Torna alla home

Documento legale

Sicurezza e dati

Sintesi delle misure tecniche e organizzative previste per il trattamento dei dati nel SaaS LexAura.

Versione 1.0 · In vigore dal 30 aprile 2026 · Ultimo aggiornamento 30 aprile 2026

1. Ambito del documento

Questa pagina descrive in modo sintetico l’approccio di LexAura alla sicurezza, alla segregazione dei tenant e alla protezione dei dati trattati nel portale SaaS. Non sostituisce contratti, DPA, policy interne o allegati tecnici sottoscritti con il cliente.

LexAura è progettato per studi legali e organizzazioni professionali che possono trattare documenti contenenti dati personali, informazioni riservate, categorie particolari di dati o dati giudiziari.

2. Tenant, ruoli e segregazione logica

Ogni cliente opera in un ambiente logico associato al proprio studio o tenant. I dati sono collegati allo studio di appartenenza e l’accesso applicativo è regolato da autenticazione, sessione utente, ruoli e controlli di autorizzazione.

Gli utenti dello studio accedono solo alle informazioni rese disponibili nel proprio tenant e secondo le funzioni abilitate dal piano o dalle impostazioni configurate.

3. Misure tecniche e organizzative

Le misure adottate sono proporzionate al rischio e mirano a preservare riservatezza, integrità e disponibilità dei dati.

  • autenticazione tramite provider OAuth e gestione sicura delle sessioni;
  • controlli di accesso per tenant, utente e ruolo;
  • trasmissione cifrata tramite HTTPS/TLS;
  • archiviazione documenti e dati applicativi su servizi cloud configurati per l’erogazione del SaaS;
  • audit log e tracciamento delle operazioni rilevanti ove previsto;
  • principio del minimo privilegio per accessi tecnici e attività di manutenzione.

4. Dati e funzionalità AI

Le funzionalità AI possono trattare documenti, estratti di testo, prompt e metadati necessari a produrre analisi, ricerche, bozze o classificazioni. Il trattamento avviene per erogare il servizio richiesto dal tenant e secondo le impostazioni tecniche disponibili.

Salvo diversa previsione contrattuale o istruzione documentata, i dati del cliente non devono essere utilizzati per addestrare modelli generalisti esterni. Eventuali fornitori AI o infrastrutturali devono essere valutati come sub-responsabili o fornitori rilevanti secondo gli accordi applicabili.

5. Incidenti, backup e continuità

LexAura può adottare procedure di backup, monitoraggio, logging e gestione incidenti in funzione dell’architettura e del piano di servizio. In caso di evento di sicurezza rilevante, la gestione e le comunicazioni seguono quanto previsto dal contratto, dal DPA e dalla normativa applicabile.

Il cliente resta responsabile della corretta gestione degli utenti interni, della revoca degli accessi non più necessari e della configurazione organizzativa del proprio tenant.