Cosa è in piedi oggi (e cosa stiamo costruendo).

Lo stato attuale, in onestà

AgentForge è in fase di pre-validation commerciale. Significa che il prodotto tecnico funziona, ma stiamo ancora formalizzando tutta la documentazione di compliance EU. Questa pagina dice quello che è effettivamente in piedi oggi, non quello che vorremmo dire.

Architettura tecnica

Hosting dati

• Database principale: MongoDB Atlas, region EU.
• Backend applicativo: server europei (Hetzner, Germania).
• Embeddings vettoriali: salvati su MongoDB Atlas EU (stesso cluster).
• Backup: ridondanza automatica entro region EU.

Provider AI esterni che usiamo

Per generazione testi e analisi semantica usiamo provider esterni. Tutti quelli su cui affidiamo dati di clienti sono certificati EU-US Data Privacy Framework (verifica continua su dataprivacyframework.gov).

• Anthropic (modelli Claude) — DPF active
• OpenAI (modelli GPT) — DPF active, usato come fallback configurabile
• Voyage AI (embeddings) — verifica DPF in corso, in alternativa SCC firmate
• MongoDB Inc. (Atlas) — DPF active
• AWS (servizi accessori dove usato) — DPF active

Lista completa aggiornata in sub-processor list.

Isolamento dati tra clienti

• Ogni cliente ha un proprio tenant_id applicato a ogni record (database, vector index, log, audit).
• Le query al database sono filtrate dal middleware applicativo: tecnicamente impossibile leggere dati di un altro cliente.
• Le knowledge base vettoriali hanno indice separato per (tenant_id, agent_id) sul Vector Search.

Cifratura

• API key di terzi (chiavi LLM dei clienti, credenziali a sistemi esterni): cifrate AES-256-GCM nel database. Mai in chiaro, mai loggate.
• Password: hash con argon2 (standard OWASP).
• Trasporto: tutti gli endpoint sono in HTTPS con certificato Let's Encrypt rinnovato automaticamente.

Audit log e tracciabilità

• Ogni esecuzione di agente è tracciata con request_id, costo USD reale, modello usato, durata, errori eventuali.
• Log applicativi conservati con retention configurabile.
• Cambio di configurazione critica (es. modifica policy, eliminazione dati) registrato in audit dedicato.

Compliance EU

Cosa è in piedi adesso (aprile-maggio 2026)

• Architettura tecnica conforme ai principi di privacy by design (isolamento, cifratura, minimizzazione log).
• Hosting EU verificabile.
• Sub-processor list pubblica e aggiornata.

Cosa stiamo formalizzando nelle prossime settimane

• Privacy policy completa generata via Iubenda (in pubblicazione).
• Cookie banner conforme Garante Privacy (in pubblicazione).
• Termini e condizioni commerciali (in pubblicazione).
• Bozza DPA basata su SCC della Commissione UE (per primi clienti business).
• Registro attività di trattamento art. 30 GDPR (interno + sezione pubblica).

Cosa NON abbiamo ancora (e quando lo faremo)

• Penetration test annuale: previsto al raggiungimento dei primi 5-10 clienti paganti.
• Cyber insurance: previsto al raggiungimento dei primi 5-10 clienti paganti.
• ISO 27001 / SOC 2: previsto al raggiungimento dei 50+ clienti paganti — costi e tempistiche di certificazione formali (12-24 mesi, 30-100k€) hanno senso solo a una scala maggiore.

Se servono certificazioni formali sin dal giorno uno, oggi non siamo il fornitore giusto per voi. Ne parliamo apertamente prima del contratto.

Per i tuoi diritti GDPR

Per esercitare i diritti di accesso, cancellazione, portabilità, opposizione, limitazione, scrivere a privacy@acabagentforge.eu. Risposta entro 30 giorni come previsto dal GDPR.

Segnalazione vulnerabilità

Se trovi una vulnerabilità di sicurezza, scrivere a security@acabagentforge.eu. Apprezziamo le segnalazioni responsabili e rispondiamo entro 5 giorni lavorativi.

Domande tecniche specifiche?

Per richieste tecniche di compliance (DPIA, transfer impact assessment, integrazione coi tuoi processi GDPR aziendali), scrivici. Le valutiamo caso per caso.