Skip to main content
Sicurezza

Sicurezza in ZillaSoft

Come proteggiamo il tuo account, i tuoi dati e l'infrastruttura che alimenta i nostri prodotti.

Cosa facciamo per proteggerti

Queste pratiche sono in vigore oggi, non pianificate per il futuro.

HTTPS ovunque

Tutto il traffico viene servito esclusivamente tramite HTTPS. Le richieste HTTP vengono rifiutate. HSTS viene applicato con un max-age di un anno per prevenire attacchi di downgrade del protocollo.

Header di sicurezza

Ogni risposta include X-Content-Type-Options, X-Frame-Options (DENY), Referrer-Policy (strict-origin-when-cross-origin) e una rigida Content Security Policy (CSP) applicata a livello CDN. La protezione XSS e gestita dalla CSP con una policy script-src 'self' anziche dall'intestazione obsoleta X-XSS-Protection.

Autenticazione tramite Auth0

Tutta l'autenticazione degli utenti e gestita da Auth0 tramite il flusso PKCE. ZillaSoft non memorizza password. I token di sessione sono conservati in memoria e non vengono mai salvati in localStorage.

Cifratura dei dati a riposo

Tutti i dati degli snippet Snipzilla vengono cifrati localmente con AES-256-GCM. Le chiavi di cifratura sono memorizzate nel portachiavi del sistema operativo del dispositivo e non vengono mai scritte sul disco insieme ai dati. I file degli snippet sono illeggibili a riposo, anche con accesso diretto alla memoria sottostante.

Distribuzione globale via CDN

Il sito web di ZillaSoft e servito tramite AWS CloudFront, una CDN distribuita globalmente. Le risorse statiche vengono servite da posizioni edge vicine a ciascun visitatore senza esporre alcun server di origine alla rete internet pubblica.

Autenticazione e-mail

Tutte le e-mail in uscita da zillasoft.io sono protette dalla firma DKIM e dall'applicazione della policy DMARC. Questo previene lo spoofing e garantisce l'integrita delle e-mail per i messaggi transazionali e di notifica.

Protezione da bot e spam

Tutti i moduli pubblici utilizzano Cloudflare Turnstile per verificare le submissioni umane senza tracciamento invasivo. Uno strato honeypot secondario filtra silenziosamente i bot automatizzati prima che qualsiasi richiesta raggiunga il nostro backend.

Limitazione del traffico API

L'API di Snipzilla applica limiti di traffico per endpoint per prevenire abusi e tentativi di forza bruta. Le richieste che superano le soglie vengono rifiutate prima di raggiungere la logica applicativa.

Gli snippet rimangono sul tuo dispositivo

I dati degli snippet degli utenti del piano Standard sono memorizzati localmente sul tuo computer e non vengono mai trasmessi ai server di ZillaSoft. La sincronizzazione cloud e inclusa nei piani Premium e Enterprise ed e attiva per impostazione predefinita. I dati sincronizzati vengono cifrati end-to-end prima di lasciare il tuo dispositivo.

Eliminazione completa dell'account

Gli utenti possono eliminare permanentemente il proprio account direttamente dalla dashboard in qualsiasi momento. L'eliminazione si propaga a tutti i sistemi: l'abbonamento viene annullato, tutti i dati archiviati vengono rimossi dal nostro database e il record di identita viene eliminato dal nostro provider di autenticazione. Nulla rimane.

Nessun tracciamento di terze parti

Il sito web di ZillaSoft non carica script di analisi, pubblicita o fingerprinting. I font sono auto-ospitati, quindi nessuna richiesta viene inviata a Google Fonts o servizi simili. L'unica risorsa esterna con scope su questo sito e Cloudflare Turnstile, utilizzata esclusivamente nei moduli per la protezione da bot.

Nessun keylogging, mai

Snipzilla richiede un hook globale della tastiera per rilevare il carattere trigger configurato durante la digitazione. Questo meccanismo e lo stesso usato dai keylogger, quindi e opportuno essere diretti: Snipzilla osserva solo il tuo carattere trigger. Nessuna pressione di tasto viene registrata, archiviata, trasmessa o condivisa. L'hook esiste esclusivamente per rilevare i trigger di espansione e nient'altro.

Sincronizzazione cifrata end-to-end

I dati degli snippet sincronizzati nel cloud vengono cifrati end-to-end con AES-256-GCM. La cifratura e la decifratura avvengono interamente sul tuo dispositivo. Il server memorizza solo testo cifrato che non puo leggere. Un codice di recupero viene generato alla prima sincronizzazione; conservalo per ripristinare l'accesso su un nuovo dispositivo. Tutti i dati sono protetti in transito da HTTPS.

Divulgazione responsabile

Hai trovato un problema di sicurezza? Vogliamo saperlo. Segnala le vulnerabilita in privato prima della divulgazione.

Un file security.txt e disponibile all'indirizzo /.well-known/security.txt con i nostri dati di contatto nel formato standard per i ricercatori di sicurezza.

Come segnalare

  1. Invia la tua segnalazione tramite il nostro modulo di contatto sicuro (seleziona "Sicurezza" come oggetto). Le segnalazioni vengono instradate a un canale privato e non sono mai visibili pubblicamente.

  2. Confermeremo la ricezione della tua segnalazione entro 2 giorni lavorativi e ci impegniamo a fornire una correzione o una mitigazione entro 30 giorni, in base alla gravita.

  3. Ti chiediamo di darci il tempo di affrontare il problema prima della divulgazione pubblica. Riconosceremo i ricercatori che seguono pratiche di divulgazione responsabile.

Preferisci l'e-mail? Puoi contattarci direttamente all'indirizzo [email protected]. Entrambi i canali conducono alla stessa casella di posta privata per la sicurezza.

Cosa verra

Audit SOC 2 Tipo II

Pianificato dopo il lancio iniziale del prodotto. Il periodo di audit iniziera una volta che avremo una base di utenti stabile che giustifica il processo e i costi.

Verifiche di sicurezza di terze parti

Valutazioni di sicurezza indipendenti verranno pianificate come parte della roadmap di preparazione enterprise.

Supporto macOS

Snipzilla supporta attualmente Windows e Linux. Il supporto macOS e nella roadmap e sara rilasciato una volta soddisfatti i requisiti di firma del codice e certificazione della piattaforma.

Audit di accessibilita di terze parti

E previsto un audit indipendente secondo WCAG 2.1 Livello AA per verificare formalmente i nostri impegni di accessibilita su tutti i prodotti e le proprieta web di ZillaSoft.

Gestore degli appunti Stashzilla

Un gestore degli appunti desktop incentrato sulla privacy per Windows e Linux, attualmente in sviluppo. Include una sovrapposizione di ricerca globale, tagging dei clip tramite IA e integrazione profonda con Snipzilla.

Modifiche a questa pagina

Potremmo aggiornare le nostre pratiche di sicurezza nel tempo.

Tipo di modifica Avviso
Minore (refusi, chiarimenti, richiesto dalla legge) Aggiornamento data "Ultimo aggiornamento", efficace immediatamente
Sostanziale (nuove pratiche, gestione dati, terze parti) E-mail almeno 14 giorni prima della data di entrata in vigore

Politiche correlate

Informativa sulla privacy

Quali dati raccogliamo, come li utilizziamo e i tuoi diritti.

Termini di servizio

L'accordo che regola l'utilizzo dei prodotti ZillaSoft.

Accordo sul livello di servizio

I nostri impegni di uptime e il processo di risposta agli incidenti.

Ultima revisione: 13 giugno 2026