PraticaTorna alla home

SICUREZZA · FIDUCIA

Il vostro caso, tenuto con attenzione misurata.

I luoghi dove vivono i vostri documenti, messaggi e pagamenti — e le pratiche attorno a loro che li tengono al sicuro.

DATI

Supabase · UE

PAGAMENTI

Stripe · PCI-DSS

POSTA

Resend · transazionale

Nessun passaggio di questo sito è improvvisato. Ogni sistema che tocca i vostri dati è un fornitore noto, revisionato, sotto contratto formale di trattamento dei dati.

L'INFRASTRUTTURA

Quattro sistemi, ciascuno con un compito, ciascuno con il suo contratto.

DATABASE CLIENTI

Supabase

REGIONE · UE (Francoforte)

Database dei clienti, ordini, messaggi, documenti. Row-Level Security attiva su ogni tabella: una riga è leggibile solo dal cliente cui appartiene. Cifrato a riposo e in transito.

ELABORAZIONE PAGAMENTI

Stripe

REGIONE · Stati Uniti · Regno Unito · Irlanda

Conformità PCI-DSS. I dati completi della carta non toccano mai Pratica. Clausole contrattuali standard per i trasferimenti internazionali.

EMAIL TRANSAZIONALI

Resend

REGIONE · Stati Uniti

Solo email legate a un ordine: conferme, aggiornamenti di stato, ripristino password. Nessuna email di marketing. SCC per i trasferimenti.

HOSTING DEL SITO

Vercel

REGIONE · Stati Uniti · UE

Il sito pubblico e le route API sono erogati da Vercel. Header di sicurezza impostati a livello di app. SCC per i trasferimenti.

IL TRASPORTO

Niente si muove in chiaro.

Il sito è servito esclusivamente su HTTPS. HSTS è attivo con una finestra di un anno, incluso nei sottodomini. Le connessioni TLS usano cifrari moderni e negoziati dal browser. Gli header di sicurezza — X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Content-Security-Policy, Permissions-Policy — sono impostati a livello dell'applicazione per evitare clickjacking, sniffing MIME, leak di referrer e l'incorporamento non autorizzato del dominio.

COME VI PARLIAMO

Tre canali, ordinati per dove vive il record.

Il portale è il luogo del registro. L'email è il canale di riferimento. WhatsApp è l'attrezzo per il tempo.

PRIMARIO

Portale messaggi

Ogni messaggio scambiato nel portale è legato al vostro ordine, archiviato nel nostro database con RLS attiva, e sopravvive alla perdita del vostro telefono. È la fonte di verità di tutto ciò che ci siamo detti.

DI RIFERIMENTO

Email

Conferme d'ordine, aggiornamenti di stato, ripristini password arrivano da info@pratica.uk. La casella è monitorata direttamente dall'operatore. Scrivere a quell'indirizzo è sempre una strada valida.

OPERATIVO

WhatsApp

Per il coordinamento in tempo reale durante finestre consolari o appuntamenti Prenot@Mi. WhatsApp non è il sistema di record — è lo strumento per la velocità. La sezione seguente spiega come lo usiamo.

SU WHATSAPP

Veloce dove conta la velocità, scritto dove conta il record.

WhatsApp è uno strumento valido per la coordinazione tempo-sensibile. Non è il sistema di archivio. Ecco cinque pratiche che lo tengono dentro i limiti.

PII MINIMA

Non scambiamo documenti, scansioni di passaporti, dettagli di carta di credito via WhatsApp. I documenti si caricano sul portale, dove vivono sotto RLS. I pagamenti si fanno allo sportello Stripe del sito — mai per link in chat.

SPECCHIO AL PORTALE

Qualsiasi scambio sostanziale — una decisione, un'istruzione, un chiarimento importante — viene riportato nel thread del portale dell'ordine. Così, sei mesi dopo, chi riapre il caso vede una cronologia unica, completa.

PULIZIA A FINE CASO

Alla chiusura del caso le conversazioni WhatsApp vengono cancellate dal dispositivo dell'operatore. Il portale resta la fonte permanente. Voi conservate ciò che scegliete di conservare nel vostro telefono.

RINUNCIA

WhatsApp non è mai obbligatorio. I clienti che preferiscono rimanere su portale ed email ricevono lo stesso livello di servizio. Basta dirlo all'inizio del caso, o in qualsiasi momento dopo.

DISPOSITIVO

Il telefono dell'operatore è bloccato. Il backup foto su cloud è disabilitato per le immagini di caso. La crittografia end-to-end di WhatsApp protegge i messaggi in transito; le pratiche sopra proteggono i dati a riposo.

LA LEGGE

Il vostro dato è trattato ai sensi del UK GDPR e del Data Protection Act 2018.

Le basi giuridiche del trattamento sono: l'esecuzione del contratto che avete concluso con noi (Art. 6(1)(b) UK GDPR), gli obblighi di legge cui siamo soggetti — fiscali, antifrode, registro transazioni — (Art. 6(1)(c)), e il nostro interesse legittimo a prevenire abusi del servizio e a mantenere un registro ragionevole (Art. 6(1)(f)).

I periodi di conservazione sono documentati nella Privacy Policy: 6 anni per i dati dei pagamenti (requisito HMRC), 3 anni per le comunicazioni, 90 giorni per i log tecnici. I trasferimenti internazionali avvengono sotto Clausole Contrattuali Standard o decisioni di adeguatezza del Regno Unito.

SE QUALCOSA VA STORTO

Settantadue ore all'ICO. Senza ritardo per voi.

In caso di violazione di dati personali che possa comportare un rischio per i vostri diritti e libertà, notificheremo l'Information Commissioner's Office entro 72 ore dal momento in cui ne veniamo a conoscenza, come previsto dall'Art. 33 del UK GDPR. Se la violazione presenta un rischio elevato per i vostri diritti, vi informeremo direttamente e senza ingiustificato ritardo (Art. 34). Non useremo un linguaggio rassicurante per minimizzare l'accaduto: ciò che sappiamo, quando lo sappiamo, come sappiamo sia accaduto.

I VOSTRI DIRITTI, IN PRATICA

Sette cose che potete chiederci di fare con i vostri dati.

Accesso

Una copia di tutto ciò che abbiamo su di voi, nella forma in cui lo abbiamo. Art. 15.

Rettifica

Correggere informazioni inesatte o incomplete. Art. 16.

Cancellazione

Il diritto all'oblio, fatti salvi gli obblighi di legge di conservazione. Art. 17.

Limitazione

Sospendere il trattamento mentre contestate qualcosa. Art. 18.

Portabilità

Ricevere i vostri dati in formato strutturato, leggibile, trasferibile. Art. 20.

Opposizione

Opporvi al trattamento basato sul nostro interesse legittimo. Art. 21.

Revoca del consenso

Dove il trattamento si basa sul consenso, potete revocarlo in qualsiasi momento.

Per esercitare uno qualsiasi di questi diritti, scrivete a info@pratica.uk

CIÒ CHE NON CHIEDIAMO MAI

Le cose che non vi chiederemo mai, su alcun canale.

Mai la vostra password del portale

Nessun operatore di Pratica ha mai bisogno della vostra password. Se qualcuno la chiede presentandosi come noi, non siamo noi.

Mai i dati della carta via email o WhatsApp

Tutti i pagamenti avvengono allo sportello Stripe del sito. Nessuna chat, nessun link privato, nessun IBAN per bonifici.

Mai documenti via WhatsApp

I documenti si caricano sul portale, dove vivono sotto controllo di accesso. Scansioni via WhatsApp sono rifiutate anche se inviate.

Mai bonifici bancari per il servizio

Il pagamento del servizio è sempre a mezzo Stripe. Se qualcuno vi chiede un bonifico presentandosi come Pratica, inoltrate l'email a info@pratica.uk e non rispondete.

UNA NOTA

La sicurezza è una postura, non una pagina.

Rivediamo queste pratiche ogni trimestre. Quando qualcosa cambia — un nuovo fornitore, un default più forte, un aggiornamento normativo — questa pagina cambia con una data chiara. Se avete una domanda che non è coperta qui, scriveteci.

Aggiornato: 19 aprile 2026