Sicurezza dei Dati

Ultimo aggiornamento: 23 maggio 2026 · Versione 1.1

Vega Lab S.R.L. (“DOGZN”) considera la sicurezza dei dati personali un requisito fondamentale del proprio Servizio. Il presente documento descrive le misure tecniche e organizzative adottate per proteggere i dati degli utenti, ai sensi dell’art. 32 del Regolamento (UE) 2016/679 (GDPR).

Il documento è complementare alla Privacy Policy e ai Termini e Condizioni d’Uso.

1. Approccio generale alla sicurezza

DOGZN adotta un approccio “security by design” e “privacy by design” sin dalla progettazione del Servizio. Le misure di sicurezza sono valutate periodicamente e aggiornate in funzione dell’evoluzione del Servizio, delle minacce informatiche e della normativa applicabile.

2. Misure tecniche

2.1 Cifratura in transito

Tutte le comunicazioni tra l’app DOGZN, il sito web dogzn.com e i server cloud sono protette tramite protocollo HTTPS con cifratura TLS 1.2 o superiore. I certificati SSL/TLS sono emessi da autorità di certificazione riconosciute (Let’s Encrypt, Google Trust Services).

2.2 Cifratura a riposo

I dati archiviati nei sistemi cloud Google Firebase / Google Cloud Platform sono cifrati a riposo con algoritmi standard del settore (AES-256). I dati sensibili relativi alla scheda medica del pet sono trattati con livelli aggiuntivi di protezione, in particolare:

  • accesso limitato esclusivamente all’Utente proprietario del pet, salvo condivisione esplicita
  • nessuna esposizione di tali dati a terzi utenti del Servizio
  • esclusione dei dati medici dai contenuti indicizzati a fini di personalizzazione marketing

2.3 Autenticazione

L’autenticazione degli Utenti è gestita tramite Firebase Authentication (Google), che implementa standard di sicurezza consolidati. Le password non sono mai conservate in chiaro: vengono memorizzate sotto forma di hash con salting (algoritmo standard scrypt).

DOGZN supporta autenticazione tramite:

  • email + password con requisiti di complessità (minimo 8 caratteri, mix di lettere e numeri)
  • Single Sign-On con Google (per Account Business)
  • in roadmap: autenticazione a due fattori (2FA) per Account Business

2.4 Trattamento della geolocalizzazione

I dati di posizione sono trattati con un livello di astrazione che protegge la privacy, calibrato in base alla funzionalità che li utilizza:

  • per la funzionalità Radar: l’app trasmette al server un geohash a precisione ridotta (equivalente a pochi minuti a piedi), non le coordinate GPS esatte; gli altri utenti vedono solo l’area di pertinenza approssimata.
  • per la funzionalità Match: la posizione GPS dell’Utente viene utilizzata lato server per calcolare la distanza in chilometri rispetto ad altri pet candidati (formula di Haversine) e per applicare il filtro di distanza configurato (default 20 km); agli altri utenti viene esposta esclusivamente la distanza arrotondata, mai le coordinate esatte.
  • per la funzionalità Walk (passeggiate tracciate): la posizione GPS dettagliata è registrata per costruire il percorso, ed è visibile esclusivamente all’Utente, salvo condivisione volontaria della Walk Card.
  • l’Utente può disattivare la condivisione della posizione in qualsiasi momento dalle Impostazioni del proprio dispositivo.

2.5 Moderazione automatica dei contenuti

DOGZN utilizza algoritmi di intelligenza artificiale di Google (Gemini per il testo, Google Cloud Vision SafeSearch e Gemini Vision per immagini e video) per moderare in tempo reale i contenuti pubblicati nelle aree pubbliche del Servizio. In particolare:

  • Post del social: testo analizzato tramite Gemini, immagini analizzate tramite Google Cloud Vision SafeSearch.
  • Reel: testo, thumbnail e contenuto video analizzati tramite Gemini Vision.
  • Profili Match (cani, gatti e altri pet): nome e descrizione moderati tramite Gemini; foto del profilo analizzate tramite Google Cloud Vision. Contenuti non conformi vengono ripristinati al valore precedente o svuotati e, nel caso delle foto, eliminati anche da Firebase Storage; l’Utente riceve notifica.
  • Chat di gruppo, bacheca locale, recensioni: testo moderato tramite modelli linguistici.

Il sistema rileva e rimuove automaticamente contenuti potenzialmente offensivi, illeciti, di spam o lesivi della community.

Sanzioni progressive. Ogni contenuto rimosso per violazione dei Termini incrementa un contatore di violazioni associato all’Account; al raggiungimento di 5 violazioni l’Account viene automaticamente sospeso (cfr. art. 13 dei Termini e Condizioni).

2.6 Protezione contro attacchi informatici

  • Web Application Firewall (WAF) integrato nei servizi Firebase Hosting
  • Limitazioni rate-limit sulle API
  • Validazione lato server di tutti i dati in input
  • Rules Firestore restrittive che limitano la lettura/scrittura ai soli soggetti autorizzati
  • Honeypot fields nei form per ridurre lo spam automatico
  • Protezione anti-bot tramite Cloudflare Turnstile sui form sensibili

2.7 Backup e disaster recovery

I dati sono replicati su più data center geograficamente distribuiti all’interno dello Spazio Economico Europeo, con politica di backup automatico. Il Recovery Time Objective (RTO) è di 24 ore e il Recovery Point Objective (RPO) di 1 ora.

2.8 Aggiornamenti di sicurezza

Tutti i componenti software (server-side, app mobile, librerie di terze parti) sono mantenuti aggiornati alle ultime versioni di sicurezza. Le vulnerabilità note vengono corrette con priorità in base alla loro gravità (CVSS score).

3. Misure organizzative

3.1 Controllo degli accessi

L’accesso ai sistemi che trattano dati personali è limitato al personale autorizzato. L’accesso è regolato dal principio del “least privilege” (privilegi minimi necessari) e tracciato tramite log di sistema.

3.2 Formazione del personale

Il team DOGZN è formato sui principi del GDPR, sulla protezione dei dati personali e sulle best practice di sicurezza informatica.

3.3 Selezione dei fornitori

DOGZN seleziona esclusivamente fornitori che offrono adeguate garanzie di sicurezza, in conformità all’art. 28 GDPR. I principali fornitori (Google Firebase, Apple App Store, Google Play, Microsoft Clarity, Meta) sono soggetti ad audit di sicurezza periodici e a certificazioni internazionali (ISO 27001, SOC 2, GDPR compliance).

3.4 Contratti di trattamento dati

Con tutti i Responsabili del trattamento sono in essere accordi conformi all’art. 28 GDPR (Data Processing Agreement) che impongono ai fornitori il rispetto degli standard di sicurezza richiesti dal Titolare.

4. Procedura di gestione dei data breach

In caso di violazione dei dati personali, DOGZN attua la seguente procedura:

  1. Rilevazione e contenimento: identificazione della violazione e immediato contenimento per limitare i danni
  2. Valutazione: analisi della gravità e dell’impatto sulla privacy degli interessati
  3. Notifica al Garante: in caso di violazione che presenti rischio per i diritti e le libertà delle persone fisiche, notifica al Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta, ai sensi dell’art. 33 GDPR
  4. Comunicazione agli interessati: in caso di rischio elevato, comunicazione tempestiva agli Utenti coinvolti tramite email o notifica in-app, ai sensi dell’art. 34 GDPR
  5. Documentazione: registrazione della violazione nel Registro dei data breach, anche in caso di non-notifica al Garante
  6. Misure correttive: implementazione di misure preventive per evitare il ripetersi di eventi simili

5. Sicurezza dei pagamenti

DOGZN non gestisce direttamente alcun dato di pagamento. Le transazioni per i piani Premium e Business sono elaborate esclusivamente da:

  • Apple App Store per iOS — conforme PCI-DSS
  • Google Play Store per Android — conforme PCI-DSS

DOGZN non raccoglie, conserva o tratta dati di carte di credito, debito o conti correnti.

6. Sicurezza degli account Business

Per gli Account Business, DOGZN richiede una procedura di verifica più rigorosa:

  • email di contatto preferibilmente su dominio aziendale (verifica del “trust score” automatico)
  • verifica incrociata con dati pubblici dell’attività (Google Maps, Pagine Gialle, Camera di Commercio)
  • verifica telefonica del titolare attraverso il numero pubblico dell’attività
  • in caso di richiesta di rivendicazione (claim) di una scheda esistente: verifica della titolarità tramite documenti commerciali (visura camerale, partita IVA, autorizzazioni di settore)

7. Vulnerability disclosure

DOGZN incoraggia la segnalazione responsabile di vulnerabilità di sicurezza. I ricercatori di sicurezza che individuano vulnerabilità nel Servizio sono pregati di segnalarle a security@dogzn.com (oppure, in attesa di attivazione di tale recapito, a support@dogzn.com) prima di darne diffusione pubblica. DOGZN si impegna a:

  • valutare la segnalazione entro 5 giorni lavorativi
  • comunicare al ricercatore lo stato di analisi e l’eventuale piano di risoluzione
  • non intraprendere azioni legali contro segnalazioni effettuate in buona fede e nel rispetto del principio di proporzionalità

8. Continuità operativa

DOGZN si impegna a garantire la continuità del Servizio. Tuttavia, in considerazione della natura del Servizio (che dipende da provider cloud terzi) e dei limiti di responsabilità indicati nei Termini, DOGZN non garantisce la disponibilità ininterrotta del Servizio.

In caso di interruzione prolungata, l’Utente sarà informato tramite i canali di comunicazione ordinari e, se possibile, sarà fornita una stima del tempo di ripristino.

9. Trasparenza e accountability

DOGZN tiene un Registro delle Attività di Trattamento ai sensi dell’art. 30 GDPR e applica il principio di accountability documentando tutte le decisioni rilevanti in materia di protezione dei dati. Tale documentazione è messa a disposizione dell’autorità di controllo ove richiesta.

10. Aggiornamenti del documento

Il presente documento viene aggiornato in conseguenza di:

  • modifiche normative o pronunce delle autorità di controllo
  • evoluzioni significative del Servizio o dell’architettura tecnica
  • eventuali audit interni che evidenzino opportunità di miglioramento

La data dell’ultimo aggiornamento è indicata in cima al documento.

11. Contatti

Per qualsiasi questione relativa alla sicurezza dei dati:

Vega Lab S.R.L. Via Bruno Buozzi 8, 20851 Lissone (MB), Italia Email generica: support@dogzn.com Segnalazioni di sicurezza: security@dogzn.com (o support@dogzn.com finché non attivo) PEC: vega@pec.vega-lab.it