Privacy e GDPR by Design

La protezione dei dati non e' una funzionalita' aggiunta a Queria. E' un principio architetturale che ha guidato ogni decisione progettuale fin dall'inizio. In un sistema che elabora documenti aziendali con intelligenza artificiale, la riservatezza non ammette compromessi.

Architettura multi-tenant

Queria adotta un modello multi-tenant con isolamento completo tra le organizzazioni:

Separazione dei dati

Ogni azienda opera in uno spazio completamente isolato. I documenti, le conversazioni, le impostazioni e i modelli di ricerca di un'organizzazione non sono mai accessibili da un'altra.

L'isolamento avviene a piu' livelli:

Collezioni vettoriali separate: ogni azienda dispone di una propria collezione nel database vettoriale. Gli embedding di un'organizzazione esistono in uno spazio dimensionale completamente distinto.
Dati relazionali isolati: ogni record nel database e' associato a un identificativo aziendale. Le query applicano automaticamente filtri di isolamento.
Knowledge Base dedicate: le basi di conoscenza curate sono private per ogni organizzazione.
Conversazioni e cronologia: la storia delle interazioni e' visibile solo all'interno dell'organizzazione di appartenenza.

Nessuna contaminazione tra tenant

Il principio di isolamento si estende anche al livello semantico. Poiche' ogni azienda utilizza una collezione vettoriale dedicata, le ricerche non possono mai restituire frammenti di documenti appartenenti ad altre organizzazioni. Non esistono indici condivisi ne' spazi di embedding comuni.

Elaborazione AI locale

Questo e' un punto di differenziazione fondamentale: i modelli di intelligenza artificiale di Queria operano su infrastruttura dedicata locale.

Nessun dato inviato a terze parti

I documenti aziendali non vengono mai trasmessi a servizi cloud di AI generativa. Non a servizi americani, non a servizi europei, non a nessun fornitore esterno. L'elaborazione avviene interamente sull'infrastruttura controllata dall'organizzazione.

Questo significa:

Nessun addestramento sui dati aziendali: i modelli AI non apprendono dai documenti elaborati. Non esiste il rischio che informazioni riservate vengano incorporate nei parametri del modello e potenzialmente esposte ad altri utenti.
Sovranita' completa dei dati: l'organizzazione mantiene il controllo totale su dove risiedono i propri dati e chi vi accede.
Conformita' a politiche aziendali restrittive: organizzazioni con requisiti di sicurezza elevati possono adottare Queria senza deroghe alle proprie policy di protezione dati.

Opzione LLM personalizzato

Per le organizzazioni che preferiscono utilizzare un proprio fornitore AI, Queria offre la possibilita' di configurare un endpoint esterno personalizzato. In questo caso:

Le chiavi API vengono crittografate a riposo con AES-256-GCM
L'endpoint viene validato prima dell'attivazione
L'organizzazione gestisce direttamente la relazione con il fornitore scelto
Queria si limita a instradare le richieste senza memorizzare le risposte del modello esterno

Protezione dei dati

Crittografia

I dati sensibili sono protetti con crittografia AES-256-GCM, lo standard utilizzato da istituzioni finanziarie e governative:

Chiavi API aziendali crittografate a riposo
Credenziali di integrazione con servizi esterni protette
Chiavi di crittografia gestite con rotazione periodica

Autenticazione e autorizzazione

L'accesso al sistema e' protetto da un modello di sicurezza a piu' livelli:

JWT (JSON Web Token): autenticazione delle sessioni utente con scadenza configurabile
API Key: autenticazione per integrazioni programmatiche e widget
Ruoli e permessi (RBAC): controllo granulare degli accessi basato su ruoli
- Amministratore di sistema
- Amministratore aziendale
- Operatore
- Utente base
Permessi a livello di topic: e' possibile limitare l'accesso a specifiche categorie di documenti per ruolo o utente

Protezione degli input

Ogni input ricevuto dal sistema passa attraverso:

Sanitizzazione: rimozione di contenuti potenzialmente pericolosi (XSS, injection)
Validazione: verifica dei formati e dei limiti dimensionali
Rate limiting: limiti di frequenza per utente e per organizzazione, per prevenire abusi

Queria implementa nativamente i principi del Regolamento Generale sulla Protezione dei Dati:

Diritto all'oblio (Art. 17)

L'organizzazione puo' richiedere la cancellazione completa di tutti i dati associati:

Soft delete: i dati vengono marcati come cancellati e resi inaccessibili, mantenuti per un periodo configurabile per eventuali ripristini
Hard delete: cancellazione permanente e irreversibile da tutti gli archivi, inclusi database relazionale, database vettoriale e file system
La cancellazione si propaga automaticamente a tutti i sistemi collegati

Portabilita' dei dati (Art. 20)

L'organizzazione puo' esportare tutti i propri dati in formati standard e leggibili da altre piattaforme. L'export include documenti originali, metadati, conversazioni e configurazioni.

Minimizzazione dei dati (Art. 5.1.c)

Il sistema raccoglie e conserva solo i dati strettamente necessari al funzionamento del servizio di intelligenza documentale. Non vengono raccolti dati comportamentali, preferenze personali o informazioni non pertinenti allo scopo del trattamento.

Limitazione delle finalita' (Art. 5.1.b)

I dati caricati vengono utilizzati esclusivamente per fornire il servizio di ricerca e analisi documentale. Non vengono utilizzati per profilazione, marketing, addestramento di modelli o qualsiasi altra finalita' non dichiarata.

Registri di trattamento

Il sistema mantiene log di audit che documentano gli accessi ai dati, le operazioni eseguite e le cancellazioni effettuate. Questi log non contengono dati personali (PII) e sono disponibili per le verifiche di conformita'.

Sicurezza operativa

Archiviazione sicura dei file

I documenti caricati vengono archiviati con:

Permessi di accesso restrittivi a livello di file system
Organizzazione per organizzazione in percorsi separati
Verifica dell'integrita' del file al momento dell'elaborazione

Nessun dato personale nei log

I log di sistema sono progettati per escludere informazioni personali identificabili. I messaggi di errore e le tracce diagnostiche contengono solo identificativi tecnici, mai contenuti di documenti, nomi di utenti o altri dati personali.

Rate limiting e protezione da abusi

Il sistema implementa limiti di utilizzo a piu' livelli:

Limiti per singolo utente (richieste al minuto)
Limiti per organizzazione (richieste al minuto, volume giornaliero)
Limiti per endpoint (protezione da attacchi mirati)
Limiti configurabili in base al piano di abbonamento

Un approccio senza compromessi

La scelta di eseguire i modelli AI su infrastruttura locale ha un costo in termini di complessita' operativa. Ma per le organizzazioni che trattano documenti riservati, contratti, dati finanziari, informazioni su pazienti o proprieta' intellettuale, questo costo e' ampiamente giustificato dalla certezza che i propri dati non attraversano mai i confini dell'infrastruttura controllata.

In un'epoca in cui la maggior parte dei servizi AI richiede di inviare i dati al cloud, Queria offre un'alternativa che non chiede di scegliere tra intelligenza artificiale e riservatezza.

Privacy e GDPR by Design ​

Architettura multi-tenant ​

Separazione dei dati ​

Nessuna contaminazione tra tenant ​

Elaborazione AI locale ​

Nessun dato inviato a terze parti ​

Opzione LLM personalizzato ​

Protezione dei dati ​

Crittografia ​

Autenticazione e autorizzazione ​

Protezione degli input ​

Conformita' GDPR ​

Diritto all'oblio (Art. 17) ​

Portabilita' dei dati (Art. 20) ​

Minimizzazione dei dati (Art. 5.1.c) ​

Limitazione delle finalita' (Art. 5.1.b) ​

Registri di trattamento ​

Sicurezza operativa ​

Archiviazione sicura dei file ​

Nessun dato personale nei log ​

Rate limiting e protezione da abusi ​

Un approccio senza compromessi ​