Sicurezza

Questa pagina è mantenuta da Cooperiamo Insieme — Cooperativa Sociale ONLUS (P.IVA 02812020598), titolare dell'applicazione E-CARE, e descrive i controlli di sicurezza attivi. Non rappresenta una certificazione indipendente.

Trasporto e archiviazione

TrasportoHTTPS / TLS 1.3 obbligatorio (HSTS preload, 2 anni)

At-restCifratura AES-256 sul database e sullo storage

HostingLovable Cloud (Supabase, data center UE)

CDN/EdgeCloudflare con mitigazione DDoS

Autenticazione e autorizzazione

AccessoEmail/password o Google SSO (OAuth 2.0 con PKCE)

Broker OAuthLovable managed (nessun client secret esposto)

TokenJWT a breve scadenza + refresh rotation

AutorizzazioneRow-Level Security su ogni tabella, ruoli per crew

PrivilegiRuoli su tabella dedicata, mai sull'utente (anti-escalation)

Protezioni browser (PWA)

Content-Security-PolicyAttivo, restringe script/connect/frame

Strict-Transport-Securitymax-age 63072000, includeSubDomains, preload

Referrer-Policystrict-origin-when-cross-origin

X-Content-Type-Optionsnosniff

Permissions-PolicySolo microfono (note vocali) e wake-lock abilitati

Cross-Origin-Opener-Policysame-origin-allow-popups (compatibile OAuth)

Cookie / StorageSolo tecnici, nessun tracciamento o profilazione

Dati e AI

Dati sanitariCategoria speciale ex Art. 9 GDPR — accesso solo crew autorizzata

Note vocaliTrascrizione AI, audio originale scartato dopo elaborazione

Modelli AILovable AI Gateway (Google Gemini, OpenAI), no training su input

Notifiche pushOpt-in esplicito, gestite via Web Push standard

Operatività

Backup databaseContinui (point-in-time recovery)

Audit logEventi di accesso e modifica conservati per audit clinico

Scansioni di sicurezzaEseguite automaticamente sull'app e sulle dipendenze

Vulnerability reportingContatta il Titolare per segnalare vulnerabilità

Protezioni equivalenti a Google Play Protect (Android 15 / 16)

E-CARE è una Progressive Web App servita via HTTPS dal browser e non viene distribuita come APK sul Play Store, quindi non rientra nella scansione di Google Play Protect. Le difese equivalenti — e in molti casi più stringenti — sono fornite dal sistema operativo Android più recente e da Chrome per Android (canale stabile 2026), e sono attive automaticamente sui dispositivi supportati senza alcuna configurazione da parte dell'utente.

Google Safe Browsing (Enhanced)Blocco real-time di phishing, malware e domini compromessi

Site IsolationOgni origine in un processo separato (mitigazione Spectre/UXSS)

Sandbox del Service WorkerEsecuzione isolata, niente accesso a file system o altre origini

Storage partizionato per origineIndexedDB, Cache API e cookie isolati per sito (Android 15+)

Private Compute CoreElaborazione on-device per dettatura e suggerimenti, no upload

Memory Tagging Extension (MTE)Mitigazione errori di memoria su Pixel 8+ e dispositivi ARMv9

Verified Boot + Play IntegrityAttestation dispositivo verificata dal browser per OAuth/WebAuthn

Advanced Protection Mode (Android 16)Compatibile: blocca sideload, forza HTTPS, restringe JIT

Passkey / WebAuthnSupportato per accesso senza password, chiavi in Google Password Manager

Permessi runtime granulariMicrofono e notifiche richiesti solo al primo uso, revocabili

Scoped StorageLa PWA non vede file fuori dalla propria sandbox

HTTPS-First ModeChrome forza HTTPS; HSTS preload elimina downgrade attack

Aggiornamenti automaticiService worker NetworkFirst: nuova versione attiva al refresh, niente APK obsoleti

Per massimizzare la protezione consigliamo di attivare la Navigazione sicura avanzata in Chrome (Impostazioni → Privacy e sicurezza → Navigazione sicura) e, sui dispositivi compatibili, la Modalità di protezione avanzata di Android 16 (Impostazioni → Sicurezza e privacy → Protezione avanzata).

Le protezioni elencate sono fornite dalla piattaforma Android/Chrome e non costituiscono una certificazione indipendente di E-CARE.