SecuRising - Privacy Policy

Ultimo aggiornamento: Marzo 2026

Sede Legale: Corso Castelfidardo, 30/a, 10129 Torino (TO), Italia.

La presente Privacy Policy descrive come SecuRising ("noi", "nostro", "la Piattaforma") raccoglie, utilizza, elabora e protegge i dati personali degli utenti ("tu", "l'Utente"), sia che agiscano in qualità di Ricercatori (Ethical Hacker) sia come rappresentanti di Aziende Clienti, nel pieno rispetto del Regolamento (UE) 2016/679 (GDPR) e della normativa italiana vigente in materia di protezione dei dati personali.

1. Titolare del Trattamento (Data Controller)

Il Titolare del trattamento dei dati personali raccolti attraverso la Piattaforma è: SecuRising Sede Legale: Corso Castelfidardo, 30/a, 10129 Torino (TO), Italia. Email di contatto per questioni di privacy: info@securising.com

2. Dati Personali Raccolti

Raccogliamo diverse tipologie di dati a seconda del tuo ruolo sulla Piattaforma:

A. Dati raccolti dai Ricercatori (Hacker):

  • Dati di registrazione: Indirizzo email, username (o alias/pseudonimo), password cifrata.
  • Dati di verifica e pagamento (KYC): Nome, cognome, indirizzo di residenza, codice fiscale/partita IVA e coordinate bancarie (o account PayPal/Stripe) necessari unicamente per l'erogazione dei Bounty e per gli adempimenti fiscali (Self-billing).
  • Dati tecnici e di log: Indirizzi IP, user agent, log di accesso e timestamp delle attività (Submission) sulla Piattaforma.

B. Dati raccolti dai Clienti (Aziende):

  • Dati aziendali e di contatto: Nome dell'azienda, partita IVA, indirizzo di fatturazione, nome e cognome del referente tecnico/amministrativo, indirizzo email aziendale.
  • Dati tecnici: Indirizzi IP degli Asset messi in scope, configurazioni di rete o credenziali di test fornite esplicitamente ai Ricercatori.

3. Finalità del Trattamento e Base Giuridica

Trattiamo i tuoi dati personali esclusivamente per le seguenti finalità:

  1. Fornitura del Servizio (Esecuzione del Contratto - Art. 6, par. 1, lett. b GDPR): Per creare e gestire l'account, permettere la pubblicazione dei Programmi, gestire le Segnalazioni (Submissions) e processare il pagamento dei Bounty.
  2. Obblighi di Legge (Art. 6, par. 1, lett. c GDPR): Per adempiere a obblighi fiscali, contabili e amministrativi previsti dalla legge italiana (es. fatturazione, conservazione dei documenti contabili).
  3. Sicurezza e Prevenzione Frodi (Legittimo Interesse - Art. 6, par. 1, lett. f GDPR): Per monitorare l'infrastruttura, prevenire accessi abusivi alla Piattaforma, indagare su violazioni dei Terms & Conditions e garantire la sicurezza delle reti e delle informazioni.

4. Condivisione dei Dati e Trasferimento Extra-UE

I tuoi dati personali sono strettamente confidenziali. Non vendiamo né cediamo i tuoi dati a terzi per scopi di marketing. I dati potranno essere condivisi esclusivamente con:

  • Fornitori di servizi essenziali (Data Processors): Piattaforme di hosting in cloud (es. Supabase, Vercel), gateway di pagamento (es. Stripe) e servizi di invio email transazionali, formalmente nominati Responsabili del Trattamento.
  • Autorità Competenti: Qualora richiesto dalla legge o da un ordine dell'Autorità Giudiziaria, o per difendere i nostri diritti in sede legale (es. in caso di attacchi informatici malevoli fuori scope).

Qualora i dati vengano trasferiti a fornitori con server situati al di fuori dello Spazio Economico Europeo (SEE), SecuRising assicura che il trasferimento avvenga nel rispetto delle garanzie adeguate previste dal GDPR (es. Clausole Contrattuali Standard approvate dalla Commissione Europea).

5. Trattamento dei Dati durante i Penetration Test

SecuRising funge da intermediario. Durante l'esecuzione di un Programma, i Ricercatori non sono autorizzati a trattare, raccogliere o esfiltrare dati personali presenti negli Asset del Cliente. Qualsiasi accesso accidentale a dati personali del Cliente (Titolare del Trattamento dell'Asset) durante la scoperta di una vulnerabilità deve essere immediatamente interrotto, limitato alla sola prova visiva (cancellata subito dopo la segnalazione) e gestito secondo i rigorosi accordi di riservatezza previsti nei Researcher Terms & Conditions.

6. Conservazione dei Dati (Data Retention)

Conserviamo i tuoi dati personali solo per il tempo strettamente necessario a conseguire le finalità indicate:

  • I dati dell'account vengono conservati finché l'account è attivo. In caso di cancellazione, i dati del profilo verranno rimossi entro 30 giorni.
  • I dati di fatturazione e pagamento verranno conservati per 10 anni, come richiesto dalla normativa civile e fiscale italiana.
  • I log di sicurezza e le Segnalazioni (Submissions) vengono conservati per ragioni di legittimo interesse e tutela legale per un periodo di 5 anni dalla chiusura del Programma.

7. I tuoi Diritti (Art. 15-22 GDPR)

In qualità di interessato, hai il diritto di:

  • Accedere ai tuoi dati e richiederne copia.
  • Chiedere la rettifica di dati inesatti o l'integrazione di quelli incompleti.
  • Chiedere la cancellazione dei dati ("diritto all'oblio"), fatti salvi i nostri obblighi legali di conservazione.
  • Opporti al trattamento o chiederne la limitazione.
  • Richiedere la portabilità dei dati in un formato strutturato e leggibile da dispositivo automatico.

Per esercitare i tuoi diritti, puoi inviare un'email a: info@securising.com. Hai inoltre il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali italiana (www.garanteprivacy.it) qualora ritenessi che il trattamento violi il GDPR.

8. Modifiche alla Privacy Policy

Ci riserviamo il diritto di aggiornare la presente Privacy Policy. In caso di modifiche sostanziali (es. nuove finalità di trattamento), ti informeremo tramite email o con un avviso ben visibile sulla Piattaforma prima che le modifiche diventino effettive.