Security

La trust review, decisa in anticipo.

Non rimandiamo la revisione di sicurezza all’ultima riunione della trattativa. Il livello di trust è avvolto attorno all’intero prodotto — costruito perché il suo team di sicurezza possa dire sì la prima volta, e perché il suo CISO non lo blocchi all’ultimo meeting. Sette impegni, in parole semplici.

  • Hosted in UE
  • Nessun training sui modelli
  • ISO 42001certificato
  • SOC 2in corso
  • SSO + SCIM
  • Audit log completo

Sette impegni

Ciò che promettiamo. Non ciò che speriamo.

Data residency in UE per default

Infrastruttura ospitata a Helsinki. I suoi dati non lasciano mai i confini europei, a meno che non lo chieda lei. Residenza negli Stati Uniti disponibile su richiesta.

Nessun addestramento dei modelli sui suoi dati

Mai. Contrattualmente. Verificato. Le sue riunioni, decisioni e piani vengono usati per erogare il servizio — e per nient’altro.

Permission-based by design

Il contesto di un progetto è visibile alle persone di quel progetto. Le AI vedono ciò che vede il loro utente — i permessi sono una proprietà del contesto, non una funzionalità della chat.

Audit log completo

Ogni lettura, ogni scrittura, ogni tool call di un’AI — registrata, esportabile, ispezionabile. La sua trust review sa a cosa ha avuto accesso la sua AI.

SSO, SCIM, MFA

Okta, Azure AD, Google Workspace. Provisioning SCIM. SSO/SAML obbligatorio nel piano Enterprise. MFA disponibile su ogni tier.

Sub-processor, elencati

Un elenco chiaro e aggiornato di ogni terza parte che tocca i suoi dati e di cosa ne fa. Aggiornato quando cambia — non quando lo chiede.

Risposta agli incidenti, per iscritto

SLA di notifica, percorsi di escalation e il post-incident report che riceverà. Decisi in anticipo, non nell’ora dell’evento.

Data flow

Dove vivono i dati delle sue riunioni, da un capo all’altro.

Quattro fasi, tutte all’interno dell’UE per default. Cifrati a riposo e in transito. Tempi di retention sotto il suo controllo.

  1. 01

    Ingresso

    Notes entra nella call come partecipante. L’host la vede nella lista dei partecipanti. L’host può rimuoverla in qualsiasi momento.

    La sua piattaforma di meeting · Zoom / Teams / Meet

  2. 02

    Cattura

    L’audio viene trascritto in tempo reale. Estratti nove tipi di segnale. Archiviato cifrato a riposo (AES-256) e in transito (TLS 1.3).

    Server UE · Helsinki, Finlandia

  3. 03

    Esposizione

    Decisioni, azioni e segnali instradati al Living Plan (piano vivo) di pertinenza. Permessi gestiti secondo la policy del suo workspace. Visibili a chi deve vederli.

    Il suo workspace · permessi scoped

  4. 04

    Conservazione

    Imposta i tempi di retention per workspace (default: 12 mesi per le trascrizioni, indefinito per le decisioni). L’eliminazione è una cancellazione definitiva, non un soft-flag.

    Configurabile · da 30 giorni a illimitato

Modello di accesso AI

La domanda più frequente, con risposta per prima.

Gli agenti AI che operano sul contesto di In Parallel sono vincolati agli stessi permessi dell’utente che rappresentano. Quattro regole, applicate a livello di storage.

Un’AI vede ciò che il suo utente può vedere.

I permessi sono una proprietà del contesto, non una funzionalità della superficie di chat. Se un utente non può leggere una riunione, un’AI che agisce per suo conto non può leggerla.

Ogni lettura dell’AI è registrata.

Ogni lettura, ogni tool call, ogni ricerca — catturata in un audit log indicizzato per utente, agente AI, risorsa e timestamp. Esportabile come JSON o CSV per la sua trust review.

Nessuna contaminazione tra workspace.

Un’AI autenticata su un workspace non può raggiungere dati di un altro workspace, anche se lo stesso utente è presente in entrambi. L’isolamento del workspace è applicato a livello di storage, non di prompt.

La prompt injection è trattata come input, non come istruzione.

I contenuti estratti da una riunione non possono elevare i permessi dell’agente AI. L’agente opera su un mandato fisso del suo utente, indipendentemente da ciò che contiene una trascrizione.

Risposta agli incidenti

Obiettivi, messi per iscritto prima che servano.

Rilevamento, notifica, contenimento e il post-incident report che riceverà. La policy completa di risposta agli incidenti è sul trust portal.

  • Rilevamento

    < 15 min

    Monitoraggio 24/7 su disponibilità, integrità e anomalie di accesso.

  • Notifica iniziale

    < 4 ore

    Email diretta al referente di sicurezza da lei designato. Nessun silenzio gestito dalle PR.

  • Contenimento

    < 24 ore

    Revoca degli accessi mirata, rotazione delle chiavi o sospensione del servizio secondo il caso.

  • Post-incident report

    < 5 giorni lavorativi

    Causa principale, ambito di impatto, rimediazione, prevenzione. PDF.

Vuole un esempio di post-incident report? Lo chieda — gliene invieremo uno con i dati anonimizzati, relativo a un evento precedente (risolto).

Certificazioni e standard

Verificati, attestati, attuali.

SOC 2 Type II

In corso. Lettera di attestazione disponibile su richiesta.

ISO 27001

Information security management. Certificato.

ISO 42001

AI management system. Certificato.

GDPR-ready

DPA pronto. Documentazione DPIA su richiesta.

Sub-processor

Le terze parti che toccano i suoi dati.

Una selezione rappresentativa. Aggiornata quando cambia, non quando lo chiede. L’elenco completo e aggiornato si trova sul trust portal.

  • Cloudflare

    CDN, protezione DDoS, gestione dei bot

    Edge UE

  • Provider di hosting

    Compute e storage (regione Helsinki)

    Solo UE

  • Provider di trascrizione / LLM

    Speech-to-text ed estrazione dei segnali

    Enclave UE dove disponibili

  • Email delivery

    Email transazionali (DPA in essere)

    UE

  • Observability

    Log e metriche per l’uptime del servizio

    UE

Veda l’elenco completo dei sub-processor sul trust portal

Parli con la sicurezza.

Le invieremo la lettera SOC 2, il DPA, l’elenco dei sub-processor e accompagneremo il suo team su ogni dubbio.

Trust portal Ci scriva