HR OmniHR Omni

Architettura di Sicurezza

Come proteggiamo i dati dei tuoi clienti

Privacy by Design (Art. 25 GDPR)

La sicurezza non è un'aggiunta a HR Omni: è il fondamento dell'architettura. Ogni layer del sistema, dal database all'interfaccia utente, è stato progettato con la privacy come requisito primario.

Row Level Security (RLS) garantisce che ogni query al database sia filtrata automaticamente per utente. Un utente non può MAI accedere a dati che non gli appartengono, indipendentemente dal tipo di richiesta. L'isolamento è garantito dall'architettura, non da una policy configurabile.

Privacy Wall

OVVIO Solutions (il team che sviluppa e gestisce HR Omni) non può accedere ai dati personali (PII) dei tuoi clienti e dipendenti. Questo non è una scelta di policy: è architetturalmente impossibile.

Le policy RLS DENY impediscono l'accesso a codici fiscali, nomi, dati sensibili e informazioni personali anche con accesso amministrativo al database. Solo dati aggregati e anonimizzati sono visibili all'operatore della piattaforma.

Data Minimization

Raccogliamo esclusivamente i dati strettamente necessari per la gestione presenze e l'elaborazione del payroll. Il principio di minimizzazione è applicato in modo rigoroso.

✓ Dati raccolti

  • • Dati anagrafici del dipendente
  • • Presenze, assenze, straordinari
  • • Dati contrattuali essenziali
  • • Codice fiscale (per UNILAV)

✕ Dati NON raccolti

  • • Dati bancari (IBAN/BIC/SWIFT)
  • • Dati sanitari dettagliati
  • • Informazioni finanziarie
  • • Dati non essenziali al payroll

Crittografia & Infrastruttura

TLS in transito

Tutti i dati sono crittografati durante la trasmissione con protocollo TLS.

Data center EU

I dati risiedono in data center europei (Irlanda) con certificazioni enterprise.

Supabase Managed

Infrastruttura gestita con sicurezza di livello enterprise e backup automatici.

Accesso segregato

Chiavi di accesso ruotate e gestite tramite vault sicuro.

Audit Trail & Accountability

Ogni operazione di creazione, modifica e cancellazione nel sistema viene registrata con:

  • Timestamp preciso dell'operazione
  • Identità dell'utente che ha eseguito l'azione
  • Dettagli operativi completi (vecchio valore, nuovo valore)
  • Tipo di operazione (CREATE, UPDATE, DELETE)

Piena conformità con gli obblighi di accountability del GDPR (Art. 5, 25, 32).

Diritti degli Interessati

Diritto di accesso

Gli utenti possono visualizzare in qualsiasi momento i propri dati registrati nel sistema.

Diritto di cancellazione

I vincoli di cascata garantiscono la rimozione completa dei dati su richiesta, nel rispetto degli obblighi di legge.

Notifica violazioni

Procedure documentate per la notifica di eventuali data breach entro 72 ore (Art. 33-34 GDPR).

Codice Privacy Italiano

Oltre al GDPR europeo, HR Omni è conforme al D.Lgs. 196/2003 (Codice Privacy Italiano) e alle sue successive modifiche.

  • D.Lgs. 196/2003: Codice in materia di protezione dei dati personali
  • Conservazione dati per 10 anni come previsto dal Codice Civile Art. 2220
  • Data Processing Agreement (DPA) disponibile su richiesta