TRUST & SICUREZZA

Cosa facciamo, cosa abbiamo, cosa potete verificare.

TradeOS custodisce i Vostri dati operativi — ordini, spedizioni, contratti, dati finanziari, relazioni con fornitori, dati dei clienti, comunicazioni su sette canali. Trattiamo questa responsabilità come il prezzo d'ingresso per una piattaforma commerciale. Non un posizionamento di marketing. Una base. Questa pagina documenta ciò che abbiamo costruito, le certificazioni che abbiamo, gli impegni contrattuali che ci assumiamo e ciò che il Vostro team può verificare in modo indipendente.

Richiedi il pacchetto di review della sicurezza Vai alle FAQ per InfoSec

Audit · annuale

SOC 2 Type IIreport completo sotto NDA · executive summary pubblico

ISMS · ciclo di 3 anni

ISO 27001:2022tutte le operazioni di piattaforma · sorveglianza annuale

Privacy · soggetti UE

GDPR + DPAstandard in Business+ · personalizzato in Enterprise

Affidabilità

99,95% uptimeSLA · status.edma.trade · storico pubblico

CERTIFICATI

Sottoposti ad audit. Documentati. Disponibili sotto NDA.

Ogni affermazione su questa pagina è mappata a uno specifico artefatto che il Vostro team può verificare. Gli artefatti pubblici sono scaricabili dal link sottostante. Quelli protetti da NDA sono consegnati entro 2 giorni lavorativi dalla firma di un NDA standard.

SOC 2
TYPE II

Corrente

SOC 2 Type II

AmbitoDati operativi, dati clienti, infrastruttura IA, gestione delle identità

Società di audit[TBD — Big 4 / Schellman]

PeriodoAnnuale · finestra operativa di 12 mesi

DisponibileReport completo sotto NDA · executive summary pubblicamente

Prossimo rinnovo[TBD — Mese AAAA]

Criteri dei trust services: Security, Availability, Confidentiality. Processing Integrity e Privacy aggiunti al prossimo rinnovo.

ISO
27001
:2022

Corrente

ISO 27001:2022

AmbitoISMS che copre tutte le operazioni di piattaforma — sviluppo, infrastruttura, supporto, corporate

Ente certificatore[TBD]

PeriodoCiclo di 3 anni · audit di sorveglianza annuali

DisponibileCertificato pubblicamente · SoA sotto NDA

Prossima sorv.[TBD — Mese AAAA]

Statement of Applicability documenta i 93 controlli Annex A in scope; disponibile sotto NDA standard insieme al report SOC 2 completo.

GDPR
· EU ·

Conforme

Conformità GDPR

AmbitoTutti gli interessati UE, inclusi gli utenti finali clienti negli workspace operatori UE

DocumentiDPA · Records of Processing Activities (ROPA) · template DPIA

InclusioneDPA standard nei contratti Business+ · DPA custom negoziabile in Enterprise

DPO[TBD — Nome + e-mail]

TrasferimentoSCC · approvate dall'EU AdCom · Schrems II compliant

EDMA opera come Data Processor per i dati forniti dal cliente; Data Controller solo per i dati dell'account utente.

HIPAA
· BAA ·

Condizionato

HIPAA (BAA)

AmbitoClienti del settore sanitario che trattano Protected Health Information (PHI)

LivelloSottoscrizione del BAA su Business+ · clienti sanitari qualificati

CondizioniIl cliente deve operare come Covered Entity o Business Associate ai sensi di HIPAA

Trattamento PHICifratura + accesso minimo necessario + 6 anni di retention degli audit log

Non applicabile ai workspace non sanitari. I termini del BAA sono un addendum all'MSA standard, non un contratto separato.

Nella roadmap di compliance 2026–2027: PCI-DSS Level 1 (workflow di pagamento), ISO 27701 (estensione di privacy management per 27001), espansione dello scope SOC 2 Type II ai tier di deployment Sovereign e Air-Gapped. Avanzamento trimestrale pubblico sulla newsroom.

DOVE VIVONO I VOSTRI DATI

Residenza geografica dei dati per tier di deployment.

Tre regioni standard per i clienti Team e Business. Deployment Sovereign single-tenant in una qualsiasi di ~25 regioni cloud in Enterprise. Deployment air-gapped per i clienti i cui dati non possono lasciare la propria infrastruttura.

MAPPA DI RESIDENZA · COMPORTAMENTO DI DEFAULT · IN-REGION3 STANDARD + 25 SOVEREIGN

R1US — US-East · VirginiaPredefinito

Default per Starter, Solo, Team. SCC in vigore per gli interessati UE quando applicabile.

SOC 2ISO 27001GDPR · SCCHIPAA-eligible

R2UE — EU-Central · FrancoforteBusiness+

GDPR-nativo: nessuna SCC necessaria per gli interessati UE. Schrems II compliant. Legge locale: BDSG tedesca + GDPR UE primario.

SOC 2ISO 27001GDPR-nativoSchrems II

R3APAC — Southeast · SingaporeBusiness+

Compatibilità con PDPA di Singapore e PDPO di Hong Kong. Supporta i requisiti di residenza dei dati del Sud-est asiatico.

SOC 2ISO 27001PDPA · SGPDPO · HK

SSovereign — qualsiasi regione AWS / GCP / AzureEnterprise

VPC single-tenant nella regione specificata dal cliente (~25 a livello globale). Eredita il regime di compliance della regione più chiavi di cifratura gestite dal cliente.

25+ regioniCMK / BYOKIsolamento VPC

AGAir-gapped — infrastruttura del clienteEnterprise

Completamente self-hosted. Nessun dato lascia l'ambiente del cliente. Modello locale Gemma 4 E4B incluso; le IA commerciali richiedono chiavi fornite dal cliente.

Self-hostedIA locale · GemmaDefense-eligible

Lo spostamento dei dati cross-region è opt-in e tracciabile. Comportamento di default: i dati restano nella regione selezionata. Backup e disaster recovery: solo intra-region, salvo richiesta esplicita scritta del cliente di DR cross-region come addendum contrattuale.

CIFRATURA

A riposo, in transito, in uso. End-to-end.

Algoritmi specifici, gerarchie di chiavi specifiche, attestazione del compute specifica. Chiavi gestite dal cliente in Enterprise: ruotando o distruggendo le chiavi, EDMA non può più decifrare i Vostri dati — nemmeno per il proprio incident response.

[01]

A riposo

Dati a riposo

AES-256-GCM per tutti i dati memorizzati — database, object storage, backup.
Chiavi di cifratura per-tenant che impongono l'isolamento a livello di workspace; nessuna chiave condivisa tra tenant.
KMS gerarchico: le chiavi master del tenant derivano le data-encryption key; le root key non lasciano mai l'HSM.
La cifratura dei backup utilizza una gerarchia di chiavi separata; il restore richiede autorizzazione esplicita del cliente.
Gli audit log sono cifrati con una terza famiglia di chiavi — retention imposta crittograficamente, non solo via access control.

[02]

In transito

Dati in transito

TLS 1.3 per tutte le comunicazioni esterne — nessun fallback a TLS 1.2.
Certificate pinning sulle applicazioni mobili iOS e Android.
mTLS (mutual TLS) per l'autenticazione service-to-service all'interno della piattaforma.
Le richieste API sono autenticate via JWT firmati con rotazione oraria e claim con audience-scoped.
Le connessioni WebSocket ereditano lo stesso standard TLS 1.3; nessun fallback in chiaro.

[03]

In uso · compute

Dati in uso

SaaS standard: attestazione TPM sul control plane; workload sensibili in runtime attestati.
Tier Sovereign: confidential computing su AWS Nitro Enclaves o GCP Confidential Computing — nemmeno gli ingegneri EDMA possono accedere ai dati decifrati.
Tier Air-gapped: le chiavi di cifratura e le operazioni di decifratura rimangono interamente sull'infrastruttura del cliente.
Memory zeroization allo shutdown dell'enclave; nessuno swap-to-disk per la memoria di lavoro in chiaro.

Enterprise · sovranità delle chiaviBYOK & HYOK supportati

Bring Your Own Key e Hold Your Own Key supportati sui principali key manager. Potete revocare l'accesso di EDMA ai Vostri dati in qualsiasi momento ruotando o distruggendo la wrapping key. Dopo la revoca, EDMA non può decifrare — né per il supporto, né per l'incident response, né per qualsiasi altro motivo.

SUPPORTATI· AWS KMS· Azure Key Vault· GCP Cloud KMS· HashiCorp Vault

CONTROLLO ACCESSI

Chi può fare cosa — con piena visibilità di audit.

Autenticazione, autorizzazione e audit sono tre sistemi separati con tre garanzie separate. RBAC con granularità a livello di campo. Audit log tamper-evident con concatenazione crittografica. Export compatibile con SIEM su Business+.

Autenticazione

[01 / 03]

Come accedono gli utenti.

E-mail + password con TOTP 2FA Starter · Solo
SSO via SAML 2.0 e OIDC Business+
SCIM 2.0 per il provisioning & deprovisioning degli utenti Business+
2FA obbligatoria, applicabile per ruolo Business+
Passwordless via passkey / WebAuthn — consigliato rispetto alle password su ogni tier

IdP testati in produzione

OktaAzure ADGoogle WorkspaceAuth0OneLoginDuoPing IdentityJumpCloud

Autorizzazione

[02 / 03]

Chi può fare cosa.

RBAC con 6 ruoli di default + ruoli custom illimitati
Granularità dei permessi: sezione · azione · campo
Scope per workspace — gli operatori multi-tenant hanno set di permessi per workspace
Accesso a tempo determinato — ruoli temporanei con scadenza esplicita
Privileged access management per le escalation di supporto
Elevazione just-in-time (JIT) per operazioni ad alto rischio
Workflow di approvazione per azioni sensibili — configurabili per workspace

Ruoli di default

ProprietarioAdminOperatoreFinanzaVisualizzatorePartner

Audit trail

[03 / 03]

Ogni evento, registrato.

Eventi di autenticazione: successo, fallimento, posizione, dispositivo
Decisioni di autorizzazione: chi, cosa, quando, concesso/negato, motivazione
Accesso ai dati registrato a livello di riga per le entità sensibili — ordini, contratti, dati finanziari
Audit log tamper-evident con concatenazione crittografica — ogni voce è hash-linked alla precedente
Formati di export: CEF, LEEF, JSON — compatibili con SIEM Business+

Target SIEM validati

SplunkDatadogSumo LogicElastic SIEMSentinel

Starter

90giorni

retention degli audit log

Solo

180giorni

retention degli audit log

Business

1anno

export SIEM disponibile

Enterprise

Illimitata

retention definita dal cliente

CHI ALTRO TRATTA I VOSTRI DATI

Disclosure completa dei sub-processor. Aggiornata trimestralmente.

Ogni terza parte che tocca i dati operatore è elencata di seguito. Finalità, dati a cui accede, ubicazione, postura di compliance. Le modifiche sostanziali attivano un preavviso di 30 giorni. I clienti Enterprise mantengono un diritto di opposizione previsto dal DPA custom.

Sub-processor	Finalità	Dati a cui accede	Ubicazione	Compliance
Amazon Web ServicesAWS · infra primaria	Hosting infrastrutturale — compute, storage, database, networking	Tutti i dati operativi	US · UE · APAC per regione cliente	SOC 2ISO 27001HIPAA-eligibleGDPR
AnthropicClaude · IA primaria	Inferenza IA — modello primario per Atlas, IA legale, IA contabilità	Solo prompt IA avviati dall'operatore	US	SOC 2GDPRNessuna conservazione dei dati
OpenAIGPT · IA di fallback	Inferenza IA — fallback / capability specializzate	Solo prompt IA avviati dall'operatore	US	SOC 2GDPRNessuna conservazione dei dati
GoogleGemini · IA di fallback	Inferenza IA — fallback / routing in regione UE per Atlas	Solo prompt IA avviati dall'operatore	US · UE	SOC 2ISO 27001GDPR
StripePagamenti · billing	Processing dei pagamenti — billing degli abbonamenti e settlement Marketplace	Solo dati di billing · nessun dato operativo	US · UE	PCI-DSS L1SOC 2GDPR
Resend / Amazon SESE-mail transazionali	Consegna di e-mail transazionali	Contenuto e-mail + indirizzo del destinatario	US · UE	SOC 2GDPR
TwilioSMS · WhatsApp Business	Messaggi SMS + WhatsApp Business — comunicazioni con le controparti	Contenuto del messaggio + contatto della controparte	US · regionale	SOC 2GDPR
MapboxGeocoding · mappe	Geocoding + map tile per il tracking delle spedizioni	Stringhe di indirizzo per il tracking delle spedizioni	US	SOC 2GDPR
CloudflareCDN · DDoS · WAF	CDN, protezione DDoS, web application firewall	Metadati delle richieste HTTP · nessuna retention del payload	Edge globale	SOC 2ISO 27001GDPR
SentryMonitoring degli errori	Monitoring degli errori & traces di performance	Stack trace degli errori · PII rimossa all'origine	US · UE	SOC 2GDPR

Policy di notifica

I clienti ricevono un preavviso di 30 giorni prima di qualsiasi modifica di un sub-processor. Le modifiche sostanziali — nuova regione, nuovo tipo di dato, nuovo regime di compliance — attivano un re-consenso esplicito per i clienti Enterprise con DPA custom. La lista corrente è anche pubblicata come feed JSON versionato su edma.trade/security/subprocessors.json per gli strumenti di compliance-automation.

Diritto di opposizione

I clienti possono opporsi a specifici sub-processor. EDMA si adopererà per trovare un'alternativa comparabile o, qualora non esista un'alternativa praticabile, fornirà motivi di risoluzione senza penali. Questo diritto è enumerato nel DPA standard e sopravvive al rinnovo contrattuale.

TEST AVVERSARIALI

Testati annualmente da terze parti. In modo continuo da noi stessi.

Due perimetri: penetration testing di terze parti per ampiezza e validazione esterna, e testing interno continuo per profondità e velocità. Programma bug bounty in scaling assieme alla GA. I clienti Enterprise possono testare il proprio deployment.

Pen test di terze parti

annuale

Penetration testing esterno

Frequenza: minimo annuale · on-demand per modifiche architetturali rilevanti
Scope: web app, superficie API, infrastruttura, simulazione di social engineering
Metodologia: OWASP ASVS L2 minimo · OWASP Top 10 + API Top 10
Società: rotated across[TBD — NCC Group / Bishop Fox / Trail of Bits / Praetorian]

ultimo test[TBD — Mese AAAA]

disponibilitàexecutive summary pubblico · completo sotto NDA

Interno continuo

ogni commit

Testing continuo in CI

SAST — static application security testing · ogni commit
SCA — software composition analysis · ogni aggiornamento di dipendenza
DAST — testing dinamico · ogni notte
Scan delle immagini container · ogni build
IaC scanning · ogni Terraform plan
Secret scanning · pre-commit + sweep post-merge

SLA · P1patch entro 24h

SLA · P2 / P37g / 30g

Bug bounty

in sviluppo

Bug bounty pubblico · Q4 2026

Lancio: in concomitanza con la GA nel Q4 2026
Vendor: [TBD — HackerOne / Bugcrowd]
Scope: endpoint di produzione & applicazioni customer-facing
Range delle ricompense: $250 – $10.000 in base a severità & impatto
Pre-lancio: beta privata su invito con [TBD — numero] ricercatori

safe harbordisclose.io standard

payoutnessun cap · basati sulla severità

Customer-led

enterprise

Testa il tuo deployment

I clienti Enterprise possono condurre penetration testing indipendenti sul proprio deployment VPC dedicato con pianificazione anticipata.

Scope, metodologia e disclosure dei findings del test sono disciplinati da un accordo di testing separato. I deployment Sovereign e Air-Gapped consentono testing controllato dal cliente senza requisiti di coordinamento — è la Vostra infrastruttura, la testate secondo la Vostra agenda.

preavviso7 giorni (VPC) · nessuno (AG)

richiestavia CSM

QUANDO QUALCOSA VA STORTO

Playbook documentati. Notifica entro 72 ore.

Framework NIST SP 800-61. Rotazione 24/7 di incident commander. Aggiornamenti sulla status page entro 15 minuti dalla conferma, notifica completa al cliente entro 24 ore per breach confermati che impattano i suoi dati, report pubblico post-incidente entro 5 giorni lavorativi.

Step 01 · Rilevamento

Rilevamento

Monitoring SOC 24/7 — security operations center distribuito su tre fusi orari
pattern di autenticazione, autorizzazione e accesso ai datiAnomaly detection su
Feed di threat intelligence: [TBD vendor]
Incidenti segnalati dal cliente tramite canale dedicato — bypassa la coda di supporto generale
SLA di escalation interna: P1 5min · P2 30min · P3 4h

Step 02 · Risposta

Risposta

Playbook documentati nel framework NIST SP 800-61
Rotazione 24/7 dell'incident commander — persona designata in on-call, non una inbox condivisa
Processo CERR: Contenimento · Eradicazione · Recovery · Lessons-learned
Aggiornamenti sulla status page entro 15 minuti dalla conferma
Notifica completa entro 24 ore · report post-incidente entro 5 giorni lavorativi

Step 03 · Notifica

Notifica di breach

Notifica al cliente entro 72 ore dalla conferma del breach che impatta i suoi dati — ai sensi dell'articolo 33 GDPR
Notifica regolatoria secondo i requisiti della giurisdizione applicabile
Notifica agli interessati impattati coordinata con il cliente secondo il suo DPA e la legge applicabile
Disclosure pubblica coordinata con i clienti impattati e i regolatori
status page entro 7 giorniI breach sostanziali sono divulgati pubblicamente via dalla conferma

SLA di notifica

Breach confermato → cliente notificato

T+0incidente confermato dall'IR commander00:00

T+15mvoce creata sulla status page00:15

T+24hnotifica completa al cliente (e-mail + portale)24:00

T+72hnotifica regolatoria · articolo 33 GDPR72:00

T+5greport post-incidente (diretto al cliente)120:00

T+30greport finale · root cause + remediation720:00

Tutti i sistemi operativiGli incidenti sostanziali vengono divulgati su status.edma.trade — dal lancio beta di maggio 2026: [X] incidenti sostanziali · storico completo pubblico.

Apri la status page →

IL VOSTRO DIRITTO DI VERIFICARE

Verifica indipendente — da Voi o dai Vostri auditor.

La fiducia senza verifica è una claim di marketing. Ogni cliente Business ed Enterprise riceve il set di documentazione sottostante. I clienti Enterprise possono inoltre eseguire audit on-site, fare streaming degli audit log nel proprio SIEM e rispondere a vendor security questionnaire con SLA di 5 giorni.

A · Review della documentazione

Business+

Pacchetto di documentazione standard

Tutti i clienti Business ed Enterprise ricevono:

Report annuale SOC 2 Type II (sotto NDA)
Certificato ISO 27001 e Statement of Applicability
Penetration test · sintesi esecutiva (report completo sotto NDA)
Lista dei sub-processor aggiornata trimestralmente · feed JSON disponibile
Documentazione di cifratura & gestione delle chiavi
Playbook di incident response (redatti dove necessario)

B · Audit on-site

Enterprise

Audit diretto delle nostre operations

I clienti Enterprise possono condurre audit on-site annuali con preavviso di 60 giorni. Lo scope copre i controlli di information security, la gestione dei sub-processor, le procedure di incident response e la gestione delle chiavi di cifratura.

Costo: a carico del cliente per gli audit che eccedono la review documentale standard. EDMA fornisce workspace, personale designato e accesso ai documenti. I findings restano confidenziali per il cliente in base all'accordo di audit.

C · Monitoring continuo

Enterprise

Streaming degli eventi nel Vostro stack

I clienti Enterprise possono richiedere l'accesso a monitoring continuo:

Integrazione SIEM degli audit log — Splunk, Datadog, Sumo Logic, Elastic, Sentinel
Streaming in tempo reale degli eventi di sicurezza via topic Kafka o webhook
Accesso API controllato dal cliente per strumenti di compliance-automation
Configurato per contratto; rate limit e tipologie di evento sono negoziabili

D · Vendor questionnaire

Business+

Assessment di sicurezza — SIG, CAIQ, personalizzati

Gli assessment di sicurezza standard dei clienti — SIG, CAIQ, vendor security questionnaire, template enterprise personalizzati — ricevono risposta entro 5 giorni lavorativi per i clienti Business+.

Refresh annuale delle risposte incluso nello scope CSM. Librerie di risposte pre-compilate disponibili su richiesta per i framework più comuni (SIG Core, CAIQ v4, NIST CSF 2.0).

DOMANDE SPECIFICHE

Cosa chiedono davvero i team InfoSec.

12 domande raggruppate in 4 argomenti. Cliccate su un gruppo per espanderlo. Le risposte sono fattuali, sintetiche e rimandano alla sezione specifica sopra in cui il controllo sottostante è documentato.

Gruppo 01Proprietà & controllo dei dati3 domande

Q · 01

Chi è proprietario dei nostri dati?

Voi. Sempre. EDMA tratta i dati per Vostro conto in qualità di Processor secondo la terminologia GDPR. I Vostri dati sono esportabili in formato CSV / JSON in qualsiasi momento. Alla cessazione del contratto, avete 90 giorni per l'export; provvediamo alla cancellazione entro 30 giorni dopo il termine di cancellazione. Lo schema di export è documentato e stabile.

Q · 02

I dipendenti di EDMA possono accedere ai nostri dati?

Solo in tre condizioni specifiche: (1) avete aperto un caso di supporto e concesso l'accesso; (2) incident response di emergenza che richiede accesso ai dati — tracciato, a tempo limitato, con notifica al cliente; (3) ordine del tribunale o procedimento legale — vi opponiamo resistenza e vi notifichiamo, salvo divieto di legge. Le operazioni standard non richiedono l'accesso di EDMA ai dati del cliente. Tutti gli eventi di accesso sono scritti nel Vostro audit log.

Q · 03

Cosa succede se EDMA viene acquisita o chiude?

Acquisizione: le clausole di protezione dei dati del cliente sopravvivono all'acquisizione; il nuovo proprietario eredita i termini del DPA. Chiusura: 12 mesi di preavviso impegnati contrattualmente nei confronti dei clienti Enterprise con assistenza alla migrazione dei dati; 6 mesi di preavviso per tutti gli altri tier. L'escrow open-source dei formati dati critici garantisce che la migrazione sia tecnicamente fattibile anche se il personale EDMA non è disponibile.

Gruppo 02IA & privacy dei dati3 domande

Q · 04

I nostri dati vengono usati per addestrare i modelli IA?

No. EDMA detiene contratti Zero Data Retention con Anthropic (Claude), OpenAI e Google (Gemini). I Vostri prompt e le risposte IA non vengono trattenuti dai provider oltre la durata della chiamata API e non vengono usati per il training. Gemma 4 E4B locale — la nostra resilience floor — gira su infrastruttura controllata da EDMA, o da Voi in deployment air-gapped.

Q · 05

Possiamo usare le chiavi del nostro provider IA?

Sì — al tier Enterprise. Bring Your Own Key (BYOK) supportato per Anthropic, OpenAI, Google ed endpoint di inferenza LLM customer-hosted approvati. I prompt IA transitano tramite il Vostro account provider, fatturati direttamente a Voi. EDMA non vede mai la API key — risiede nel Vostro KMS e viene wrappata a ogni richiesta.

Q · 06

Cosa c'è da dire sulle allucinazioni IA in contesti finanziari o legali?

I prodotti IA operativi su contesti finanziari o legali (IA legale, IA contabilità) includono confidence scoring, workflow di review umana per azioni ad alto rischio e catene di audit per ogni artefatto generato dall'IA. Gli output sono in draft-mode di default; è richiesta l'approvazione umana prima dell'invio o del commit. La catena di audit è il record di chi ha rivisto cosa, quando e su quale base.

Gruppo 03Sicurezza operativa3 domande

Q · 07

Come sono memorizzate le credenziali utente?

bcrypt con cost factor 12 (adattivo). Il reset della password usa token single-use a tempo limitato. Passkey (WebAuthn) consigliate rispetto alle password su ogni tier. SSO consigliato rispetto alle credenziali locali al tier Business+ — le password sono disabilitate a livello di workspace quando l'SSO è imposto.

Q · 08

Come gestite l'accesso amministrativo alla produzione?

Elevazione just-in-time (JIT) richiesta per ogni accesso alla produzione — nessun accesso permanente. Approvazione multi-persona per le modifiche di produzione che impattano i dati del cliente. Sessioni registrate per ogni accesso al database di produzione. Review di accesso trimestrali. Privileged Access Management (PAM) via [TBD vendor].

Q · 09

Qual è il vostro secure software development lifecycle?

Threat modeling in fase di design. Code review obbligatoria di 2+ ingegneri. Testing di sicurezza automatizzato (SAST, SCA, DAST) in CI. Vulnerabilità di dipendenza tracciate e patchate entro SLA: P1 24h · P2 7g · P3 30g. Nessun segreto nel codice sorgente — scansionato pre-commit e post-merge. Training annuale di secure coding per tutti gli ingegneri.

Gruppo 04Specifiche di compliance3 domande

Q · 10

Siete GDPR compliant?

Sì. EDMA opera come Data Processor per i dati forniti dal cliente (o Data Controller per i dati dell'account utente). DPA standard incluso nei contratti Business+. DPA customer-specific negoziati al tier Enterprise. Data Subject Access Request (DSAR) supportate via workflow in-product con SLA di risposta di 30 giorni.

Q · 11

Supportate la residenza dei dati per [paese specifico]?

Regioni standard: US (Virginia), UE (Francoforte), APAC (Singapore). Il tier Sovereign (Enterprise) supporta qualsiasi regione AWS, GCP o Azure — circa 25 regioni a livello globale. Requisiti specifici per paese (data localization Russia, Cina, India) richiedono un deployment Enterprise custom; contattare le vendite per lo scoping.

Q · 12

Qual è lo SLA di notifica di breach?

Notifica al cliente entro 72 ore dalla conferma di breach che impatta i suoi dati, ai sensi dell'articolo 33 GDPR. I breach sostanziali sono divulgati pubblicamente via status page entro 7 giorni dalla conferma. Report post-incidente dettagliato entro 30 giorni. Tempistiche di notifica customer-specific disponibili in contratti Enterprise custom (es. notifica a 24 ore per clienti finanziari regolamentati).

PROSSIMO STEP

Ottenete il pacchetto di review della sicurezza.

Tre percorsi. Scegliete quello adatto al punto in cui si trova la Vostra valutazione — lettura preliminare, deep dive con NDA firmato o conversazione diretta con la security engineering.

Percorso APUBBLICO · SENZA NDA

Pacchetto di review self-serve

Artefatti pubblici disponibili senza NDA. Leggibili end-to-end in 30 minuti. Adatto a una valutazione vendor in fase iniziale.

Executive summary SOC 2 Type II

Certificato ISO 27001:2022

Lista dei sub-processor · trimestre corrente

Executive summary del pen test

Template DPA · forma standard

Scarica il bundle PDF →

Percorso BPROTETTO DA NDA

Pacchetto di review protetto da NDA

Attiva un NDA reciproco standard via DocuSign. Consegnato entro 2 giorni lavorativi dalla firma. Adatto a un procurement attivo.

Report completo SOC 2 Type II

Statement of Applicability ISO 27001

Report completi del penetration test

Template DPA personalizzato

Playbook di incident response (redatti)

Richiedi il pacchetto NDA →

Percorso CENTERPRISE

Consultazione di security engineering

Call di 60 minuti con il team di security engineering di EDMA. Adatto a requisiti complessi e scoping di deployment custom.

Review dell'architettura di deployment

Scoping dei requisiti personalizzati

Walkthrough delle opzioni BYOK / HYOK

Scope & cadenza degli audit

Compliance regolatoria specifica

Prenota una consultazione di 60 min →

Contatto diretto

[email protected]

Per disclosure coordinata di vulnerabilità, richieste di sicurezza urgenti o qualunque cosa debba bypassare le vendite generali. Monitorato 24/7 dal security engineer on-call. Cifrate le comunicazioni sensibili usando la chiave PGP mostrata a destra.

Chiave PGP · [email protected]

FINGERPRINT · [TBD — 40-CHAR HEX]-----BEGIN PGP PUBLIC KEY BLOCK----- Version: edma-trade-os v2026.05 [ Public key block — published at edma.trade/.well-known/security.txt ] [ TBD: full ASCII-armored block to be inserted here at production ] [ TBD: key rotation policy — annual, with 90-day overlap ] -----END PGP PUBLIC KEY BLOCK-----