I veri controlli che proteggono i tuoi documenti.

Crittografia AES-256 a riposo

I documenti caricati vengono scritti su MinIO con crittografia lato server SSE-S3 per impostazione predefinita. In produzione (Railway) MinIO viene eseguito con KMS abilitato, pertanto SSE-S3 viene sempre applicato. Nelle distribuzioni self-hosted non supportate senza KMS, MinIO potrebbe ricorrere a scritture non crittografate — si tratta di una scelta di distribuzione, non di un downgrade silenzioso in produzione.

backend/app/services/storage_service.py · upload_file()

TLS 1.2+ in transito

Ogni salto di rete — dal browser all'edge di Vercel, dall'edge al backend di Railway, dal backend ai provider LLM — utilizza TLS. HSTS con max-age=63072000 e includeSubDomains è impostato sul dominio apex.

Nessun addestramento sui tuoi dati

DocTalk instrada le chiamate LLM attraverso OpenRouter. I tuoi documenti e le tue domande non vengono mai utilizzati da DocTalk per addestrare modelli. La conservazione dei dati lato provider dipende dal modello upstream (DeepSeek / Mistral) — per garantire l'assenza di conservazione ci affidiamo all'impostazione sulla privacy a livello di account di OpenRouter (controllo operativo, non ancora applicato a livello di codice a livello di richiesta), e possiamo restringere ulteriormente con una lista di provider consentiti su richiesta.

Validazione del file tramite magic byte

I caricamenti vengono convalidati in base ai byte della firma del file, non in base alle estensioni. Un .pdf con all'interno un payload eseguibile viene rifiutato in fase di acquisizione — non è possibile ingannare il parser rinominando un file.

backend/app/services/upload_service.py · magic-byte check

Protezione SSRF nell'acquisizione di URL

Quando inserisci un URL da riassumere, il backend convalida il target rispetto a una lista di host pubblici consentiti e rifiuta qualsiasi richiesta a intervalli IP privati, indirizzi link-local o endpoint di metadati cloud (169.254.169.254, ecc.).

backend/app/core/url_validator.py

Limiti di frequenza sugli endpoint anonimi

Gli endpoint pubblici (visualizzazioni condivise, letture anonime) hanno limiti di frequenza per IP. L'IP reale del client viene inoltrato dall'edge di Vercel al nostro backend con una firma HMAC-SHA256 vincolata a un timestamp per richiesta, in modo che il backend possa autenticare l'origine del proxy e respingere i tentativi di spoofing dell'header. Questo non è una difesa contro un MITM attivo a livello di rete — TLS gestisce quel livello. Gli utenti autenticati ignorano il rate limiting IP.

backend/app/core/rate_limit.py · shared_view_limiter, anon_read_limiter

Esportazione completa dei dati

Da Profilo → Account puoi esportare tutti i tuoi documenti e i dati delle sessioni. L'esportazione include tutto ciò che DocTalk archivia su di te, in formati portabili.

Eliminazione dell'account

Puoi eliminare il tuo account da Profilo → Account. Tutti i documenti, le sessioni, la cronologia chat, gli embedding e i dati di fatturazione vengono rimossi; l'account non è recuperabile dopo l'eliminazione.

Isolamento degli utenti

Ogni documento e sessione è limitato all'user_id del suo proprietario a livello di database e di vector store. Non esiste uno spazio dei nomi condiviso, né una raccolta a livello di organizzazione per impostazione predefinita, e l'isolamento viene applicato al momento dell'interrogazione, non solo al momento del rendering.