Le parti noiose, fatte bene.
Residenza UE, isolamento Firecracker per preview, TLS 1.3 + AES-256, opt-out training di default, piena proprietà del codice. I dettagli sotto — scritti perché un questionario di sicurezza abbia risposte senza chiamata.
Com'è costruita VULK, in sei pilastri.
Residenza dei dati
Il database di produzione è PostgreSQL 16 ospitato su AWS RDS in eu-central-1 (Francoforte). Server applicativi in UE. Asset statici distribuiti via CDN. Nessun record cliente lascia l'UE senza un addendum DPA esplicito.
- ▸Database: AWS RDS eu-central-1 (Francoforte)
- ▸Server applicativi: AWS Frankfurt (eu-central-1)
- ▸CDN: Cloudflare global edge (solo HTTPS)
Isolamento di generazione
Ogni preview live gira in microVM Firecracker dedicata, con kernel, rootfs e namespace di rete propri. Un progetto non può leggere o influenzare l'albero dei processi, il filesystem o la rete di un altro. Le VM vengono distrutte a fine sessione — nessuno stato persistente condiviso.
- ▸MicroVM Firecracker per preview
- ▸Namespace di rete + filtro iptables in uscita
- ▸Rootfs effimero, distrutto a fine sessione
Crittografia
TLS 1.3 in transito ovunque. AES-256 a riposo su RDS e R2 / S3. Segreti del cliente in keychain (env var lato applicazione, mai loggati, mai restituiti nelle risposte API). Payload webhook firmati HMAC.
- ▸TLS 1.3 (solo HTTPS)
- ▸AES-256 a riposo (RDS, R2, S3)
- ▸Segreti mai loggati né restituiti
Policy provider AI
Routiamo via OpenRouter verso Anthropic, Google, OpenAI e altri. Preferiamo route con controlli no-training o zero-retention quando disponibili. L'opt-out dei dati di training VULK è incluso su Max e Business; i clienti BYOM possono imporre la policy con le proprie chiavi.
- ▸Zero-retention di default sui modelli routati
- ▸Opt-out training su Max e Business
- ▸BYOK (chiave propria) su Business
Autenticazione
Auth con NextAuth e PKCE. Linking Stripe Customer solo lato server. MFA opzionale, SSO via SAML / OIDC su Business, con consegna di audit log al tuo SIEM.
- ▸NextAuth (PKCE, cookie secure-only)
- ▸MFA opzionale via TOTP
- ▸SSO SAML / OIDC su Business
Proprietà del codice
Ogni progetto è il tuo codice. Export su GitHub o come zip; girarlo sulla tua infra; cancellaci domani e le app che hai costruito continuano a funzionare. Non deteniamo licenza sul tuo output, e non c'è runtime dietro un abbonamento SaaS.
- ▸Export completo del repo (GitHub o zip)
- ▸Nessuna runtime proprietaria
- ▸Licenziabile MIT alle tue condizioni
Come gestiamo la conformità.
Ciò che facciamo oggi — diretto, senza certificazioni che non abbiamo.
- GDPRConformeVULK è il titolare del trattamento. DPA disponibile su richiesta. Sub-processori divulgati e notificati al cambio.
- Accordo di Trattamento DatiDisponibileInviato gratis su Pro e Business. Termini Enterprise rivisti in 5 giorni lavorativi.
- PCI-DSSN/A — Stripe gestisce le carteI dati delle carte non toccano mai i server VULK. Stripe Checkout / Elements gestisce l'intero scope PCI.
Chi altro tocca i tuoi dati.
Siamo obbligati a divulgare ogni servizio esterno che possa trattare i tuoi dati. La notifica in caso di cambiamento è parte del DPA.
| Servizio | Finalità | Regione |
|---|---|---|
| AWS (RDS, S3) | Database + archiviazione | eu-central-1 (Francoforte) |
| Cloudflare | CDN, DNS, storage R2, deploy | Edge globale |
| Stripe | Fatturazione + elaborazione pagamenti | UE + USA (PCI-compliant) |
| Resend | Email transazionale | UE |
| OpenRouter | Routing di modelli AI | Globale (provider routing zero-retention) |
| Sentry | Monitoraggio errori | UE |
Hai trovato una vulnerabilità? Diccelo per primo.
Accogliamo la disclosure responsabile. Email a security@vulk.dev con passi di riproduzione, comportamento atteso vs osservato e una valutazione di severità stile CVSS. Confermiamo entro 24 ore e facciamo triage entro 72. Non richiediamo NDA per parlare con i ricercatori.
I pagamenti bug bounty sono valutati caso per caso in base all'impatto. Credito pubblico (o anonimo, a tua scelta) offerto nel changelog.
Ultima revisione: April 30, 2026