ScoutAtlas
Legale · sintesi in linguaggio chiaro sopra ogni sezione

Scout Atlas legale.

Prima il linguaggio chiaro, poi quello formale. Trattiamo le pagine legali come prodotti — leggibili, ben versionate e oneste su cosa facciamo e cosa no.

Plain summary

Trattiamo la sicurezza come una feature di prodotto. Questa pagina elenca i nostri sub-responsabili, gli SLA di incident response e le regole del programma di disclosure delle vulnerabilità. Per la versione narrativa, vedi la pagina di sicurezza pubblica.

Sub-responsabili

Avvisiamo gli admin di account con almeno 30 giorni di anticipo su qualsiasi cambio di sub-responsabile. La lista live è esposta a /security/sub-processors.json.

  • Supabase — database Postgres, autenticazione, row-level security. Regione UE per club europei, regione US disponibile su richiesta.
  • Vercel — hosting applicativo e edge delivery per il sito marketing e lo shell autenticato.
  • Stripe — elaborazione pagamenti per trial self-serve. PCI-DSS Level 1.
  • Resend — email transazionali (magic link, notifiche di account, digest).
  • Cloudflare — DNS e protezione DDoS.

Incident response

  • Rilevamento. Alerting in tempo reale su anomalie di autenticazione, picchi di errori e pattern di accesso al database. Rotazione founder-on-call 24/7.
  • Triage. Severità classificata entro 30 minuti (S1/S2/S3) secondo runbook pubblico.
  • Disclosure. Club coinvolti notificati entro 72 ore dalla conferma dell’incidente che riguarda i loro dati, con dettaglio tecnico.
  • Post-mortem. Post-mortem scritto pubblicato ai club coinvolti entro 14 giorni, con azioni correttive e tempistiche.

Disclosure delle vulnerabilità

Gestiamo un programma aperto. Scrivi a security@scoutatlas.co con i passi per riprodurre il problema e (dove applicabile) un payload proof-of-concept.

  • Confermiamo la ricezione entro 48 ore.
  • Ci impegniamo su una tempistica di rimedio entro 7 giorni, scalata sulla severità.
  • Diamo credito ai ricercatori nel changelog quando le patch escono — con il loro permesso.
  • Ci impegniamo a non perseguire azioni legali contro ricercatori in buona fede che seguono le regole del programma.

Fuori scopo

I seguenti elementi sono esplicitamente fuori scopo per il programma: attacchi denial-of-service, social engineering del personale, vulnerabilità in servizi terzi già divulgate pubblicamente e test di sicurezza fisica.

Cifratura

  • TLS 1.3 in transito, solo cipher suite moderne, HSTS preload.
  • AES-256-GCM a riposo per le colonne sensibili.
  • Cifratura end-to-end per i messaggi di Deal Room con chiavi per stanza che non possiamo leggere.
  • Envelope di chiave per club per stream privati opt-in (GPS, biometria, medici).

Audit

  • Audit di prontezza SOC 2 Type II — Q4 2026.
  • Penetration test indipendente — annuale dal secondo anno (2027).
  • Revisione interna trimestrale di permessi di accesso e audit log.

Operato da Oney Finansal Danışmanlık Turizm ve Dış Ticaret Anonim Şirketi (“Oney AŞ”), società per azioni costituita secondo le leggi della Repubblica di Türkiye, con sede legale a İstanbul, Türkiye.

Ultimo aggiornamento · 5 maggio 2026 · contatto: legal@scoutatlas.co