Come proteggiamo i dati del tuo club.
Senza la fuffa di marketing.
L’intelligence calcistica è sensibile. Una shortlist trapelata costa un’operazione. Una cartella medica trapelata costa una carriera. Sotto trovi il modello di sicurezza completo di Scout Atlas — cosa facciamo, come lo facciamo e cosa scegliamo esplicitamente di non fare.
Sei impegni. Verificabili.
Pilastro 01
Cifrato per default
TLS 1.3 in transito. AES-256-GCM a riposo. I messaggi del Deal Room sono cifrati end-to-end con chiavi per stanza che non possiamo leggere.
Pilastro 02
Identità verificata
Magic-link auth con TOTP MFA opzionale. Email di lavoro vincolate al dominio. L’assegnazione di ruolo richiede approvazione admin, non una casella autoselezionabile.
Pilastro 03
Isolamento riga per riga
Il RLS di Postgres impone i confini di club a livello database. Un bug nell’app non può esporre i dati di un altro club.
Pilastro 04
Audit per default
Ogni azione autenticata — vista, punteggio, messaggio, override — è registrata in modo immutabile. Gli admin del club possono esportare il log di audit dell’organizzazione su richiesta.
Pilastro 05
Consapevole della compliance
GDPR, KVKK, target SOC 2 Type II per Q4 2026. Un DPO guidato dai fondatori gestisce ogni richiesta entro 30 giorni.
Pilastro 06
Nessun training senza consenso
I dataset pubblici addestrano Match e Vision. I dati privati dei club sono cifrati con chiavi per club e non sono mai usati per addestrare modelli cross-club senza consenso scritto.
L’elenco completo, per area.
Se il tuo team di sicurezza ha un questionario di procurement, questa sezione risponde a circa il 70 %. Compileremo volentieri il resto.
Autenticazione e accesso
- OTP magic-link Supabase, TOTP con chiave hardware opzionale
- Matrice dei permessi per ruolo applicata in middleware + RLS
- Gli admin di club gestiscono invito, ruolo e revoca
- Scadenza sessione: 7 giorni di inattività, 30 giorni assoluti, configurabile per org
Protezione dei dati
- AES-256-GCM a riposo per le colonne sensibili (PII, biometria)
- TLS 1.3 in transito, HSTS preload, solo cipher suite moderne
- Buste di chiavi per club per flussi privati GPS/biometrici
- Sicurezza a livello di riga in Postgres per ogni tabella di scope club
Sicurezza applicativa
- Content-Security-Policy stretto + Trusted Types
- Validazione input su ogni endpoint (allowlist, lunghezza max, coercizione tipo)
- Solo prepared statement — niente concatenazione di stringhe in SQL
- Dependabot + secret scanning attivi su ogni commit
Operativo
- Pentest trimestrale da firma indipendente (dal secondo anno)
- Ingegneri con verifica antecedenti; nessun contractor offshore con accesso prod
- Backup cifrati, retention 30 giorni, testati trimestralmente
- Runbook di incident response con rotazione fondatore on-call
Privacy
- Richieste GDPR + KVKK Articolo 15/Articolo 17 evase entro 30 giorni
- Nessuna rivendita di dati. Nessun tracking pubblicitario. Nessuna analitica cross-context.
- Residenza dati in regione UE disponibile dal tier Analyst
- Cancellazione dati su richiesta: 30 giorni di soft delete, poi cancellazione crittografica
Le cose su cui non scenderemo a compromessi.
Vendere o condividere i tuoi dati.
Niente rivendita, niente partnership con broker, niente dataset “anonimizzati” nel back-office. La tua rosa è tua.
Addestrare modelli su dati privati senza consenso.
Gli input privati dei club (GPS, biometria, medici) non addestrano alcun modello. Punto. I dataset pubblici sono pubblicamente dichiarati.
Leggere i messaggi del tuo Deal Room.
La messaggistica del Deal Room è cifrata end-to-end. Anche un’ordinanza non potrebbe farci produrre i contenuti.
Sotterrare gli incidenti.
Qualsiasi incidente di sicurezza che riguardi i dati dei membri viene comunicato ai club coinvolti entro 72 ore, con un post-mortem scritto entro 14 giorni.
Hai trovato un difetto? Vogliamo saperlo.
Gestiamo un programma aperto di disclosure responsabile. Scrivi a security@scoutatlas.co con dettagli e passi di riproduzione. Rispondiamo entro 48 ore e citiamo i ricercatori nel changelog quando le patch escono.