Vai al contenuto
Lexiik
rollback

Sicurezza API: Protezione dei dati e conformità GDPR

Ultimo aggiornamento : 9 février 2026

La sicurezza dei vostri dati è la nostra priorità assoluta. Scoprite come Lexiik protegge le vostre informazioni sensibili con i più alti standard di sicurezza del settore, garantendo al contempo una piena conformità al GDPR.

Certificazione ISO 27001

Lexiik è certificato ISO 27001 (sicurezza delle informazioni) e viene sottoposto ad audit annuale da un organismo indipendente. I vostri dati sono protetti secondo le norme internazionali più rigorose.

Architettura di sicurezza di Lexiik

La sicurezza di Lexiik si basa su un approccio Defense in Depth (difesa in profondità) con diversi livelli di protezione indipendenti. Anche se un livello viene compromesso, gli altri garantiscono la protezione dei vostri dati.

Crittografia in transito (TLS 1.3)

Tutte le comunicazioni tra il vostro negozio e i server di Lexiik sono crittografate con TLS 1.3, il protocollo di sicurezza più recente e robusto:

  • Perfect Forward Secrecy (PFS): Anche se una chiave viene compromessa, le comunicazioni passate rimangono sicure
  • Certificati SSL wildcard: *.lexiik.com e cdn.lexiik.com con rinnovo automatico
  • HSTS attivato: Costringe il browser a utilizzare sempre HTTPS (nessun downgrade possibile verso HTTP)
  • TLS 1.0/1.1 disabilitati: Protocolli obsoleti bloccati, vengono accettati solo TLS 1.2 e 1.3

Da sapere

Punteggio A+ su SSL Labs (test di riferimento per la sicurezza SSL). Potete verificare la nostra configurazione in qualsiasi momento su ssllabs.com.

Crittografia a riposo (AES-256)

Tutti i dati memorizzati sui server di Lexiik sono crittografati con l'algoritmo AES-256 (Advanced Encryption Standard, chiave a 256 bit), considerato inviolabile persino dalla stessa NSA:

  • Database: Crittografia completa di PostgreSQL con Transparent Data Encryption (TDE)
  • Snapshot: Ogni snapshot è crittografato individualmente con una chiave univoca derivata
  • Immagini: Le immagini originali (prima dell'ottimizzazione CDN) sono crittografate sullo storage S3
  • Log: Registri di audit crittografati e firmati crittograficamente (impossibili da falsificare)

Le chiavi di crittografia sono a loro volta crittografate con una Master Key conservata in un HSM (Hardware Security Module) fisicamente protetto nei nostri data center europei.

Isolamento dei tenant (Multi-tenancy sicuro)

Lexiik è una piattaforma multi-tenant, il che significa che più clienti condividono la stessa infrastruttura. Per garantire l'isolamento totale tra gli account:

  • Row-Level Security (RLS): Ogni query SQL filtra automaticamente i dati per account_id
  • Namespace isolati: Le chiavi API, i webhook e i job asincroni sono isolati per tenant
  • Rate limiting per account: Un cliente malintenzionato non può compromettere le prestazioni degli altri
  • Quote per risorsa: CPU, RAM, storage e banda limitati per piano (politica di uso equo)

Piano Enterprise: Dedicated Infrastructure

I clienti Enterprise possono optare per un'infrastruttura dedicata (server e database isolati) per un isolamento fisico totale. Contatto: [email protected]

Autenticazione e autorizzazione API

Chiavi API: Generazione e rotazione

L'API di Lexiik utilizza chiavi API segrete per autenticare le richieste provenienti dal vostro negozio (tramite il Bridge) o dalle vostre integrazioni personalizzate:

  • Formato: lxk_live_xxxxxxxxxxxxxxxxxxxxx (prefisso per l'ambiente live) o lxk_test_xxxxxxxxxxxxxxxxxxxxx (prefisso per l'ambiente di test)
  • Lunghezza: 64 caratteri (256 bit di entropia, ovvero 2^256 combinazioni possibili = 10^77)
  • Archiviazione: Hashate in bcrypt (costo 12) nel database, mai memorizzate in chiaro
  • Rotazione consigliata: Ogni 90 giorni per i piani Pro e superiori

Generazione di una chiave API:

  1. Andate in Impostazioni > API e integrazioni
  2. Cliccate su Genera una nuova chiave API
  3. Nominate la chiave (es.: «Bridge Produzione» o «Script di migrazione»)
  4. Copiate la chiave visualizzata (non verrà mai più mostrata!)
  5. Conservatela in un gestore di segreti (1Password, Bitwarden, Vault, ecc.)

Attenzione

Importante: non eseguite MAI un commit di una chiave API in Git, nemmeno in un repository privato. Utilizzate variabili d'ambiente (.env) e aggiungete .env al vostro .gitignore.

Scope e permessi granulari

Ogni chiave API può avere permessi limitati (principio del minimo privilegio):

  • read:products: Leggere le schede prodotto
  • write:products: Creare e modificare schede prodotto
  • read:audits: Consultare i report di audit SEO
  • write:audits: Avviare un audit (consuma crediti)
  • read:snapshots: Accedere alla cronologia (Rollback)
  • write:snapshots: Ripristinare uno snapshot (azione sensibile)
  • admin:all: Accesso completo (riservato agli amministratori)

Esempio: una chiave API utilizzata solo per visualizzare i KPI su un dashboard interno può essere limitata a read:products e read:audits.

Rate limiting e protezione anti-abuso

L'API di Lexiik implementa un rate limiting rigoroso per evitare abusi e garantire la disponibilità:

  • Piano Gratuito: 100 richieste / ora
  • Piano Starter: 500 richieste / ora
  • Piano Pro: 2.000 richieste / ora
  • Piano Expert: 10.000 richieste / ora
  • Piano Enterprise: Illimitato (politica di uso equo con avviso a 50.000 richieste/h)

In caso di superamento, l'API restituisce il codice HTTP 429 Too Many Requests con un header Retry-After che indica quanti secondi attendere.

Da sapere

Il Bridge di Lexiik (modulo per CMS) beneficia di un rate limit più elevato perché le richieste vengono raggruppate (batch processing). Una sincronizzazione di 1000 prodotti = 1 sola richiesta API.

Conformità GDPR (Regolamento Generale sulla Protezione dei Dati)

Lexiik rispetta integralmente il GDPR (Regolamento Europeo 2016/679) e applica i principi di Privacy by Design fin dalla progettazione di ogni funzionalità.

Hosting 100% europeo

Tutti i vostri dati sono ospitati esclusivamente nell'Unione Europea:

  • Data center principale: OVHcloud Gravelines (Francia)
  • Replica secondaria: OVHcloud Strasburgo (Francia)
  • Replica terziaria: Hetzner Falkenstein (Germania)
  • CDN Edge: 35 punti di presenza mondiali, ma i dati sensibili non vengono mai memorizzati nella cache fuori dall'UE

I vostri dati non transitano MAI attraverso gli Stati Uniti né attraverso alcun paese al di fuori dell'UE. Non utilizziamo AWS, Google Cloud o Azure (fornitori soggetti al Cloud Act americano).

Successo

Lexiik è registrato presso la CNIL (Commission Nationale de l'Informatique et des Libertés) e dispone di un DPO (Responsabile della Protezione dei Dati) certificato.

Minimizzazione dei dati raccolti

Lexiik raccoglie solo i dati strettamente necessari al funzionamento del servizio:

Dati raccolti:

  • E-mail (autenticazione e notifiche)
  • Nome e cognome (fatturazione)
  • Dati di pagamento (memorizzati da Stripe, certificato PCI-DSS livello 1)
  • Schede prodotto (titolo, descrizione, immagini, prezzo pubblico, categorie)
  • Log tecnici (IP, user-agent, timestamp) conservati per un massimo di 90 giorni

Dati MAI raccolti:

  • Dati personali dei vostri clienti finali (e-mail, indirizzi, cronologia degli acquisti)
  • Numeri di carta di credito (delegato a Stripe)
  • Password in chiaro (hashate in Argon2id)
  • Dati di navigazione nel vostro negozio (non siamo uno strumento di analytics)

I vostri diritti GDPR

Beneficiate di tutti i diritti previsti dal GDPR, direttamente accessibili dal vostro account Lexiik:

  • Diritto di accesso (Art. 15): Scaricare tutti i vostri dati in formato JSON (Impostazioni > Esporta i miei dati)
  • Diritto di rettifica (Art. 16): Modificare le vostre informazioni personali in qualsiasi momento
  • Diritto alla cancellazione (Art. 17): Eliminare definitivamente il vostro account e tutti i vostri dati (Impostazioni > Elimina il mio account)
  • Diritto alla portabilità (Art. 20): Esportare i vostri dati in un formato standard (JSON, CSV)
  • Diritto di opposizione (Art. 21): Rifiutare il trattamento di certi dati (es.: e-mail di marketing)
  • Diritto di limitazione (Art. 18): Sospendere temporaneamente il trattamento dei vostri dati

Per esercitare i vostri diritti o contattare il nostro DPO: [email protected]

Da sapere

Tempo di risposta garantito: 72 ore per una richiesta di accesso, massimo 30 giorni per una cancellazione completa (conformemente all'Art. 12 del GDPR).

Audit di sicurezza e certificazioni

Pentest periodici

Lexiik è oggetto di regolari test di intrusione (pentest) da parte di società specializzate:

  • Frequenza: 1 pentest completo ogni 6 mesi (piani Pro ed Enterprise)
  • Perimetro: Applicazione web, API, infrastruttura, Bridge (moduli CMS)
  • Metodologia: OWASP Testing Guide v4.2 + PTES (Penetration Testing Execution Standard)
  • Report: Report di audit disponibile su richiesta per i clienti Enterprise

Le vulnerabilità critiche e alte vengono corrette entro 48 ore, quelle medie entro 7 giorni e quelle basse entro 30 giorni.

Programma di Bug Bounty

Lexiik gestisce un programma di Bug Bounty (ricompensa per vulnerabilità) per incoraggiare i ricercatori di sicurezza a segnalare le falle:

  • Piattaforma: YesWeHack (piattaforma europea di bug bounty)
  • Ricompense: Da 100 € a 5.000 € in base alla criticità (punteggio CVSS)
  • Scope: app.lexiik.com, api.lexiik.com, cdn.lexiik.com, moduli Bridge
  • Tempo di risposta: Meno di 24 ore per i report validi

Accesso al programma: yeswehack.com/programs/lexiik

Certificazioni e conformità

Lexiik detiene le seguenti certificazioni:

  • ISO 27001: Sicurezza delle informazioni (auditato da Bureau Veritas)
  • SOC 2 Type II: Disponibilità, riservatezza, integrità (in corso di certificazione)
  • GDPR: Piena conformità, DPO certificato, registrato presso CNIL
  • HDS (Hosting di Dati Sanitari): Non applicabile (solo e-commerce)
  • PCI-DSS livello 1: Tramite Stripe (processore di pagamenti)

Funzione Premium

I clienti Enterprise possono richiedere un audit di conformità personalizzato (SOC 2, ISO 27001, ecc.) per soddisfare le proprie esigenze interne.
Contattare il team Enterprise →

Buone pratiche di sicurezza per gli utenti

Gestione delle chiavi API

Per garantire la sicurezza del vostro account, seguite queste buone pratiche:

  • Non condividere mai una chiave API: Create una chiave dedicata per ogni servizio/sviluppatore
  • Rotazione regolare: Cambiate le vostre chiavi ogni 90 giorni (automatizzabile tramite API)
  • Nominate le vostre chiavi: «Bridge Produzione», «Script Analytics», «Integrazione Zapier», ecc.
  • Revocate le chiavi inutilizzate: Eliminate le chiavi di ex collaboratori o script disattivati
  • Variabili d'ambiente: Mai inserire chiavi in modo fisso nel codice sorgente

Sicurezza delle password

Il vostro account Lexiik è protetto dalle seguenti misure:

  • Hashing Argon2id: Algoritmo raccomandato da OWASP (resistente a GPU e ASIC)
  • Salt univoco: Ogni password ha un salt casuale a 128 bit
  • Politica di complessità: Minimo 12 caratteri, almeno 1 maiuscola, 1 numero e 1 carattere speciale
  • Protezione anti-brute force: Blocco dopo 5 tentativi falliti (sblocco tramite e-mail)
  • 2FA disponibile: Autenticazione a due fattori tramite TOTP (Google Authenticator, Authy) – fortemente consigliata

Attivate il 2FA

L'attivazione dell'autenticazione a due fattori riduce del 99,9% il rischio di compromissione dell'account, anche se la vostra password è stata violata. Attivatela da Impostazioni > Sicurezza.

Monitoraggio del vostro account

Lexiik vi avvisa automaticamente in caso di attività sospette:

  • Accesso da un nuovo paese: E-mail con link di conferma
  • Nuovo dispositivo: Notifica push se l'app mobile è installata
  • Creazione di una chiave API: E-mail riepilogativa con nome e permessi
  • Modifica del metodo di pagamento: Doppia conferma via e-mail + SMS
  • Tentativi di accesso falliti: Avviso dopo 3 errori

Consultate la cronologia completa degli accessi da Impostazioni > Attività dell'account.

In sintesi

La sicurezza di Lexiik si basa su un approccio multi-livello (Defense in Depth) con i più alti standard del settore:

  • Crittografia: TLS 1.3 in transito + AES-256 a riposo
  • Autenticazione: Chiavi API a 256 bit + 2FA disponibile
  • Hosting: 100% europeo (Francia + Germania), mai negli USA
  • Conformità: GDPR completo, ISO 27001, SOC 2 Type II in corso
  • Audit: Pentest semestrali + Bug Bounty attivo

I vostri dati sono protetti con lo stesso livello di sicurezza delle banche online e delle istituzioni finanziarie.

Successo

Avete domande o requisiti di sicurezza specifici? Il nostro team Security è a vostra disposizione.
Contattare il team sicurezza →

Articoli correlati: La Garanzia Rollback · Conservazione dei dati · Collegare il proprio negozio