··

······

Sub-responsabili

Le aziende a cui affidiamo i dati dei clienti.

Elenco pubblico e completo di tutti i servizi terzi che trattano dati personali per conto di Veracly — cosa fanno, dove operano e quali dati toccano.

Ultimo aggiornamento: 2026-04-29

In base all'articolo 28 del GDPR siamo tenuti a informarvi in anticipo dei sub-responsabili impiegati e a darvi una possibilità equa di obiettare prima che un nuovo fornitore inizi a trattare i vostri dati. La tabella sottostante è l'elenco canonico. Lo aggiorniamo a ogni aggiunta, sostituzione o rimozione e notifichiamo agli iscritti alla lista almeno 14 giorni prima della messa in servizio.

Fornitore	Finalità	Categorie di dati	Regione di infrastruttura	Meccanismo di trasferimento	DPA
Anthropic, PBC	Generazione di testo tramite IA per spiegazioni semplici, riassunti e raccomandazioni tradotte nei vostri report.	Dati tecnici della violazione e un breve estratto HTML dell'elemento. Non vengono inviati nome cliente, contatti o dati dell'organizzazione.	United States (us-west-2)	Clausole Contrattuali Standard UE (Modulo 2/3, 2021) e Data Privacy Framework UE-USA quando il fornitore è auto-certificato. Misure aggiuntive: cifratura in transito (TLS 1.3) e a riposo (AES-256), logging degli accessi e impegni contrattuali di residenza.	Vedi DPA ↗
Amazon Web Services EMEA SARL (S3)	Archiviazione oggetti per report PDF, artefatti di scansione e prove caricate dai clienti.	Report PDF, JSON di output, file di prova caricati e artefatti di verifica.	eu-central-1 (Frankfurt) · us-east-1 (Virginia)	Clausole Contrattuali Standard UE (Modulo 2/3, 2021) e Data Privacy Framework UE-USA quando il fornitore è auto-certificato. Misure aggiuntive: cifratura in transito (TLS 1.3) e a riposo (AES-256), logging degli accessi e impegni contrattuali di residenza.	Vedi DPA ↗
Clerk, Inc.	Autenticazione, gestione delle sessioni, MFA e interfaccia profilo utente.	Nome, e-mail, hash password, fattori MFA, IP di accesso, fingerprint dispositivo.	United States (multi-region) · EU residency on request	Clausole Contrattuali Standard UE (Modulo 2/3, 2021) e Data Privacy Framework UE-USA quando il fornitore è auto-certificato. Misure aggiuntive: cifratura in transito (TLS 1.3) e a riposo (AES-256), logging degli accessi e impegni contrattuali di residenza.	Vedi DPA ↗
Resend, Inc.	Invio di e-mail transazionali — verifica, completamento scansione, fatturazione e privacy.	Nome destinatario, e-mail, corpo e intestazioni, telemetria di consegna.	United States · Frankfurt edge processing	Clausole Contrattuali Standard UE (Modulo 2/3, 2021) e Data Privacy Framework UE-USA quando il fornitore è auto-certificato. Misure aggiuntive: cifratura in transito (TLS 1.3) e a riposo (AES-256), logging degli accessi e impegni contrattuali di residenza.	Vedi DPA ↗
Stripe Payments Europe, Ltd.	Elaborazione pagamenti, abbonamenti, fatturazione e documenti fiscali.	Indirizzo di fatturazione, nome, e-mail, IVA/ABN, ultime cifre carta, token, storico.	Ireland (EU) · United States (cross-border for fraud detection)	Clausole Contrattuali Standard UE (Modulo 2/3, 2021) e Data Privacy Framework UE-USA quando il fornitore è auto-certificato. Misure aggiuntive: cifratura in transito (TLS 1.3) e a riposo (AES-256), logging degli accessi e impegni contrattuali di residenza.	Vedi DPA ↗
Supabase, Inc.	Database principale — account, organizzazioni, siti, scansioni, esiti e log di audit.	Tutti i record di clienti, organizzazioni, siti, scansioni ed esiti — cifrati a riposo con KMS.	eu-central-1 (Frankfurt) — primary · read replicas in us-east-1	Clausole Contrattuali Standard UE (Modulo 2/3, 2021) e Data Privacy Framework UE-USA quando il fornitore è auto-certificato. Misure aggiuntive: cifratura in transito (TLS 1.3) e a riposo (AES-256), logging degli accessi e impegni contrattuali di residenza.	Vedi DPA ↗
Upstash, Inc.	Coda di lavoro su Redis (BullMQ) e cache per worker e rate limit.	Payload dei job, contatori, chiavi di idempotenza.	eu-west-1 (Frankfurt) — primary · multi-region replicas	Clausole Contrattuali Standard UE (Modulo 2/3, 2021) e Data Privacy Framework UE-USA quando il fornitore è auto-certificato. Misure aggiuntive: cifratura in transito (TLS 1.3) e a riposo (AES-256), logging degli accessi e impegni contrattuali di residenza.	Vedi DPA ↗
Vercel, Inc.	Hosting sito e dashboard, runtime edge Next.js, log di build e artefatti di deploy.	Log richieste HTTP, artefatti di build, metadati di deploy.	Global edge network · build & log storage in US (iad1)	Clausole Contrattuali Standard UE (Modulo 2/3, 2021) e Data Privacy Framework UE-USA quando il fornitore è auto-certificato. Misure aggiuntive: cifratura in transito (TLS 1.3) e a riposo (AES-256), logging degli accessi e impegni contrattuali di residenza.	Vedi DPA ↗

Anthropic, PBC

FinalitàGenerazione di testo tramite IA per spiegazioni semplici, riassunti e raccomandazioni tradotte nei vostri report.

Categorie di datiDati tecnici della violazione e un breve estratto HTML dell'elemento. Non vengono inviati nome cliente, contatti o dati dell'organizzazione.

Regione di infrastrutturaUnited States (us-west-2)

Meccanismo di trasferimentoClausole Contrattuali Standard UE (Modulo 2/3, 2021) e Data Privacy Framework UE-USA quando il fornitore è auto-certificato. Misure aggiuntive: cifratura in transito (TLS 1.3) e a riposo (AES-256), logging degli accessi e impegni contrattuali di residenza.

Vedi DPA ↗

Amazon Web Services EMEA SARL (S3)

FinalitàArchiviazione oggetti per report PDF, artefatti di scansione e prove caricate dai clienti.

Categorie di datiReport PDF, JSON di output, file di prova caricati e artefatti di verifica.

Regione di infrastrutturaeu-central-1 (Frankfurt) · us-east-1 (Virginia)

Vedi DPA ↗

Clerk, Inc.

FinalitàAutenticazione, gestione delle sessioni, MFA e interfaccia profilo utente.

Categorie di datiNome, e-mail, hash password, fattori MFA, IP di accesso, fingerprint dispositivo.

Regione di infrastrutturaUnited States (multi-region) · EU residency on request

Vedi DPA ↗

Resend, Inc.

FinalitàInvio di e-mail transazionali — verifica, completamento scansione, fatturazione e privacy.

Categorie di datiNome destinatario, e-mail, corpo e intestazioni, telemetria di consegna.

Regione di infrastrutturaUnited States · Frankfurt edge processing

Vedi DPA ↗

Stripe Payments Europe, Ltd.

FinalitàElaborazione pagamenti, abbonamenti, fatturazione e documenti fiscali.

Categorie di datiIndirizzo di fatturazione, nome, e-mail, IVA/ABN, ultime cifre carta, token, storico.

Regione di infrastrutturaIreland (EU) · United States (cross-border for fraud detection)

Vedi DPA ↗

Supabase, Inc.

FinalitàDatabase principale — account, organizzazioni, siti, scansioni, esiti e log di audit.

Categorie di datiTutti i record di clienti, organizzazioni, siti, scansioni ed esiti — cifrati a riposo con KMS.

Regione di infrastrutturaeu-central-1 (Frankfurt) — primary · read replicas in us-east-1

Vedi DPA ↗

Upstash, Inc.

FinalitàCoda di lavoro su Redis (BullMQ) e cache per worker e rate limit.

Categorie di datiPayload dei job, contatori, chiavi di idempotenza.

Regione di infrastrutturaeu-west-1 (Frankfurt) — primary · multi-region replicas

Vedi DPA ↗

Vercel, Inc.

FinalitàHosting sito e dashboard, runtime edge Next.js, log di build e artefatti di deploy.

Categorie di datiLog richieste HTTP, artefatti di build, metadati di deploy.

Regione di infrastrutturaGlobal edge network · build & log storage in US (iad1)

Vedi DPA ↗

Come vi notifichiamo le modifiche

Quando aggiungiamo un sub-responsabile: (1) aggiorniamo questa pagina, (2) inviamo e-mail alla lista delle modifiche e (3) attendiamo almeno 14 giorni prima dell'avvio. Se obiettate cercheremo un'alternativa; in mancanza potrete recedere con rimborso pro-quota.

Restate aggiornati

Ricevete avviso quando questo elenco cambia.

Scrivete a privacy@veracly.app per essere aggiunti alla lista. Avviseremo almeno 14 giorni prima dell'avvio.

E-mail a privacy@veracly.app Leggi il DPA →

Le aziende a cui affidiamo i dati dei clienti.

Come vi notifichiamo le modifiche

Ricevete avviso quando questo elenco cambia.

Cookie su veracly.app