Privacy & Security Hub.

La sicurezza dei tuoi dati e delle nostre tecnologie ha la massima priorità per snapAddy.

Utilizziamo approcci "state of the art" per individuare ed escludere in anticipo tutti i possibili scenari di attacco.

Sicurezza IT.

Infrastructure Diagram
Apri diagramma

Nel grafico sopra (stato 10/2025) trovi una panoramica dell’infrastruttura tecnica di snapAddy. La nostra business logic è eseguita esclusivamente in data center situati a Francoforte sul Meno (zona AWS: eu-central-1). I singoli servizi sono protetti all’interno di una VPC privata e distribuiti su tre availability zone tra loro indipendenti, per garantire la massima tolleranza ai guasti.

Flusso dei dati tra i client snapAddy – generale

Data Flow Diagram
Apri diagramma

Il diagramma di flusso dei dati mostra le diverse fonti utilizzate da snapAddy per generare contatti e suggerimenti di contatto e per arricchire dati esistenti, nonché la connessione al tuo sistema CRM, che viene utilizzata per la relativa esportazione.

DataAgents (in precedenza DataQuality)
Data Flow Diagram
Apri diagramma

BusinessCards
Data Flow Diagram
Apri diagramma

VisitReport
Data Flow Diagram
Apri diagramma

Viene inoltre rappresentato il caricamento manuale di dati dell'inventario tramite file Excel o CSV che sono stati esportati dal tuo sistema CRM o da un’altra fonte di dati.

connessioni al CRM

Connections draft
Apri diagramma

Il diagramma di sequenza descrive il flusso tecnico del nostro controllo dei duplicati in DataAgents e nelle due app BusinessCards e VisitReport. In un primo momento, i dati inseriti dall’utente vengono verificati rispetto ai duplicati presenti nel tuo sistema CRM. A tal fine, a seconda del sistema CRM, sono disponibili diverse opzioni di connessione, come ad esempio OAuth. Se viene trovato un duplicato nel tuo CRM, puoi visualizzare le differenze rilevate da snapAddy in una panoramica di merge chiara. Qui puoi selezionare quali dati vuoi adottare e quali vuoi scarta. Su tua richiesta, i dati vengono quindi creati o aggiornati nel tuo CRM.

Per tutti i database che snapAddy utilizza per l’esercizio in produzione dei propri prodotti vengono creati automaticamente backup giornalieri tramite snapshot RDS. Inoltre vengono creati regolarmente snapshot dei transaction log, che ci consentono di ripristinare i nostri database a un momento specifico (pochi minuti prima di un eventuale crash). Gli snapshot RDS e i transaction log vengono memorizzati su Amazon S3 e conservati per 30 giorni.

Per i bucket S3 utilizzati da snapAddy è attivata la versioning degli oggetti. In questo modo, versioni precedenti e oggetti eliminati possono essere ripristinati entro un periodo di 30 giorni.

I dati eliminati vengono inizialmente contrassegnati per la cancellazione e dopo 30 giorni cancellati definitivamente. Entro questo periodo, il nostro team di supporto può ripristinare dati eliminati per errore.

Tutte le richieste ai nostri server e tra i nostri server sono protette da cifratura del trasporto. Tramite HSTS e il reindirizzamento da HTTP a HTTPS viene garantita la cifratura del traffico esterno. I nostri server supportano TLS 1.2 e 1.3 con suite di cifratura robuste. Per le connessioni interne tra i nostri server viene utilizzato mTLS 1.3. Con queste misure otteniamo una valutazione A+ nel SSL Server Test di SSL Labs (https://www.ssllabs.com/ssltest/analyze.html?d=app.snapaddy.com).

Tutti i database e i bucket S3 con dati dei clienti sono cifrati con AES‑256. Le chiavi di cifratura dei database sono cifrate con chiavi master gestite da AWS nel Key Management Service (KMS). Le chiavi master KMS sono memorizzate su moduli di sicurezza hardware (HSM) convalidati secondo FIPS‑140‑2 livello 2 (livello 3 in alcune categorie). Ulteriori dettagli sono disponibili nell’ISMS (capitolo 3.2).

Per l’autenticazione presso snapAddy sono disponibili diverse opzioni. Da un lato puoi utilizzare un login/accesso classico con nome utente e password, che può essere protetto opzionalmente tramite autenticazione a due fattori. Dall’altro, offriamo ai nostri clienti un single sign-on SSO/ autenticazione unica tramite OAuth (OpenID Connect; per i tre fornitori di identità/Identity Provider Microsoft, Google e Apple) o un’integrazione SAML con il fornitore di identità/Identity Provider di tua scelta. Ulteriori informazioni sulla configurazione di SAML sono disponibili qui: How to set up SAML 2.0 Single Sign-On

Gli amministratori di un’organizzazione snapAddy possono assegnare ruoli ai propri utenti, sulla cui base vengono definiti i diritti degli utenti. Questi ruoli limitano l’accesso a determinate Risorse e possono essere assegnati in modo granulare.

Una panoramica dei ruoli disponibili è disponibile qui:

https://help.snapaddy.com/en/articles/2547674-what-do-the-user-roles-reporter-user-template-curator-template-manager-and-admin-mean

Per poter utilizzare la funzionalità dei suggerimenti di contatto via e-mail è necessario stabilire una connessione tra snapAddy e la tua casella di posta. Sono disponibili due tipi di collegamento. Puoi collegare una casella Microsoft tramite un’app OAuth di snapAddy oppure utilizzare un collegamento classico via IMAP. Poiché queste due modalità di connessione differiscono tecnicamente, i rispettivi aspetti di sicurezza vengono analizzati separatamente di seguito.

Collegamento tramite app OAuth di snapAddy

Per collegare la tua casella di posta elettronica Microsoft devi concedere all’applicazione snapAddy Suggestions OAuth i permessi Mail.Read, User.Read e offline_access. Se necessario, questo accesso deve essere approvato dall’amministratore Azure della tua organizzazione. Successivamente, snapAddy registra a tuo nome una subscription tramite la Microsoft Graph API, che informa snapAddy tramite webhook non appena una nuova e-mail arriva nella tua casella di posta per essere elaborata. Quando snapAddy riceve tale notifica, recuperiamo l’e-mail dalla tua casella e ne estraiamo le eventuali firme. Il contenuto dell’e-mail non viene in nessun momento da noi memorizzato o registrato nei log. Tutti i dati sono trattati esclusivamente in modo transitorio e solo nel momento dell’elaborazione (parsing).

Collegamento via IMAP

Il collegamento via IMAP avviene utilizzando i normali dati di accesso alla tua casella IMAP. La password viene cifrata, oltre alla generale cifratura del database, con un secret AES‑CBC a 256 bit con vettore di inizializzazione randomizzato. La chiave di cifratura viene derivata tramite PBKD2 da un secret interno e da un salt randomizzato. La password memorizzata non può più essere recuperata da un utente e viene utilizzata esclusivamente per il collegamento lato server alla tua casella di posta. Se hai la possibilità di utilizzare i cosiddetti app password, che consentono una password separata per le integrazioni di terze parti alla tua casella IMAP, ti raccomandiamo di scegliere questa opzione. Vedi, ad esempio: https://support.google.com/mail/answer/185833?hl=de

In entrambi i casi, il contenuto delle tue e-mail non viene mai memorizzato o registrato nei log. Le e-mail sono presenti in memoria solo per il tempo strettamente necessario all’elaborazione e vengono successivamente scartate dal nostro sistema. Inoltre, è possibile escludere completamente dall’elaborazione tramite questa funzionalità le e-mail provenienti da specifici domini mittenti.

I suggerimenti di contatto basati su e-mail in arrivo vengono inoltre memorizzati esclusivamente nella lista dei contatti di snapAddy scelta dallo stesso utente. Ogni utente può definire autonomamente chi ha accesso a questa lista.

Perché dovrei collegare il mio server di posta in uscita?
Alcune funzionalità di snapAddy VisitReport richiedono, per l’invio di e-mail, un server di posta in uscita che hai configurato tu. Tra queste rientrano l’invio automatico delle cosiddette "notification e-mail" durante l’esportazione dei rapporti di visita dalla VisitReport-app e l’invio di e-mail di follow-up alle controparti di conversazione registrate.

Come posso stabilire il collegamento?

Per l’invio di e-mail tramite snapAddy consigliamo di creare un apposito utente SMTP (di seguito: "utente tecnico"). Questo utente tecnico dovrebbe essere protetto da una password sicura, che non venga utilizzata altrove e che possa quindi essere trattata come un API token.

A seconda delle funzionalità del tuo server e-mail, le autorizzazioni dell’utente tecnico possono inoltre essere notevolmente limitate (ad esempio, nel caso delle notification e-mail, limitandole all’invio di e-mail all’interno del tuo stesso dominio, ecc.).

Il collegamento tramite SMTP è sicuro?

La connessione da snapAddy al tuo server e-mail tramite SMTP è protetta da moderni metodi di cifratura: snapAddy supporta tutti i principali standard per connessioni SMTP cifrate (SSL/TLS e STARTTLS) e anche i dati di accesso SMTP che hai configurato vengono memorizzati in forma cifrata.

Se configuri l’utente SMTP utilizzato come "utente tecnico" come raccomandato sopra, non devi comunicare a snapAddy una password usata in altri contesti e mantieni inoltre il pieno controllo su quali destinatari possono ricevere e-mail. Anche per quanto riguarda eventuali errori che possono verificarsi durante l’invio di e-mail (ad esempio bounce), con il tuo server e-mail hai piena trasparenza.

Sono disponibili anche meccanismi come SPF o DKIM?

Attualmente tali meccanismi non sono offerti, poiché snapAddy non gestisce una propria infrastruttura di server e-mail. Per lo scenario d’uso nel contesto di snapAddy VisitReport, SPF e DKIM non offrirebbero un ulteriore livello di sicurezza, ma al contrario comporterebbero una generale autorizzazione degli indirizzi IP di snapAddy come mittenti legittimi per tutti gli indirizzi e-mail del tuo dominio.

I meccanismi citati concederebbero quindi molti più diritti di quelli effettivamente necessari (in particolare l’invio di e-mail a nome di qualsiasi possibile indirizzo mittente nel tuo dominio). Con l’approccio descritto sopra tramite utente SMTP è invece possibile una configurazione molto più restrittiva e, di conseguenza, potenzialmente più sicura.

Se tuttavia non desideri trasmettere a snapAddy dati di accesso SMTP, ma preferisci utilizzare SPF o DKIM, ti raccomandiamo la configurazione di un server SMTP relay tramite un fornitore esterno.

Per il monitoraggio delle attività di rete nella nostra infrastruttura utilizziamo il sistema di rilevamento delle intrusioni (Intrusion Detection System, IDS) Amazon GuardDuty. GuardDuty analizza audit log, log DNS e di rete e invia notifiche in caso di attività sospette. Maggiori informazioni su GuardDuty sono disponibili qui: https://aws.amazon.com/guardduty/

Inoltre, sottoponiamo regolarmente i nostri sistemi a verifiche esterne tramite i cosiddetti penetration test. A tal fine collaboriamo con il fornitore specializzato CRISEC.

A livello di infrastruttura, solo un gruppo molto ristretto di collaboratori di snapAddy con lunga anzianità di servizio ha pieno accesso agli ambienti di produzione. Tale accesso è regolato tramite il modello di ruoli e diritti di AWS e può essere tracciato in modo trasparente tramite audit log.

A livello di applicazione, un ulteriore gruppo di collaboratori dispone di accesso limitato alle organizzazioni dei clienti per i processi di supporto. Questi account sono inoltre protetti tramite autenticazione a due fattori. Le attività possono essere tracciate tramite audit log.

Protezione dei dati.

Informazioni sui dati che raccogliamo e memorizziamo su di te e sui diritti ad essi collegati sono disponibili qui:

Download Informativa generale sulla protezione dei dati

Con le soluzioni di snapAddy i collaboratori della tua azienda acquisiscono o arricchiscono contatti con dati a cui hanno accesso (biglietto da visita, firma nelle e-mail) o provenienti da fonti pubbliche (siti web, Google Maps, business network) e creano così nuovi contatti oppure li aggiornano o li integrano nel tuo sistema CRM.

Le soluzioni di snapAddy elaborano dati personali di contatto che sarebbero comunque disponibili ai collaboratori della tua azienda anche senza l’uso del software di snapAddy (in forma non strutturata). Questo include dati provenienti sia da fonti accessibili solo alla tua azienda (ad esempio biglietti da visita, caselle di posta) sia da fonti di dati pubbliche (ad esempio pagine con note legali, business network).

Le soluzioni di snapAddy semplificano e in parte automatizzano per i tuoi collaboratori l’acquisizione di contatti da tali fonti. Oltre alle fonti esterne indicate, snapAddy non utilizza alcun database interno di contatti per l’arricchimento o l’integrazione dei contatti.

Fonti di dati:

  • Firme nelle e-mail
  • Siti web e note legali
  • Google Maps
  • Biglietti da visita
  • Business network

La conservazione dei dati e la business logic delle nostre soluzioni software sono realizzate presso Amazon Web Services (AWS) a Francoforte sul Meno, in Germania. Il trattamento dei dati personali avviene quindi esclusivamente nell’UE o in Germania e tali dati non lasciano in alcun momento i confini europei. Con AWS, in qualità di sub-responsabile, abbiamo concluso tutti i contratti necessari ai sensi del GDPR; inoltre, il nostro fornitore di hosting è certificato ISO.

No, i tuoi dati dei clienti e i contatti da te acquisiti non vengono condivisi con altre aziende né utilizzati per creare una banca dati di contatti. Tutti i contatti da te acquisiti sono accessibili esclusivamente alla tua azienda.

Di norma, i contatti acquisiti dai nostri clienti non vengono conservati a lungo termine nelle soluzioni di snapAddy, ma, dopo il trattamento, vengono esportati in un sistema CRM (oppure tramite Excel ecc.). Dopo la cancellazione dei dati nel software snapAddy, questi vengono eliminati in via definitiva dai nostri sistemi nel rispetto dei periodi di conservazione dei backup.

Come amministratore puoi impostare nel software snapAddy che i dati acquisiti vengano eliminati automaticamente da snapAddy dopo l’esportazione.

Oltre all’accordo per l'elaborazione dei dati esistono misure tecniche e organizzative (TOMs), adottate per garantire la sicurezza dei dati. Queste misure corrispondono agli standard richiesti dal GDPR.

Qui puoi scaricare una panoramica delle nostre TOMs:
Download TOMs

Per l’utilizzo dei nostri prodotti ci avvaliamo, in qualità di sub-responsabili, del fornitore di cloud hosting Amazon Web Services (AWS) e, per il riconoscimento del testo (OCR) sui biglietti da visita, del servizio Cloud Vision di Google.

Trovi un elenco completo dei sub-responsabili nel nostro accordo per l'elaborazione dei dati:

Download accordo per l'elaborazione dei dati

L’uso del software di snapAddy non modifica in modo sostanziale le regole e i processi esistenti relativi alla creazione di nuovi contatti o lead nel tuo sistema CRM o in altri sistemi. La creazione finora manuale di un nuovo contatto viene semplicemente parzialmente automatizzata.

I tuoi collaboratori e gli utenti del CRM, nell’utilizzare il software, devono naturalmente rispettare la normativa vigente e, se necessario, ottenere il consenso delle persone i cui dati vengono elaborati.

Se, ad esempio, è in corso un’attività commerciale attuale e i tuoi collaboratori creano, in base a un legittimo interesse, un lead nel sistema CRM, questo passaggio lecito e manuale viene semplicemente automatizzato tramite snapAddy. Se invece i tuoi collaboratori memorizzano in grandi quantità contatti nel CRM senza il consenso della persona interessata, tale comportamento non sarebbe conforme al RGPD/GDPR, indipendentemente dal fatto che venga utilizzato o meno il software di snapAddy.

La generazione di proposte di aggiornamento per i contatti sulla base di fonti a cui hai accesso o di fonti pubbliche (biglietti da visita, firme nelle e-mail, business network) contribuisce inoltre positivamente ai principi del RGPD/GDPR, in particolare al principio dell’esattezza dei dati memorizzati.

Poiché con le soluzioni di snapAddy vengono elaborati dati personali, è necessario concludere con snapAddy un accordo per l'elaborazione dei dati ai sensi dell’art. 28 GDPR.

In questo accordo sono regolati tutti i diritti e gli obblighi rilevanti per te come titolare del trattamento e per noi come responsabile. Ti preghiamo di utilizzare il nostro contratto tipo e di inviarcelo firmato all’indirizzo legal@snapaddy.com.

Download accordo per l'elaborazione dei dati

Accordo individuale per l’elaborazione dei dati

Se hai predisposto propri modelli di contratto per l’elaborazione dei dati e desideri che li esaminiamo e li compiliamo con le informazioni di nostra competenza, ciò è possibile. Tuttavia, dobbiamo addebitare i costi per la verifica legale della tua documentazione.

In caso di trasferimento di dati verso un paese terzo devono essere adottate ampie misure in materia di protezione dei dati, come ad esempio la stipula di clausole contrattuali standard e lo svolgimento di una valutazione d’impatto sul trasferimento dei dati, al fine di verificare se il trattamento dei dati nel paese terzo sia ammissibile. Per quanto riguarda il trattamento dei dati negli USA, esiste la decisione di adeguatezza "Data Privacy Framework", che si applica qualora un fornitore di servizi sia certificato ai sensi di tale quadro. Presso snapAddy utilizziamo il fornitore di hosting Amazon Web Services (AWS) per la memorizzazione dei dati. Tutti i dati sono trattati in un data center a Francoforte sul Meno e quindi non lasciano l’Unione europea.

Le soluzioni di snapAddy non creano una copia dei dati presenti nel tuo sistema CRM, ma si basano su interfacce bidirezionali che richiamano in tempo reale dal tuo sistema CRM le informazioni necessarie per la specifica azione. Ne è un esempio il controllo automatico dei duplicati che, all’avvio, cerca in tempo reale nel tuo CRM eventuali duplicati di un contatto.

Abbiamo incaricato SiDIT GmbH quale responsabile esterno della protezione dei dati. Puoi contattare il responsabile della protezione dei dati ai seguenti recapiti:

SiDIT GmbH
Tel.: +49 931 78 08 770
E-mail: legal@snapaddy.com

Sì, per una parte delle nostre offerte. Il Regolamento UE sull’intelligenza artificiale (AI Act) si applica in linea generale anche a una piccola parte dei prodotti di snapAddy. In base al regolamento KI‑VO, operiamo esclusivamente come gestori (deployer) di servizi di IA di terzi integrati in modo sicuro – non immettiamo sul mercato sistemi di IA propri in qualità di fornitori. Le nostre funzionalità non rientrano inoltre in ambiti vietati o ad alto rischio. Contrassegniamo in modo trasparente le funzionalità di IA, non utilizziamo dati dei clienti per l’addestramento dei modelli e soddisfiamo i requisiti applicabili ai gestori. I dettagli sono contenuti nel nostro documento informativo.

Download AI Act UE & utilizzo di snapAddy

Certificazioni.

Il nostro sistema di gestione delle informazioni IT è certificato ISO 27001 e sottoposto ad audit secondo i criteri STAR Level One, soddisfacendo così i più elevati standard internazionali.

Certificato ISO (PDF)

STAR Level One

Privacy & Security Certificates

Fonti di dati.

Con le soluzioni software di snapAddy è possibile acquisire in modo efficiente dati aziendali da un’ampia varietà di fonti. Qui trovi una panoramica di queste fonti e i dettagli relativi ai dati che possono essere acquisiti in concreto.

Firme nelle e-mail.

Le firme nelle e-mail in arrivo costituiscono una fonte preziosa di contatti, poiché i dati in esse contenuti sono di norma aggiornati e quindi corretti. Con snapAddy LeadResearch puoi acquisire manualmente le firme tramite copia e incolla (copy & paste). Con snapAddy DataAgents puoi fare in modo che i contatti vengano letti automaticamente tramite la funzionalità "Suggerimenti di contatto via e-mail". A tal fine, colleghi le caselle di posta da utilizzare come fonti al nostro sistema tramite IMAP o Office 365 (Graph API).

Siti web e note legali.

Le soluzioni software snapAddy LeadResearch e DataAgents possono cercare automaticamente (“crawling”) pagine di contatto o pagine con note legali, per leggere i dati anagrafici aziendali delle imprese. Puoi avviare la ricerca di tali dati nella dashboard di snapAddy oppure evidenziare manualmente i contatti sulle pagine web e acquisirli tramite una scorciatoia da tastiera (“grabben”).

Google Maps e Google Places.

Utilizziamo e mostriamo informazioni sulle aziende provenienti da Google Maps e Google Places per arricchire i dati anagrafici delle aziende nel tuo sistema CRM.

Biglietti da visita.

Nelle soluzioni snapAddy è possibile acquisire immagini di biglietti da visita, dalle quali, grazie al riconoscimento del testo e al nostro sistema intelligente di riconoscimento dei contatti, leggiamo automaticamente i contatti corretti.

Reti aziendali.

Per il servizio "Social Network Updates" snapAddy utilizza profili pubblicamente accessibili in business network per rilevare cambi di posizione lavorativa o di azienda delle persone. Inoltre, i contatti possono essere acquisiti direttamente in snapAddy LeadResearch sulla base di profili presenti nei business network. In questo caso vengono rilevati esclusivamente la posizione lavorativa, il nome e la ragione sociale dell’azienda.

Data Protection Downloads

Download.

Qui trovi tutti i temi rilevanti in materia di protezione dei dati come download in formato PDF:

Accordo per l'elaborazione dei dati

Misure tecniche e organizzative (TOMs)

Condizioni generali di contratto

EU AI Act

Certificato ISO

al