Cosa resta sul tuo dispositivo
Il file o il testo originale non lascia mai il browser. L'hashing SHA-256 è eseguito localmente tramite Web Crypto API. Anche l'estrazione dei metadati (EXIF, C2PA) avviene interamente lato client. Il certificato PDF è generato nel browser.
Cosa viene trasmesso
Viene trasmesso, attraverso un proxy lato server, soltanto l'hash SHA-256 di 64 caratteri (32 byte) verso l'API CertiSigma. Nessun contenuto del file, nessun contenuto testuale, nessun nome file e nessun metadato vengono inviati a nessun server.
Cosa non viene conservato
ExistBefore non crea account utente, non utilizza cookie di tracciamento, non memorizza dati personali e non registra i valori degli hash sul proxy. Gli unici dati conservati sui server CertiSigma sono i record di attestazione: hash, timestamp, firma e metadati del livello di prova.
Confidenzialità dell'hash
SHA-256 è una funzione a senso unico: il contenuto originale non può essere ricostruito a partire dall'hash. Tuttavia, per contenuti brevi o prevedibili (ad esempio una singola parola, un numero di serie), l'hash potrebbe essere reversibile tramite forza bruta. Il certificato PDF include un avviso esplicito su questa limitazione.
Metadati sensibili nel PDF
Quando si attestano file di immagine, ExistBefore può estrarre metadati come coordinate GPS, modello del dispositivo e parametri della fotocamera. Prima di scaricare il PDF è possibile escludere le informazioni GPS e di dispositivo tramite gli appositi controlli. I campi esclusi vengono sostituiti con "[Rimosso dall'utente]" nel certificato.
Sicurezza della chiave API
La chiave API CertiSigma è conservata sul server e iniettata dal proxy. Non viene mai esposta al browser, non è inclusa nei bundle JavaScript e non viene trasmessa nelle richieste lato client. La chiave è limitata da un'allowlist di IP e ha scope limitato alla sola attestazione.
Nessun tracciamento analitico
ExistBefore non utilizza servizi di analytics di terze parti che tracciano i singoli utenti. Niente cookie, niente fingerprinting, niente identificatori pubblicitari.
Aggregati anonimi lato server
Per la pianificazione della capacità e l'individuazione di abusi, il proxy di produzione mantiene localmente i log di accesso standard di nginx. Una volta al giorno uno script in sandbox (scripts/aggregate-stats.mjs, sorgente pubblicato in questo repository) analizza tali log e produce un singolo file JSON con contatori giornalieri: richieste totali, numero di attestazioni, visualizzazioni di pagina, famiglie di browser (Chrome / Firefox / Safari / Edge / Bot / Other) e principali host referer.
L'aggregatore rimuove ogni campo che potrebbe identificare un singolo visitatore, per progettazione e con verifica automatica nei test:
- Nessun indirizzo IPv4 o IPv6 compare nell'output;
- Nessuna stringa User-Agent grezza viene conservata (solo il nome di famiglia da allowlist chiusa);
- Nessuna query string del referer viene conservata (solo l'hostname spoglio);
- I timestamp sono aggregati a granularità giornaliera (
YYYY-MM-DD); - I percorsi delle richieste passano attraverso una allowlist chiusa; tutto ciò che è esterno collassa su
other.
I log di accesso grezzi restano localmente sul server con la rotazione standard di nginx e non vengono mai trasmessi fuori dal server. Il JSON anonimizzato è l'unico artefatto conservato oltre la rotazione dei log.
Monitoraggio operativo (Prometheus / Loki / Grafana)
Sullo stesso server è attivo uno stack di monitoraggio opt-in che allerta l'operatore in caso di disservizi, scadenza dei certificati e picchi di abuso. Non cambia ciò che registriamo; cambia ciò che conserviamo e dove lo guardiamo. Lo stack è composto da software open-source gratuito self-hosted e non invia dati fuori dal server, eccetto le notifiche email in uscita verso l'operatore.
- Prometheus conserva contatori numerici (frequenza richieste, frequenza errori, giorni alla scadenza TLS) per 30 giorni. Nessuna riga di log, nessun IP.
- Loki conserva i log applicativi del proxy e dei container dello stack per 30 giorni, dopo che lo stesso filtro di anonimizzazione descritto sopra ha rimosso indirizzi IPv4 / IPv6, stringhe User-Agent e query string dei referer.
- Grafana è l'interfaccia delle dashboard, accessibile soltanto all'operatore tramite canale autenticato. Non è mai esposta alla rete pubblica.
- Uptime Kuma esegue una sonda HTTP verso
/healthzogni 30 secondi. La risposta della sonda è la stringa costanteoke non contiene alcuna informazione per richiesta.
Per piena trasparenza, l'intera configurazione del monitoraggio (quali righe vengono scartate, quali campi vengono redatti, quanto a lungo vengono conservati i dati) è pubblicata in questo repository sotto monitoring/ e docs/features/observability.md. Le policy di alerting e gli SLO operativi sono pubblici in docs/SLO.md e docs/RUNBOOK.md.
Segnalazione di sicurezza
Se ritieni di aver individuato un problema di sicurezza che riguarda ExistBefore, segui la procedura pubblicata in /.well-known/security.txt (RFC 9116). Indica l'indirizzo di contatto, la nostra chiave di cifratura preferita, la politica di disclosure e la finestra di risposta a cui ci impegniamo.