HermesAI
PrezziPartnerChi siamoContatti
Sicurezza

Quello che abbiamo. Non quello che speriamo di avere.

Accesso per ruolo. Revisione dei temi sensibili integrata nella pipeline, non aggiunta a posteriori. Architettura ancorata alle fonti e cross-checking multi-fonte che impediscono all'AI di scrivere ciò che non può supportare. Subprocessors elencati qui per categoria e nominati per esteso nel DPA. Ciò che non rivendichiamo ancora, non lo rivendichiamo.

Infrastruttura gestita

I livelli critici per la sicurezza funzionano su servizi gestiti anziché su infrastruttura personalizzata. Ogni provider è responsabile del proprio livello. Nomi specifici dei provider e termini del DPA sono disponibili prima del contratto.

Autenticazione

Autenticazione e gestione delle sessioni

Autenticazione, sessioni e appartenenza all'organizzazione sono delegate a un provider di identità gestito. HermesAI non memorizza né gestisce credenziali di sessione grezze.

Fatturazione

Fatturazione e ciclo di vita dell'abbonamento

Elaborazione dei pagamenti, stato dell'abbonamento e flussi di checkout passano attraverso un provider di fatturazione gestito. I dati delle carte non transitano mai sui server di HermesAI.

Database

Database primario

Stato dell'applicazione, dati dei tenant e record editoriali risiedono in un cluster Postgres gestito. Backup, failover e crittografia a riposo sono gestiti dal provider.

Cache e rate limiting

Rate limiting e stato transitorio

Stato in memoria per rate limiting, lock di elaborazione dei feed e flag di workflow di breve durata. Nessun dato sensibile persistente memorizzato qui.

Compute e hosting

Compute e hosting

Il compute dell'applicazione gira su una piattaforma di hosting gestita. Isolamento di rete, mitigazione DDoS e terminazione TLS sono impostazioni predefinite della piattaforma.

CDN ed edge

CDN e rete edge

Asset statici e routing edge instradati attraverso una CDN gestita. Regole WAF e mitigazione bot applicate al livello di rete.

Controlli di prodotto

Controlli implementati a livello applicativo, visibili nel codice attuale.

01

Aree del prodotto regolate da ruolo

Le rotte admin e le rotte della newsroom del tenant sono separate a livello di middleware. I ruoli operativi lato piattaforma sono distinti dai ruoli editoriali lato tenant. L'accesso è applicato server-side a ogni richiesta.

02

Verifica della firma dei webhook

Gli eventi webhook di billing e identità sono verificati rispetto alle firme HMAC dei rispettivi provider prima dell'elaborazione. I payload rigiocati o manomessi vengono rifiutati. Le chiavi di idempotenza impediscono l'elaborazione duplicata dello stesso evento.

03

Hashing delle API key

Le chiavi di integrazione del tenant sono memorizzate come valori hashati con prefissi mascherati troncati per la visualizzazione. La chiave completa viene mostrata una sola volta al momento della creazione e non può essere recuperata dalla piattaforma successivamente.

04

Controlli di rete sui target dei webhook

Gli endpoint webhook in uscita inviati dai tenant sono validati rispetto a intervalli di indirizzi riservati e non pubblici prima dell'uso. Questo blocca gli attacchi SSRF diretti verso indirizzi di rete interni tramite il sistema di consegna dei webhook.

05

Registri operativi

I payload dei webhook di billing e identità sono archiviati per audit e indagini sugli incidenti. Questi registri supportano la risoluzione dei problemi senza affidarsi esclusivamente ai log dei provider esterni.

Ciò che non dichiariamo

Le pagine sulla sicurezza spesso esagerano. Queste sono le cose che questa pagina non afferma.

01

Nessuna certificazione salvo se pubblicata.

HermesAI non detiene certificazioni SOC 2, ISO 27001 o equivalenti in questa fase. Qualora venissero ottenute, saranno pubblicate esplicitamente. Una pagina sulla sicurezza non è una certificazione.

02

Nessun bug bounty pubblico.

Non esiste un programma pubblico di bug bounty attivo. I ricercatori di sicurezza devono segnalare le scoperte al contatto di sicurezza. Le segnalazioni vengono esaminate; le ricompense non sono garantite.

03

Nessuno SLA di uptime salvo contratto.

I piani Free, Plus e Pro non prevedono alcuna garanzia di uptime. I contratti Enterprise possono definire SLA — consultare l'accordo specifico.

04

Nessuna prevenzione degli errori editoriali dell'AI.

Il prodotto genera articoli con AI. Questi possono contenere errori fattuali, attribuzioni errate o copertura incompleta. La revisione editoriale prima della pubblicazione è un presupposto per progettazione, non un passaggio opzionale.

05

Nessun sostituto della revisione dei diritti dell'editore.

I controlli di sicurezza non riguardano licenze sui contenuti, diritti di attribuzione o termini di sindacazione. Sono questioni legali e commerciali separate.

Hai trovato un problema di sicurezza?

Segnala tramite il canale di sicurezza. Includi il percorso interessato, i passaggi di riproduzione e l'impatto stimato. Le segnalazioni vengono esaminate — non esiste un programma pubblico di bounty.

Nessuna casella di sicurezza ancora pubblicata.

Tutti i canali di contatto →
HermesAI

Una newsroom AI creata appositamente. HermesAI monitora in continuo un catalogo di oltre 1.400 fonti, raggruppa la stessa notizia tra le testate, verifica ogni affermazione e scrive articoli localizzati che il tuo redattore userà davvero.

XLinkedIn

Prodotto

  • Prezzi
  • Partner
  • Sicurezza
  • Contatti

Azienda

  • Chi siamo
  • Lavora con noi

Note legali

  • Termini
  • Privacy
  • Cookie
  • GDPR
  • Politica AI

© 2026 HermesAI. Tutti i diritti riservati.

La tua newsroom AI multilingue.