Fiducia e sicurezza — cosa eseguiamo e dove lo eseguiamo

TracePass è una società registrata in Bulgaria che sviluppa una piattaforma di passaporto digitale di prodotto per la conformità UE. Trattiamo i dati di prodotto dei clienti su infrastruttura UE con sub-responsabili del trattamento documentati. Il cliente è il titolare del trattamento; TracePass è il responsabile del trattamento.

Questa pagina è l'unico riferimento procurement per il nostro percorso dei dati, i controlli di sicurezza, le condizioni di responsabilità e la conformità di interoperabilità. Aggiornata a ogni modifica significativa; vedere la data in calce.

I dati di produzione risiedono su infrastruttura UE. Il back-end dell'applicazione gira su Hetzner Falkenstein; il front-end marketing sulle regioni edge UE di Vercel; il database primario è MongoDB self-hosted sullo stesso server Hetzner Falkenstein; l'archiviazione dei file su regioni UE di Cloudflare R2.

L'elaborazione IA per l'estrazione delle categorie e le traduzioni viene invocata solo su richiesta del cliente ed è regolata da un esplicito DPA con Anthropic. Nessun dato del cliente è condiviso con terze parti al di fuori dell'elenco documentato dei sub-responsabili del trattamento.

• Back-end dell'applicazioneAttivo

  Hetzner CX22, Falkenstein, Germania

• Front-end marketingAttivo

  Regioni edge UE di Vercel

• Database primarioAttivo

  MongoDB 7 self-hosted, Hetzner Falkenstein, Germania

• Archiviazione dei fileAttivo

  Cloudflare R2, regioni UE

Ogni soggetto che tratta dati dei clienti per nostro conto è elencato di seguito. Le aggiunte a questo elenco attivano una notifica preventiva ai sensi dell'articolo 28 del GDPR con una finestra ragionevole per l'opposizione. Le rimozioni (la dismissione di un sub-responsabile del trattamento) sono documentate retrospettivamente qui e tramite e-mail ai clienti.

DPA standard del responsabile del trattamento disponibile su richiesta prima che i dati del cliente fluiscano. SLA di notifica delle violazioni: 72 ore dall'incidente confermato.

Scelte infrastrutturali sicure per impostazione predefinita più controlli a livello applicativo. La cifratura a riposo è fornita da ogni sub-responsabile del trattamento di archiviazione; TLS 1.3 è imposto per tutto il traffico dei clienti. L'identità è JWT personalizzato + bcrypt + rotazione monouso dei refresh token; i controlli di accesso sono basati sui ruoli (owner, admin, editor, viewer) con rate limiting su ogni percorso di autenticazione.

• Cifratura a riposoIn corso

  Archiviazione file (Cloudflare R2) — AES-256. Database dell'applicazione — la cifratura del disco a livello di volume sul server del database è in fase di attivazione.

• Cifratura in transitoAttivo

  TLS 1.3

• AutenticazioneAttivo

  JWT (HS256, 15 min) + rotazione dei refresh token (30 g, monouso, max 5 per utente)

• Controllo degli accessi basato sui ruoliAttivo

  owner > admin > editor > viewer; applicazione per route

• Rate limitingAttivo

  Login (5/15min/IP), registrazione (5/min/IP), caricamento file (60/min/azienda), API v1 (per piano)

• Backup del databaseAttivo

  Backup logico automatizzato giornaliero su un bucket UE cifrato (Cloudflare R2), conservazione di 7 giorni, archiviato fuori dal server del database

• Log di controlloAttivo

  Ogni modifica del passaporto è registrata con marca temporale, autore e diff a livello di campo; visibile nella cronologia della dashboard

• Header di sicurezzaAttivo

  X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy

• Certificazione ISO 27001In attesa

  Non ancora ottenuta. I controlli sopra (cifratura, controllo degli accessi, backup, audit logging) sono la sostanza che un ISMS ISO 27001 formalizza, ma nessun certificato è stato emesso e nessun audit è in corso. Perseguiremo la certificazione quando la domanda dei clienti enterprise giustificherà il costo dell'audit; non la dichiareremo prima che esista un certificato. Nel frattempo, richiedeteci la documentazione attuale dei controlli.

• Rapporto SOC 2In attesa

  Non ancora ottenuto, nessuna finestra di audit pianificata. SOC 2 (in particolare Type II) richiede un periodo di osservazione che un'azienda della nostra età e fase non ha ancora svolto. Stessa regola di onestà dell'ISO 27001: non rappresenteremo un rapporto SOC 2 finché un auditor non ne avrà emesso uno. I clienti UE sono in genere serviti per primi dalla nostra residenza dei dati nell'UE + i termini di responsabile del trattamento GDPR, documentati sopra e nel DPA.

Il massimale di responsabilità standard è di 12× le tariffe mensili. I clienti Enterprise possono negoziare un'estensione a 24× per profili di esposizione più elevati. Le esclusioni di manleva coprono le rivendicazioni di proprietà intellettuale di terzi e le sanzioni normative riconducibili a un errore del fornitore.

L'assicurazione Errors & Omissions (E&O) è in corso — preventivo in lavorazione, conclusione attesa a breve. Il massimale sarà pubblicato qui una volta che la polizza sarà vincolante.

• Massimale di responsabilità standardAttivo

  12× le tariffe mensili

• Estensione EnterpriseAttivo

  24× le tariffe mensili, disponibile sui contratti Enterprise

• Assicurazione E&OIn corso

  Preventivo in lavorazione; il massimale sarà pubblicato qui una volta che la polizza sarà vincolante

• Contratto quadro di serviziAttivo

  Le clausole sostanziali si trovano nei nostri Termini di servizio pubblici (§10 disdetta + 30 giorni di proroga del resolver, §11 SLA suddiviso, §12 cliente-come-titolare, §13 deposito del codice sorgente su Enterprise). I clienti Enterprise possono negoziare addenda (SLA personalizzato, estensione di responsabilità, trigger di deposito) in aggiunta ai Termini di servizio standard.

Conformità rispetto agli standard di interoperabilità pubblicati — cosa è testato, cosa è documentato, cosa è ancora in attesa. "Seguiamo la specifica" non è una dichiarazione di conformità; i risultati dei test pubblicati e l'allineamento documentato a livello di campo lo sono.

• Conformità GS1 Digital LinkAttivo

  Comportamento funzionale del resolver auto-testato rispetto alla specifica GS1 Digital Link v2.0 — endpoint di descrizione del servizio, risoluzione del percorso GTIN/seriale, content negotiation JSON-LD, output linkset+json, header Vary, 404 su URL sconosciute. Lo script riproducibile è disponibile in scripts/gs1-conformance-check.ts (incluso nel repo della piattaforma); clienti e auditor possono eseguirlo contro qualsiasi resolver pubblicato da TracePass. Il test esterno rispetto alla suite di riferimento ospitata da GS1 è pianificato separatamente.

• Schema.org JSON-LDAttivo

  Emesso su ogni pagina pubblica (home, categoria, risorse, matrici normative, guida all'acquisto). Validato rispetto al Google Rich Results Test.

• Content negotiation JSON-LD sulle URL dei passaportiAttivo

  Le URL pubbliche dei passaporti restituiscono application/ld+json quando l'header Accept della richiesta lo preferisce esplicitamente; altrimenti HTML. Stesso contratto di URL — nessun endpoint separato da scoprire. Implementato tramite middleware Next.js che riscrive verso un route handler JSON-LD che serve lo stesso payload del tag <script> incorporato.

• Allineamento del vocabolario CIRPASSAttivo

  Allineamento a livello di campo per ogni modello documentato; le lacune sono indicate esplicitamente con la versione di destinazione.

• Supporto strutturale GS1 GLN — operatori economici con ruoli multipliAttivo

  Ogni passaporto contiene un blocco strutturale parties indicizzato per ruolo di operatore economico (fabbricante / importatore / mandatario / distributore / riciclatore / organizzazione di responsabilità del produttore). I GLN sono identificatori GS1 validati a 13 cifre (cifra di controllo mod-10) ed emessi sia in gs1:partyGLN (GS1 Web Vocabulary) sia in schema:identifier propertyID GS1:GLN (mirror schema.org). L'applicazione dei ruoli obbligatori per categoria corrisponde a ciascun regolamento (Regolamento batterie 2023/1542 articoli 47–50: fabbricante + riciclatore + PRO; PPWR 2025/40 articolo 11: fabbricante + PRO; Direttiva sulla sicurezza dei giocattoli articolo 4: fabbricante + importatore per i prodotti extra-UE). I fornitori senza GLN possono invece registrare un legacyOperatorId (partita IVA / EORI / codice fiscale nazionale) — ogni parte resta tracciabile. Disponibile tramite l'editor della dashboard, l'API v1 (PATCH /api/v1/passports/:id/parties/:role) e l'importazione massiva CSV (colonne a chiave puntata).

• Specifica pubblica OpenAPI 3.1Attivo

  Specifica OpenAPI 3.1 scritta a mano che copre ogni endpoint REST v1 (23 percorsi, 27 operazioni tra passaporti, prodotti, esportazioni, EPCIS). Pubblicata su /openapi.yaml con un mirror JSON su /openapi.json — nessun NDA, nessun muro di registrazione. Si importa direttamente in Postman / Insomnia / Bruno o in qualsiasi client target openapi-generator. Esempi pratici in curl / TypeScript / Python si trovano accanto a ogni endpoint su /docs. La copertura di lettura e scrittura è simmetrica con la dashboard — tutto ciò che si può fare nell'interfaccia si può pilotare tramite l'API.

• GS1 EPCIS 2.0 — esportazione, acquisizione e interrogazione di eventi della catena di approvvigionamentoAttivo

  GS1 EPCIS 2.0 completo — esportazione, acquisizione e interrogazione — incluso in ogni piano a pagamento. Gli eventi della catena di approvvigionamento, di assistenza e di proprietà di qualsiasi passaporto vengono serializzati come documento JSON-LD valido secondo lo standard EPCIS 2.0, pubblicizzato sul resolver GS1 Digital Link come linkType gs1:traceability, così un sistema compatibile con EPCIS che scansiona il QR scopre la cronologia degli eventi senza conoscere in anticipo l'URL. Le fasi di produzione che il Core Business Vocabulary di GS1 non definisce (fusione, laminazione, finitura) usano URL di vocabolario di proprietà di TracePass sotto tracepass.eu/voc/cbv/bizstep/ — il modello di estensione industriale sancito da GS1 — ciascuna delle quali si risolve nella propria definizione pubblicata. L'acquisizione accetta eventi inviati da fornitori e sistemi ERP, e l'agente IA redige eventi dalle schede tecniche per la revisione umana; l'interrogazione viene inoltrata a un nodo OpenEPCIS self-hosted che implementa l'interfaccia EPCIS 2.0 Query in modo completo. Il misuratore di volume scala per piano (1.000 eventi/mese su Basic fino a 10.000.000 su Pro, illimitato su Enterprise; Free riceve 10 come barriera di valutazione). Un self-test riproducibile è disponibile in scripts/epcis-conformance-check.ts. EPCIS è il veicolo di tracciabilità raccomandato per l'articolo 5(5)(o) dell'ESPR.

Adesioni e affiliazioni a ecosistemi che collocano TracePass nell'infrastruttura UE per i passaporti digitali di prodotto. Oggi non esiste un registro ufficiale UE dei "fornitori DPP approvati" — il Registro centrale UE dei DPP è previsto in attivazione il 19 luglio 2026 in concomitanza con la piena applicazione dell'ESPR, e la specifica tecnica per l'integrazione dei fornitori è ancora in pubblicazione a tranches. Fino ad allora, i segnali legittimi sono: GS1 (l'autorità di assegnazione degli identificatori), CIRPASS / CIRPASS-2 (l'azione di coordinamento finanziata dall'UE che prepara il registro) e il progetto Battery Pass (il consorzio industriale per la scadenza del 2027 sul passaporto della batteria).

Elenchiamo ogni affiliazione in modo onesto: attivo significa che l'adesione / partecipazione è attiva e verificabile; in corso significa che abbiamo presentato richiesta e stiamo attendendo conferma; in attesa significa che intendiamo presentare richiesta ma non abbiamo ancora iniziato. Gli acquirenti procurement dovrebbero trattare "in attesa" allo stesso modo di qualsiasi altra dichiarazione di roadmap — un'intenzione dichiarata, non un risultato consegnato.

• GS1 Bulgaria — organizzazione membro nazionale GS1In attesa

  GS1 è l'organizzazione mondiale di standardizzazione che assegna i GTIN e mantiene la forma URI di GS1 Digital Link che ogni codice QR di passaporto TracePass utilizza (/p/01/<GTIN>/21/<seriale>). Diventare membro GS1 Italia / Bulgaria è il percorso legittimo per assegnare intervalli GTIN reali ai prodotti dei nostri clienti su larga scala, e garantisce accesso reciproco a GS1 Germania / GS1 Italia, ecc. quando si opera in tutta l'UE. Domanda in attesa.

• CIRPASS-2 — Azione di coordinamento e supporto finanziata dall'UEIn corso

  CIRPASS-2 è l'azione di coordinamento finanziata dal programma Horizon UE che prepara l'infrastruttura tecnica, il quadro di governance e le implementazioni pilota per l'ecosistema UE dei DPP. TracePass ha presentato richiesta il 16/05/2026 sia per la Stakeholder Community (newsletter, eventi, consultazioni pubbliche) sia per la Community of Practice (CoP) — il livello di partecipazione attiva riservato ai fornitori di servizi DPP e ai vendor software PLM/ERP/PIM. L'adesione alla CoP richiede ~5-10 giornate-persona/anno, un MoU firmato con il coordinatore del progetto (CEA) e un contributo al prossimo DPP Stakeholder Exchange Forum. Soggetto alla procedura di valutazione CIRPASS-2.

• Forum di scambio tra portatori d'interesse DPP di CIRPASS-2 — circular-data.orgAttivo

  circular-data.org è il Forum di scambio tra portatori d'interesse DPP di CIRPASS-2 — la piattaforma di matchmaking e scambio di conoscenze (ospitata da Ekodenge su Clusterly) che collega fornitori di soluzioni DPP, fabbricanti ed enti di normazione in tutta l'UE. TracePass ha registrato il proprio profilo organizzativo a maggio 2026 come fornitore PMI di DPP-as-a-Service; il profilo è stato esaminato, approvato ed è pubblicamente elencato. Si tratta di una registrazione distinta dall'adesione alla Stakeholder Community e alla Community of Practice di CIRPASS-2, valutate separatamente.

• Progetto Battery Pass — consorzio industrialeIn attesa

  Consorzio industriale tedesco finanziato dal BMWK che pubblica linee guida sui contenuti e architettura di riferimento per il passaporto della batteria UE (obbligatorio da febbraio 2027 ai sensi del Regolamento (UE) 2023/1542). La rete dei membri comprende VDMA, Audi, BASF, Circulor e altri. Rilevante principalmente quando il nostro mix di clienti include produttori di batterie EV / industriali / LMT. Coinvolgimento in attesa — contatteremo quando la pipeline di clienti nella categoria batterie giustificherà le quote di adesione.

• Integrazione con il Registro centrale UE dei DPPIn attesa

  Il Registro centrale UE dei DPP è previsto in attivazione il 19 luglio 2026 in concomitanza con la piena applicazione dell'ESPR (Regolamento (UE) 2024/1781). Conterrà almeno un elenco degli identificatori unici dei prodotti e degli URL dei supporti di dati per consentire la risoluzione transfrontaliera dei passaporti. TracePass si integrerà come fornitore di servizi per conto dei clienti — scrivendo UPI e URL del resolver nel registro. La specifica tecnica dell'API non è ancora stata pubblicata; il lavoro di integrazione dipende da tale pubblicazione. Seguire la pagina DPP della Commissione Europea per la pubblicazione della specifica.