Checkify
Fiducia e sicurezza

Sicurezza

Checkify è progettato per ridurre l'esposizione dei dati fin dalla progettazione: i dati personali rimangono sul dispositivo dell'utente e le aziende possono verificare senza diventare custodi dei dati a lungo termine.

Controlli di sicurezza Divulgazione responsabile

Questa pagina descrive il nostro approccio alla sicurezza ad alto livello. I controlli esatti possono variare in base ai requisiti di implementazione e integrazione.

Principi di sicurezza

Ridurre al minimo la custodia dei dati

Default alle prove (ad esempio, "Oltre 18") piuttosto che ai dati personali grezzi. Gli utenti devono acconsentire esplicitamente a qualsiasi condivisione di dati.

Autenticazione forte

Identità legate al dispositivo, protezione biometrica/PIN e token limitati nel tempo riducono il rischio di furto dell'account e di riproduzione.

Difesa approfondita

Controlli a più livelli su archiviazione del dispositivo, crittografia, sicurezza del trasporto, protezione del server e verificabilità.

Chiave controlli

Realizzato per la verifica prioritaria della privacy

1) Archiviazione prioritaria sul dispositivo

  • I dati personali vengono archiviati sul dispositivo dell'utente per impostazione predefinita.
  • Protetto tramite archiviazione sicura del sistema operativo e meccanismi di blocco del dispositivo.
  • Accesso controllato tramite PIN e controlli biometrici, ove supportato.

2) Crittografia e integrità

  • Le richieste e le risposte sono firmate per renderle a prova di manomissione.
  • Le richieste limitate nel tempo riducono il rischio di ripetizione.
  • Gli ID di riferimento consentono la tracciabilità senza esporre dati non necessari.

3) Sicurezza dei trasporti

  • Traffico crittografato in transito (TLS) per app, API e dashboard flussi.
  • Gli ambiti e la durata breve dei token riducono l'esposizione in caso di intercettazione.
  • Convalida rigorosa delle richieste e verifica delle firme lato server.

4) Autenticazione e autorizzazione

  • Sessioni basate su JWT per APIs e accesso al dashboard aziendale.
  • Accesso basato sui ruoli per azioni aziendali (ad esempio, creare richieste, visualizzare registri).
  • Azioni aziendali legate a un'identità utente verificata.

5) Registrazione pronta per il controllo

  • Gli eventi includono timestamp, risultati e riferimenti a richieste/risposte.
  • Progettato per indagini e reporting di conformità.
  • I registri evitano, ove possibile, dati personali non necessari.

6) Indurimento della piattaforma

  • Limitazione della velocità e prevenzione degli abusi sugli endpoint sensibili.
  • Monitoraggio e avvisi per attività insolite.
  • Aggiornamenti regolari delle dipendenze e revisione della sicurezza dei flussi critici.

Informativa selettiva (cosa possono richiedere le aziende)

Le aziende possono richiedere prove specifiche (ad esempio, soglia di età, residenza, idoneità) e facoltativamente richiedere punti dati specifici. Gli utenti visualizzano la richiesta completa e devono acconsentire esplicitamente prima che qualsiasi cosa venga condivisa. Checkify è progettato per supportare flussi di prova per ridurre al minimo l'esposizione dei dati.

Minacce contro le quali progettiamo

Riproduzione e abusi di QR

Le richieste in scadenza, la verifica del server e i payload firmati riducono il valore dei codici copiati/inoltrati.

Acquisizione del conto

L'identità legata al dispositivo, i controlli biometrici/PIN e i token di breve durata aiutano a prevenire l'accesso non autorizzato.

Raccolta eccessiva di dati

I flussi di verifica e il consenso esplicito riducono la probabilità che i dati sensibili vengano archiviati dove non sono necessari.

Domande frequenti sulla sicurezza

Memorizzi i dati personali sui tuoi server?

Checkify è progettato in modo che i dati personali rimangano sul dispositivo dell'utente per impostazione predefinita. Laddove i dati lato server siano richiesti per motivi operativi (ad esempio, eventi di audit, riferimenti a richieste), minimizziamo i dati personali e ci concentriamo su prove e metadati.

Un'azienda può richiedere dettagli utente specifici?

Sì, le aziende possono richiedere prove specifiche e, se necessario, dati specifici. Gli utenti esaminano ogni richiesta e devono acconsentire esplicitamente prima che qualsiasi cosa venga condivisa.

Come si previene la manomissione?

Le richieste e le risposte sono progettate per essere verificabili crittograficamente, limitate nel tempo e convalidate dal destinatario. Ciò rende rilevabili le manomissioni e riduce la rigiocabilità.

Divulgazione responsabile

Se ritieni di aver trovato una vulnerabilità nella sicurezza, segnalala in modo responsabile. Esamineremo tempestivamente le segnalazioni e collaboreremo con te per convalidare e risolvere i problemi.

Come segnalare

  • E-mail: security@checkify.me (consigliato)
  • Includi passaggi per riprodurre, impatto ed eventuali prove di supporto
  • Evita di accedere o modificare i dati utente reali

Cosa succede dopo

  • Noi confermiamo ricevuta e classifichiamo la segnalazione
  • Convalidiamo, correggiamo e implementiamo le mitigazioni appropriate
  • Possiamo coordinare i tempi di divulgazione pubblica, se necessario

Non hai ancora un'e-mail di sicurezza dedicata? Sostituiscilo con un indirizzo monitorato che controlli.