Trust Center · vendor due diligence

Tutto quello che il tuo CISO chiederebbe.

Certificazioni vive, lista sub-processor, data residency, SLA pubblici, posture di security e procedura di responsible disclosure. Una pagina sola per accelerare la due diligence di chi valuta Fortgale come fornitore.

4Certificazioni ISO
EU onlyData residency core
30 minRisposta IR · 24/7
≤ 24hRisposta security

01 Certificazioni e allineamenti

Quattro certificazioni ISO attive verificate da ente terzo, oltre all'allineamento operativo ai principali quadri regolatori europei.

ISO/IEC 27001

Information Security Management

Sistema di gestione della sicurezza delle informazioni. Audit annuale, sorveglianza ogni 12 mesi.

Validità · 2024-2027 PDF →
ISO 9001

Quality Management

Sistema di gestione qualità. Riferimento per processi operativi e governance.

Validità · 2024-2027 PDF →
ISO 14001

Environmental Management

Sistema di gestione ambientale. Misurazione e riduzione dell'impatto ambientale dei servizi.

Validità · 2024-2027 PDF →
ISO 45001

Occupational Health & Safety

Sistema di gestione salute e sicurezza sul lavoro. Tutela del personale operativo.

Validità · 2024-2027 PDF →

Allineamenti regolatori

NIS2
D.Lgs. 138/2024

Postura allineata ai requisiti per soggetti essenziali e importanti. Supporto al processo di notifica al CSIRT 24/72h.

DORA
Reg. UE 2022/2554

Operativi sui requisiti del Digital Operational Resilience Act per il settore finanziario europeo.

GDPR
Reg. UE 2016/679

Pieno allineamento. DPA strutturato (Art. 28) per ogni cliente. DPIA su richiesta.

ACN · CSIRT
Linee guida nazionali

Allineati alle linee guida ACN su minimum baseline per sicurezza informatica e perimetro PSNC.

02 Data residency

Tutti i dati operativi (telemetria SOC, log clienti, dati di contatto) sono conservati in data center situati nell'Unione Europea, principalmente in Italia e in altri paesi membri UE. Nessun dato critico viene replicato fuori dall'UE. Il personale che accede ai dati è interamente italiano e opera dalla sede di Milano.

Telemetria SOC / log clienti
🇮🇹 Italia
Backup & cold storage
🇪🇺 Unione Europea
Email · collaboration suite
🇪🇺 Unione Europea · EU Data Boundary
Sito pubblico · CDN
🇪🇺 Unione Europea · edge EU
SOC operations
🇮🇹 Milano · personale italiano
Giurisdizione applicabile
🇮🇹 Italia · diritto europeo (GDPR)

Eccezioni controllate: caricamento di font web (no PII) e — solo con consenso esplicito dell'utente — pixel di analytics e marketing. Eventuali trasferimenti extra-UE avvengono esclusivamente sotto Clausole Contrattuali Standard (SCC 2021/914) e, dove applicabile, EU-US Data Privacy Framework.

Vendor specifici sotto NDA. L'elenco puntuale dei provider infrastrutturali, delle region utilizzate e dei DPA è disponibile nella sub-processor list di seguito e — in versione firmata — su richiesta a info@fortgale.com.

03 Sub-processor list

Lista dei responsabili esterni del trattamento (Art. 28 GDPR) impiegati per l'erogazione dei servizi. Aggiornata al 5 maggio 2026. Notifichiamo i clienti con DPA attivo almeno 30 giorni prima di qualsiasi modifica sostanziale.

Provider Finalità Region Contratto
Microsoft Ireland Operations Ltd Email, Teams, SharePoint, Bookings EU (Ireland · NL) Microsoft DPA · Online Services Terms
Provider IaaS · UE (sotto NDA) Hosting siti web, ambienti di staging e produzione EU DPA + SCC 2021/914
Google Ireland Limited Google Fonts (CDN tipografica) EU + US Google DPA + SCC + EU-US DPF
LinkedIn Ireland Unlimited Insight Tag (solo con consenso) EU + US LinkedIn DPA + SCC
Plausible Insights OÜ Analytics privacy-first (no PII) EU Plausible DPA EU-only

04 SLA pubblici

I valori indicati sono obiettivi di servizio validi sui contratti retainer attivi e misurati sugli ultimi 12 mesi. Gli SLA contrattuali specifici per ogni cliente sono definiti nel relativo Service Agreement.

30 min
Risposta IR (incidente in corso)
24/7/365 · sui retainer attivi
1–4 h
Containment iniziale
In funzione di scope e accessi forniti
< 15 min
Tempo di rilevamento (MTTD)
Mediano sui clienti MDR (last 12m)
< 60 min
Tempo di risposta (MTTR)
Mediano · alert critici
≤ 24 h
Notifica CSIRT (NIS2)
Pre-notifica · supporto al cliente
< 24 h lav.
Risposta sales / press
Esclusi sabato e festivi

05 Security posture

Misure tecniche e organizzative adottate per tutelare riservatezza, integrità, disponibilità e resilienza dei sistemi (Art. 32 GDPR · controlli Annex A ISO 27001).

Cifratura

TLS 1.3 in transito · AES-256 a riposo · gestione chiavi su HSM Microsoft.

Accesso

Zero Trust · multi-factor authentication · just-in-time access · break-glass tracciato.

Monitoring

Log centralizzati · 24/7 SOC monitoring · retention 12+ mesi.

Backup

Backup ridondati · DR test periodico.

Vulnerability mgmt

Scan continuo · pentest annuale · patching SLA differenziati (P1 < 48h).

Personale

NDA permanente · formazione cyber semestrale.

06 Responsible disclosure

Se hai trovato una vulnerabilità sui nostri sistemi (sito web, infrastruttura, prodotto), ti chiediamo di seguirci la procedura di coordinated disclosure.

01

Contattaci subito

Email a info@fortgale.com con descrizione, PoC tecnica e tuoi recapiti. Cifratura PGP disponibile a richiesta.

02

Ti rispondiamo entro 48 ore

Conferma ricezione, classifica iniziale, ETA per fix. Triagiamo ogni segnalazione, anche se non rientra nel nostro perimetro.

03

Disclosure coordinata

Concordiamo finestra di disclosure (tipicamente 90 giorni dopo il fix). Ti riconosciamo pubblicamente nell'hall of thanks se desideri.

Cosa non fare: tentativi di accesso non autorizzato a dati di terzi, DDoS, social engineering del personale, distruzione di dati. Operiamo in safe harbor con ricercatori che agiscono in buona fede.

07 Documenti scaricabili

Documentazione disponibile pubblicamente o su richiesta (alcune previa firma di NDA).

ISO 9001
Certificato Quality Management 2024-2027
PDF · 203 KB
Visualizza →
DPA template
Data Processing Agreement (Art. 28 GDPR)
Su richiesta · firma NDA
Richiedi →
Security questionnaire
Risposte preformate (CAIQ-style · 180 voci)
Su richiesta · firma NDA
Richiedi →
Sub-processor list
Versione PDF firmata · ultimo aggiornamento maggio 2026
PDF · placeholder
Richiedi →

08 Contatti security

Per domande tecniche di sicurezza, vendor onboarding, due diligence:

Security · vulnerability
info@fortgale.com

Responsible disclosure, vendor security questionnaire, SOC2/CAIQ.

Privacy · DPO
privacy@fortgale.com

Esercizio diritti GDPR, DPA, DPIA, sub-processor change request.

Compliance · audit
info@fortgale.com

Richieste di audit dei clienti, evidenze, accesso ai report.

Hai bisogno di altro?

Risposte concrete a una due diligence.

Manda il tuo questionario di security: compiliamo, restituiamo, firmiamo l'NDA. Senza giri.

Tempo di risposta: < 1 giorno lavorativo.

Questo sito è protetto da reCAPTCHA e si applicano la Privacy Policy e i Termini di servizio di Google.