La sicurezza non è una funzionalità: è il prodotto. Ogni documento, firma e traccia di audit è progettato per superare gli auditor europei e i processi di approvvigionamento enterprise.
Firma documenti con la classe di firma a maggior effetto legale ai sensi del Regolamento UE 910/2014, equivalente a una firma autografa in tutti i 27 Stati membri. Emessa da Prestatori di Servizi Fiduciari Qualificati accreditati.
Controlli mappati sui Trust Services Criteria AICPA per sicurezza, disponibilità e riservatezza. Roadmap di audit indipendente in corso; le evidenze di controllo sono disponibili su richiesta sotto NDA.
Residenza dei dati all'interno dell'UE, accordi di responsabile del trattamento (DPA art. 28) disponibili, gestione granulare delle richieste DSAR e ritenzione log a 12 mesi di default. Il diritto all'oblio è implementato end-to-end.
I documenti sono cifrati con AES-256-GCM autenticato prima di raggiungere l'object storage. Le connessioni usano TLS 1.3 con HSTS, perfect forward secrecy e una suite di cifrari moderna e rigorosa.
Ogni organizzazione è partizionata a livello di riga con separazione crittografica delle chiavi. Le query cross-tenant sono impossibili per costruzione, sancite dal database, dall'API e dal layer di key management.
Ogni azione — upload, firma, download, cambi di ruolo — è registrata con hash a prova di manomissione ed esposta tramite una traccia esportabile per autorità e compliance interna.
Le chiavi di cifratura sono envelope-wrapped, ruotate automaticamente e mai co-localizzate con i dati che proteggono. Le chiavi gestite dal cliente (BYOK) sono disponibili sui piani Enterprise.
Controllo accessi basato sui ruoli con default a privilegio minimo, autenticazione a due fattori obbligatoria per gli admin, SSO/SAML su Enterprise e revoca sessioni totale da un'unica dashboard.
Allineiamo Mercury Evidentia ai framework con cui i nostri clienti regolamentati vengono auditati.