Per il Suo team IT e di sicurezza

Sicurezza e dati

Ultimo aggiornamento: 13 luglio 2026

In sintesi

Transept è uno spazio di lavoro per la traduzione creato per tradurre in modo sicuro. Quando invia un testo, lo trasmettiamo a un provider IA per la traduzione, salviamo il risultato nel nostro database e Le permettiamo di modificarlo. Questa pagina spiega tutto ciò che riguarda questo processo: dove risiedono i dati, chi può vederli e cosa promettiamo di non farci. Se sta valutando piattaforme per la traduzione automatica sicura e la gestione di progetti di traduzione, questa è la versione in parole semplici; il testo legale completo si trova nell'Informativa sulla privacy.

  • Non usiamo i Suoi contenuti per addestrare modelli IA – né i nostri, né quelli dei nostri provider.
  • I Suoi dati risiedono nell'UE – applicazione e database ospitati in Germania (Hetzner).
  • Crittografati in transito e a riposo – TLS 1.2+ su ogni connessione, AES-256 su disco.
  • Lei è proprietario dei Suoi contenuti – deteniamo una licenza di elaborazione limitata, nessuna pretesa di proprietà. Se elimina il Suo account, i Suoi dati vengono eliminati con esso.
  • DPA disponibile su richiesta – per i clienti aziendali, firmiamo un Accordo sul trattamento dei dati (DPA) che copre gli obblighi dell'Articolo 28 del GDPR.

Cosa facciamo con i Suoi contenuti

Quando invia un testo per la traduzione, accadono tre cose:

  1. Il Suo testo viene salvato nel nostro database come parte del Suo documento.
  2. Per ogni richiesta di traduzione, il blocco pertinente viene inviato a un provider IA tramite una connessione crittografata. Il provider restituisce la traduzione, che noi salviamo come nuova versione del blocco.
  3. Il Suo testo rimane nel Suo documento finché non lo elimina (o elimina il Suo account). Non viene mai utilizzato per addestrare alcun modello IA.

Cosa non facciamo:

  • Non vendiamo i Suoi dati.
  • Non usiamo i Suoi contenuti per addestrare modelli – i nostri o di chiunque altro.
  • Non condividiamo i Suoi contenuti con inserzionisti o piattaforme di marketing di terze parti.
  • Non scansioniamo il Suo Google Drive o spazio di lavoro Notion connesso. Vediamo solo i file che sceglie esplicitamente di importare.
  • Non eseguiamo nostri modelli fondativi né effettuiamo fine-tuning sui dati dei clienti.

Dove risiedono i Suoi dati

I server applicativi e il database di Transept sono eseguiti su Hetzner Online GmbH, un provider di hosting europeo con data center in Germania. Il Suo account, i Suoi documenti, le Sue traduzioni, i Suoi glossari e le Sue guide di stile: tutto risiede su infrastruttura UE.

Quando traduce, il blocco di testo pertinente viene inviato a un provider IA per la durata di tale richiesta. La maggior parte dei provider IA (Anthropic, OpenAI, Google) elabora le richieste negli Stati Uniti in base a impegni contrattuali sulla protezione dei dati e, ove applicabile, al Data Privacy Framework UE-USA o alle Clausole contrattuali tipo (SCC). Una volta restituita la traduzione, nessuna copia dei Suoi contenuti rimane presso il provider oltre alla loro registrazione operativa a breve termine – consulti l'informativa sulla privacy di ciascun provider per i dettagli.

Crittografia

  • In transito – TLS 1.2 o superiore su ogni connessione tra il Suo browser, i nostri server e i provider IA. Solo HTTPS; HTTP viene reindirizzato.
  • A riposo – database e archiviazione su disco crittografati con AES-256.
  • Backup – crittografati a riposo, conservati per 30 giorni, poi sovrascritti.
  • Autenticazione – accesso senza password tramite codici monouso via email di breve durata o Google OAuth. Non memorizziamo password. I token di sessione sono salvati nel local storage del Suo browser.

Chi può accedere ai Suoi dati

L'accesso in produzione è limitato a un piccolo numero di operatori designati (attualmente i due co-fondatori), autenticati tramite chiavi SSH con registrazione di audit. Non si accede ai contenuti dei clienti nelle operazioni di routine.

Per indagare su un problema di traduzione o un'altra richiesta di supporto, chiediamo il permesso e il documento specifico prima di aprirlo. L'accesso agli account utente dal pannello di amministrazione è registrato e verificabile; le azioni sensibili (modifiche di ruolo, impersonificazione, aggiustamenti delle parole) scrivono voci permanenti nel registro di audit.

Provider IA e addestramento

Le richieste di traduzione vengono inviate a uno dei seguenti provider, a seconda del modello che sceglie:

  • Anthropic – modelli della famiglia Claude, tramite API Anthropic. L'API commerciale di Anthropic non si addestra sugli input o output dei clienti.
  • OpenAI – modelli della famiglia GPT, tramite API OpenAI. I dati dell'API OpenAI non vengono utilizzati per addestrare i modelli per impostazione predefinita per i clienti API.
  • Google – modelli della famiglia Gemini, tramite Vertex AI / API Gemini. I dati dei clienti inviati tramite queste API non vengono utilizzati per addestrare i modelli fondativi di Google.
  • Groq – modelli della famiglia Llama e altri modelli ospitati su Groq per un'inferenza rapida. L'API di Groq non si addestra sui dati dei clienti.
  • OpenRouter – gateway per modelli aggiuntivi. I termini del provider sottostante variano in base al modello. Per i carichi di lavoro in cui l'opt-out dall'addestramento è importante, blocchi le Sue traduzioni su un provider noto (Anthropic, OpenAI o Google).

Nessuno di questi provider si addestra sui Suoi contenuti nei livelli API che utilizziamo. Transept stessa non esegue modelli fondativi, non effettua fine-tuning sui dati dei clienti e non conserva prompt o output per alcuno scopo di addestramento.

Sub-responsabili

L'elenco completo delle terze parti che possono elaborare i Suoi dati per nostro conto —nomi, regione, ruolo e data dell'ultima revisione del DPA— si trova all'indirizzo /subprocessors. Riepilogo:

  • Traduzione IA — Anthropic (Stati Uniti), OpenAI (Stati Uniti), Google / Vertex AI (Stati Uniti, regioni UE disponibili), Groq (Stati Uniti), OpenRouter (Stati Uniti). Vedere sopra.
  • Hetzner Online GmbH (Germania, UE) — hosting di applicazioni e database.
  • Stripe, Inc. (Stati Uniti / Irlanda) — fatturazione degli abbonamenti e acquisti una tantum. Non vediamo né memorizziamo mai i numeri completi delle carte; Stripe gestisce tutti i dati delle carte in conformità allo standard PCI DSS Livello 1.
  • PostHog (ospitato in UE) — analisi opzionale del prodotto, caricata solo con il Suo esplicito consenso per l'analisi (opt-in per ogni visitatore).
  • Customer.io (spazio di lavoro UE) — e-mail transazionali (codici di accesso, notifiche dell'account, ricevute di fatturazione) e —solo con il Suo esplicito consenso per il marketing— e-mail di aggiornamento del prodotto.
  • Google Tag Manager + Google Ads (Stati Uniti) — analisi e misurazione delle conversioni degli annunci, caricati solo con il Suo esplicito consenso e gestiti tramite Consent Mode v2.
  • Meta Platforms (Stati Uniti) — Pixel + Conversions API per la misurazione delle conversioni degli annunci, caricati solo con il Suo esplicito consenso per il marketing.

Le modifiche sostanziali a questo elenco (nuovo sub-responsabile del trattamento, cambio di regione) verranno segnalate su questa pagina e all'indirizzo /subprocessors prima che entrino in vigore per le nuove elaborazioni.

Conformità e certificazioni

Transept è un'azienda giovane. Seguiamo gli obblighi sostanziali dei framework indicati di seguito, ma non possediamo ancora certificazioni di terze parti. Siamo trasparenti su ciò che abbiamo e ciò che non abbiamo.

  • GDPR (UE) e GDPR del Regno Unito — sì. Siamo conformi in qualità di titolare del trattamento per i dati dell'account e di utilizzo, e in qualità di responsabile del trattamento per i contenuti che Lei invia. Offriamo la serie completa di diritti dell'interessato, la residenza dei dati nell'UE per i contenuti archiviati, la notifica di violazione entro 72 ore e un DPA su richiesta.
  • CCPA / CPRA (California) e altre leggi sulla privacy degli stati USA — sì. Rispettiamo il diritto di sapere, il diritto alla cancellazione, il diritto alla rettifica e il diritto di opporsi alla vendita o alla condivisione per tutti i residenti negli Stati Uniti (non vendiamo dati personali).
  • SOC 2 — non ancora. Seguiamo pratiche allineate a SOC 2 per il controllo degli accessi, la crittografia, la gestione delle modifiche e la risposta agli incidenti, ma non siamo stati sottoposti a un audit di Tipo 1 o Tipo 2.
  • ISO 27001 — non certificato.
  • HIPAA — Transept non è una piattaforma conforme all'HIPAA. Non invii informazioni sanitarie protette.
  • PCI DSS — i dati di pagamento sono gestiti da Stripe (PCI DSS Livello 1). Non vediamo né memorizziamo mai i dettagli completi delle carte.

Accordo sul trattamento dei dati (DPA)

Per i clienti aziendali, rendiamo disponibile su richiesta un Accordo sul trattamento dei dati (DPA). Copre i nostri obblighi in qualità di responsabile del trattamento ai sensi dell'Articolo 28 del GDPR —incluse le divulgazioni sui sub-responsabili del trattamento, le misure di sicurezza, le richieste degli interessati e la notifica delle violazioni.

Invii un'e-mail a [email protected] con l'e-mail del Suo account e i dettagli dell'azienda per richiedere un DPA.

Risposta agli incidenti

Se veniamo a conoscenza di una violazione dei dati personali che potrebbe comportare un rischio per i Suoi diritti e le Sue libertà, provvederemo a:

  • Notificare gli utenti interessati senza ingiustificato ritardo, ed entro 72 ore qualora la gravità lo richieda ai sensi dell'Art. 33 del GDPR.
  • Notificare l'autorità di controllo competente ove richiesto.
  • Condividere ciò che sappiamo sulla natura della violazione, sui dati interessati, sulle probabili conseguenze e sulle misure che stiamo adottando per contenerla e porvi rimedio.

Per gli incidenti che influiscono sul servizio ma che non costituiscono violazioni dei dati (interruzioni, prestazioni ridotte), gli aggiornamenti vengono pubblicati tramite banner in-app ed e-mail agli utenti attivi.

Divulgazione responsabile

Se individua una vulnerabilità in Transept, invii un'e-mail a [email protected] con i dettagli. Le chiediamo di:

  • Concederci un lasso di tempo ragionevole per indagare e risolvere il problema prima della divulgazione pubblica.
  • Evitare violazioni della privacy, distruzione di dati o interruzioni del servizio durante i test.
  • Effettuare test solo sul Suo account o sugli account a cui ha il permesso di accedere.

Al momento non gestiamo un programma di bug-bounty a pagamento, ma prenderemo in considerazione le segnalazioni attendibili e —se lo desidera— accrediteremo pubblicamente il segnalatore una volta rilasciata una correzione.

Maggiori informazioni

Per il testo legale completo, consulti la nostra Informativa sulla privacy e i Termini di servizio. Per qualsiasi aspetto non trattato in questa sede, invii un'e-mail a [email protected].