, con produzione di report formali contenenti le vulnerabilità identificate, la loro classificazione per severità (Critica, Alta, Media, Bassa) e le raccomandazioni di remediation.

Scansione automatica delle vulnerabilità: esecuzione periodica di vulnerability scan automatizzati sull'applicazione e sull'infrastruttura, volti a rilevare configurazioni non sicure, dipendenze con CVE note e superfici di attacco esposte. I risultati alimentano direttamente il backlog di remediation del team tecnico.

Monitoraggio continuo: tracciamento h24 delle anomalie applicative tramite Rollbar e degli eventi di rete tramite Cloudflare.

Segnalazioni interne: il team di sviluppo e il personale tecnico possono segnalare vulnerabilità identificate durante le attività ordinarie.

Responsible Disclosure: segnalazioni ricevute da ricercatori di sicurezza o utenti esterni tramite info@skillsincloud.com.


Team responsabile

La gestione delle vulnerabilità è in capo al team tecnico interno di Skillsincloud, coordinato dal CTO di Future of Work Group S.r.l. Il team è responsabile della valutazione dell'impatto, della definizione delle priorità di intervento e dell'implementazione delle correzioni.


Processo di gestione e tempistiche di remediation

Ogni vulnerabilità identificata viene tracciata come ticket nel sistema interno di project management, con i seguenti campi obbligatori: descrizione della vulnerabilità, severità, componente interessato, azioni pianificate, assegnatario e scadenza. Le tempistiche di remediation target per severità sono:


Critica: intervento entro 24 ore

Alta: intervento entro 7 giorni

Media: intervento entro 30 giorni

Bassa: intervento pianificato nel ciclo di sviluppo ordinario (entro 90 giorni)


Stati del processo

Ogni vulnerabilità tracciata assume uno dei seguenti stati:


Identificata: vulnerabilità rilevata e registrata, in attesa di valutazione.

In analisi: il team tecnico sta valutando l'impatto e definendo le azioni di remediation.

In corso: le azioni correttive sono in fase di implementazione.

Risolta: la correzione è stata applicata, testata e verificata.

Accettata (con rischio residuo): la vulnerabilità è nota ma il rischio è stato formalmente accettato dal management, con eventuale misura compensativa.


Comunicazione ai clienti

Future of Work Group S.r.l. si impegna a mantenere i clienti informati sulle pratiche di sicurezza adottate attraverso i seguenti canali:


Questa pagina pubblica (skillsincloud.com/sicurezza-e-conformita), aggiornata ad ogni modifica rilevante del processo di sicurezza.

Notifica diretta via e-mail ai referenti tecnici del cliente in caso di vulnerabilità di severità Critica o Alta che abbiano potuto impattare i dati del tenant, con indicazione della natura del problema, delle azioni intraprese e dei tempi di risoluzione.

Comunicazioni proattive in caso di aggiornamenti di sicurezza che richiedano azioni da parte del cliente (es. reset password, revoca token di integrazione).


Per segnalare una potenziale vulnerabilità o richiedere informazioni sullo stato della sicurezza della piattaforma: info@skillsincloud.com



6. ELIMINAZIONE DEI DATI PERSONALI (PII)


Ambito di applicazione

La presente procedura disciplina le modalità con cui Future of Work Group S.r.l. garantisce la cancellazione sicura e verificabile dei dati personali (PII — Personally Identifiable Information) dei clienti del servizio cloud Skillsincloud, in conformità all'art. 17 del GDPR (diritto alla cancellazione / "diritto all'oblio") e alle policy interne di gestione del ciclo di vita del dato.


Scenari di cancellazione

La cancellazione dei dati personali viene attivata nei seguenti casi:


Richiesta del singolo utente (diritto all'oblio): l'utente invia richiesta scritta all'indirizzo info@skillsincloud.com. Il team provvede alla cancellazione entro 30 giorni dalla ricezione.

Cessazione del contratto con il cliente (tenant): alla scadenza o risoluzione del contratto di servizio, i dati dell'intero tenant vengono eliminati secondo le tempistiche concordate contrattualmente (di default entro 90 giorni dalla cessazione).

Richiesta straordinaria del cliente: il cliente (titolare del trattamento) può richiedere in qualsiasi momento la cancellazione anticipata dei dati del proprio tenant inviando richiesta formale al proprio referente commerciale o a info@skillsincloud.com.


Procedura tecnica di cancellazione

La cancellazione dei dati avviene a più livelli:


Database: i record relativi all'utente o al tenant vengono eliminati in modo irreversibile dal database PostgreSQL dedicato (schema segregato). La cancellazione copre dati anagrafici, attività di apprendimento, risultati, certificati e qualsiasi altra informazione personale associata.

File e media: i file caricati (documenti, immagini, video) archiviati su AWS S3 vengono rimossi dai bucket dedicati al tenant.

Backup: i backup esistenti che contengono i dati oggetto di cancellazione vengono gestiti in conformità alla policy di retention (v. Backup Policy). I backup rotanti vengono sovrascritti entro il periodo di conservazione definito (7 giorni per i backup pianificati, 4 giorni per la protezione continua WAL).

Log e sistemi di monitoraggio: i riferimenti personali eventualmente presenti nei log applicativi vengono anonimizzati o rimossi secondo le tempistiche di rotazione dei log.


Comunicazione al cliente

Al completamento del processo di cancellazione, Future of Work Group S.r.l. invia al cliente una conferma scritta via e-mail attestante l'avvenuta eliminazione dei dati, con indicazione della data di esecuzione e dell'ambito della cancellazione.

Per richiedere la cancellazione dei propri dati o dei dati del proprio tenant, scrivere a: info@skillsincloud.com con oggetto "Richiesta cancellazione dati — [nome azienda / nome utente]".



CONTATTI

Per informazioni sulla sicurezza della piattaforma: info@skillsincloud.com

Future of Work Group S.r.l., Viale Caldara 13, 20122 Milano (MI) — P.IVA 04452400163