FAQ — Sicurezza e hosting
Questa pagina riassume le domande più frequenti su sicurezza e hosting. Per una descrizione esaustiva, Omniscol fornisce su richiesta (o sotto NDA a seconda dei casi) i documenti ufficiali:
SECURITY_OVERVIEW.md— panoramica pubblica,SECURITY_ONE_PAGER.md— sintesi per i CISO,SECURITY_FULL.md— documentazione completa (governance, infrastruttura, controlli, conformità, incident response),ISO27001_MAPPING.md— mappatura verso i controlli ISO 27001,SSI_QUESTIONNAIRE_STANDARD.md— risposte al questionario standard sulla sicurezza delle informazioni.
Per qualsiasi domanda sulla sicurezza: security@omniscol.com.
Dove sono ospitati i miei dati?
Le note legali indicano un hosting nell'Unione europea, su AWS Parigi e Scaleway. Gli impegni precisi in materia di ridondanza, backup, conservazione e disponibilità dipendono dal quadro contrattuale applicabile al Suo account.
Omniscol è conforme al GDPR?
Omniscol è progettato per un utilizzo conforme al GDPR. Conseguenze pratiche:
- Hosting esclusivamente nell'UE (Francia).
- Isolamento logico per cliente: nessun accesso incrociato possibile tra gli account.
- Nessuna profilazione, nessuna rivendita dei dati, nessun uso secondario dei contenuti della Sua scuola.
- Reversibilità: esportazione completa in JSON tramite Scarica.
- Gestione delle richieste degli interessati secondo il quadro contrattuale e normativo applicabile.
Omniscol è certificato ISO 27001?
Non certificato ad oggi, ma le pratiche sono allineate ai principi del riferimento e seguono un approccio basato sui rischi e continuamente rivisto. Il dettaglio dei controlli può essere fornito nell'ambito del quadro contrattuale o di sicurezza adeguato.
Come sono protette le password?
Omniscol protegge le password nel modo seguente:
- Pre-hashing lato client con scrypt — la Sua password in chiaro non raggiunge mai i server.
- Archiviazione lato server sotto forma di hash con sale.
- Nessuna password in chiaro viene mai trasmessa né archiviata.
- Nessun amministratore Omniscol può leggere, ritrovare o recuperare una password utente.
In caso di sospetta compromissione di un account, la modifica della password invalida gli accessi derivati che dipendono da questo segreto, in particolare i link di condivisione legati alla password del creatore.
Le comunicazioni sono cifrate?
Gli accessi applicativi pubblici passano tramite HTTPS. La configurazione dell'esposizione di rete dipende dal deployment scelto e deve essere verificata nell'ambito del quadro di sicurezza o contrattuale dell'account interessato.
Come funziona l'autenticazione?
Le sessioni Omniscol utilizzano token firmati con una durata di vita limitata; l'accesso viene rinnovato mentre l'utente lavora nell'interfaccia.
I link di condivisione e i token API seguono regole separate:
- un link di condivisione può avere una data di scadenza e dipende anche dall'account che l'ha creato; modificare la password di questo account o disattivarlo invalida gli accessi interessati;
- un token API dipende da una chiave creata nell'interfaccia; eliminare questa chiave o raggiungere la sua data di scadenza invalida i token associati.
Vedere anche Link di condivisione e API Omniscol.
API: chiavi e token
L'accesso API si gestisce dall'interfaccia con due oggetti visibili:
- Chiave — creata con un'etichetta e, se necessario, una data di scadenza. Questa scadenza può essere modificata in seguito.
- Token — generato da una chiave, con un elenco di punti di accesso API autorizzati e una scadenza propria. Questa scadenza non si modifica dopo la generazione; occorre creare un nuovo token.
Buona pratica: una chiave per integrazione, con un'etichetta esplicita e una scadenza adeguata alle esigenze. In caso di dubbio, elimini la chiave e ne crei una nuova.
Vedere API Omniscol.
I miei utenti possono utilizzare il proprio account aziendale (SSO)?
Sì, tramite OIDC / SSO, quando la configurazione è attivata sull'account. Omniscol supporta Google Workspace, Microsoft Entra ID e i provider OIDC generici.
Ogni utente si connette quindi con la propria identità aziendale e conserva i diritti configurati in Omniscol.
Quali protezioni contro i tentativi di accesso abusivi?
- Le risposte di autenticazione fallita sono volutamente rallentate.
- Le schermate di amministrazione beneficiano di protezioni rafforzate.
- Omniscol non indica se l'identificativo esiste o meno: il messaggio rimane generico.
Ciclo di vita degli account utente
- Disattivazione senza eliminazione — un account disattivato non può più connettersi, ma i dati associati sono preservati.
- Modifica obbligatoria al primo accesso — quando una password viene impostata manualmente, l'utente deve modificarla alla prima connessione.
- Reimpostazione — un amministratore può avviare un azzeramento senza conoscere la password esistente.
Sicurezza di rete ed esercizio
I documenti di sicurezza forniti su richiesta dettagliano l'hosting, la separazione di rete, le regole di accesso ai dati e le procedure operative applicabili all'account interessato.
Esiste un registro di audit?
Sì, quando l'opzione dei logs e la relativa conservazione sono attivate per l'account. Il perimetro visibile dipende dalle operazioni registrate e dalla profondità configurata da Omniscol. Vedere Registro delle attività (logs).
OWASP Top 10
Omniscol applica controlli allineati ai rischi OWASP Top 10: controllo degli accessi, cifratura, validazione degli input, configurazione sicura, monitoraggio delle dipendenze, protezione delle sessioni e registrazione. Il perimetro esatto può essere dettagliato nei documenti di sicurezza forniti su richiesta.
Test di sicurezza automatizzati
Controlli automatizzati sono integrati nel processo di sviluppo e di deployment di Omniscol. Il loro perimetro evolve con il prodotto; gli elementi dettagliati possono essere forniti nell'ambito del quadro di sicurezza adeguato.
Come effettuare un backup manuale?
Il pulsante Scarica scarica un'esportazione completa dell'account in formato JSON. Il file deve essere conservato con cura: contiene gli hash delle password e l'insieme dei dati personali.
In caso di incidente grave, questo file può essere rinviato al team Omniscol per la reimportazione.
Se l'opzione Snapshots è attivata sull'account, può anche automatizzare la creazione di punti di backup ripristinabili. Vedere Punti di backup.
Storico degli incidenti
Al censimento più recente (febbraio 2026):
- 0 violazioni di dati dei clienti (storico cumulato).
- 0 incidenti di sicurezza nel 2025.
Queste cifre sono pubblicate in SECURITY_ONE_PAGER.md, documento
rivisto trimestralmente.