Come un vendor di sicurezza si guadagna il diritto di esserlo
Un tool di sicurezza di cui non ti fidi non è un tool di sicurezza. Questa pagina è la vista non-filtrata della postura security di Zero Hunt stessa: cosa abbiamo, cosa stiamo costruendo, chi tratta quali dati per nostro conto, e come segnali una vulnerabilità contro di noi.
Certificazioni e assurance
Dove siamo oggi, non dove vogliamo essere. Lo status riflette la realtà attuale — lo aggiorniamo man mano che gli audit procedono.
ISO/IEC 27001:2022
In corsoSistema di gestione della sicurezza delle informazioni in scope. Audit Stage 1 pianificato H2 2026.
SOC 2 Type II
PianificatoIn scope per il 2027 quando la finestra di osservazione 12 mesi diventa fattibile.
Annual third-party pentest on the appliance
AttivoEngagement offensivo esterno sull'immagine dell'appliance Zero Hunt eseguito annualmente da una firma indipendente. Finding rimediati sotto la nostra policy di disclosure.
EU AI Act conformity assessment
AttivoDocumentazione sistema AI ad alto rischio (Allegato III) mantenuta ai sensi degli artt. 9-19. Sistema di gestione del rischio, documentazione tecnica, logging, kill-switch di supervisione umana e monitoraggio post-market tutti in opera. Artefatti di conformità dettagliati disponibili ai clienti sotto NDA.
GDPR compliance (Regulation (EU) 2016/679)
AttivoPrivacy policy, DPO designato, template DPA disponibile su richiesta. Architettura on-premise minimizza i flussi di dati by design.
Subprocessor (solo sito web)
Questi subprocessor gestiscono esclusivamente il sito zerohunt.ai, il contatto sales e analytics. L'appliance Zero Hunt gira interamente on-premise nel perimetro cliente e ha zero subprocessor by design — è architettura, non una claim marketing. Le modifiche sostanziali ai subprocessor del sito sono notificate alla casella che hai usato per contattarci, con almeno 30 giorni di preavviso.
| Subprocessor | Giurisdizione | Safeguard |
|---|---|---|
Cloudflare, Inc. Hosting sito web (zerohunt.ai), CDN, Cloudflare Web Analytics (cookieless). | USA | EU-US Data Privacy Framework + Clausole Contrattuali Tipo. |
Google LLC / Google Ireland Limited Google Analytics 4 con IP anonimizzato, segnali advertising disattivati. Caricato solo dopo opt-in utente via banner cookie. | USA / Ireland | EU-US Data Privacy Framework + Clausole Contrattuali Tipo. Consent Mode v2. |
Self-hosted EU mail infrastructure Corrispondenza email (info@, partners@, security@, dpo@, legal@). | EU (Italy) | Operata nel perimetro del titolare; nessun processor terzo. |
Vulnerability disclosure
Hai trovato un problema di sicurezza su zerohunt.ai, sull'appliance Zero Hunt o su un servizio collegato? Seguiamo un modello di coordinated disclosure:
- Segnala via [email protected] o tramite il file machine-readable /.well-known/security.txt.
- Acknowledged entro 5 giorni lavorativi.
- La finestra di disclosure di default è 90 giorni dall'acknowledgement; la estendiamo su richiesta quando la remediation richiede più tempo.
- Ricercatori che agiscono in buona fede non subiranno azioni legali. Fuori scope: social engineering, attacchi fisici, denial-of-service.
- I reporter acknowledged sono accreditati su questa pagina su richiesta.
Usiamo il nostro engine contro noi stessi
L'immagine dell'appliance Zero Hunt è sottoposta a pentest annuale da una terza parte indipendente. Internamente, lo stesso engine generativo a 10 agenti che vendiamo ai clienti gira di notte contro un deployment rappresentativo dell'appliance più sito web e infrastruttura email. I finding finiscono nello stesso artefact store del Trust Center e nella stessa chain di evidenze firmate ECDSA che usano i deployment cliente. Mangiamo il nostro stesso cibo per cani.
AI Act UE — documentazione sistema ad alto rischio
L'engine offensivo di Zero Hunt è classificato come sistema AI ad alto rischio ai sensi dell'Allegato III del Regolamento UE 2024/1689 (sicurezza infrastrutture critiche). Documentazione tecnica, sistema di gestione del rischio, logging, kill-switch di supervisione umana e monitoraggio post-market sono mantenuti secondo gli artt. 9-19. Gli artefatti di conformità dettagliati sono disponibili ai clienti sotto NDA su richiesta a [email protected].
Come trattiamo i dati
- Telemetria cliente dall'appliance: non lascia mai il perimetro cliente. Zero Hunt non vede, raccoglie o tratta dati dalle appliance in produzione. L'architettura on-prem è il safeguard.
- Dati di contatto sito / sales: conservati in infrastruttura UE; retention minima necessaria; tutti i diritti emergono dalla nostra Privacy Policy.
- Telemetria di update (opzionale): quando i clienti optano per la telemetria anonima di successo update dal sync server, il payload è limitato a release ID + status + timestamp. I deployment air-gap non trasmettono nulla.
Contatti sicurezza e privacy
- Vulnerability disclosure: security(at)zerohunt.ai
- Data Protection Officer (GDPR): dpo(at)zerohunt.ai
- Legale / DPA: legal(at)zerohunt.ai
Ultima review: 18 maggio 2026