← Indietro

Informativa sulla privacy

Versione: 2026-06-13

Questa è una traduzione di cortesia. La versione legalmente vincolante è la Versione inglese, che prevale in caso di qualsiasi discrepanza.

1. Titolare del trattamento

Il titolare del trattamento dei dati personali trattati in relazione a Server Manager è Igor Cardines, libero professionista italiano (libero professionista). Contatto: igor.cardines@gmail.com.

In qualità di libero professionista, non abbiamo un Responsabile della Protezione dei Dati (DPO) formalmente designato; si prega di indirizzare tutte le richieste in materia di protezione dei dati all’indirizzo email sopra indicato.

2. Quali dati personali raccogliamo

Per una spiegazione in linguaggio semplice con esempi, consulta l’articolo di assistenza Cosa conserva Server Manager su di te. Le categorie formali di dati che trattiamo sono:

  • Informazioni sull’account: indirizzo email, nome (se fornito tramite Google OAuth), provider di autenticazione utilizzato, data di creazione dell’account, ruolo (utente / admin).
  • Profili server salvati (opt-in): alias del server, host/IP, porta, nome utente e un blocco di credenziali cifrato (AES-256-GCM, chiave derivata da una passphrase nota solo a te tramite scrypt; non vediamo mai la tua passphrase né le credenziali in chiaro archiviate).
  • Dati della sessione attiva: credenziali SSH necessarie per operare la tua sessione, conservate solo nella memoria di processo mentre la sessione è aperta. Mai scritte su disco. Eliminate al termine della sessione.
  • Registri di connessione al server: IP/hostname a cui ti connetti più timestamp di claim. Utilizzati per il controllo di un solo utente attivo per host e per la prevenzione degli abusi del piano gratuito.
  • Dati di fatturazione: ID cliente Stripe, ID opzionale del metodo di pagamento salvato, date di inizio/fine del pass, costo LLM cumulativo sul pass corrente, dettagli dell’indirizzo di fatturazione che fornisci al checkout. Numeri di carta e dati sensibili simili sono gestiti direttamente da Stripe e non raggiungono mai i nostri server.
  • Registri di consenso per acquisto: timestamp, indirizzo IP, user-agent, versione di questi Termini e dell’Informativa sulla privacy accettata a ogni acquisto. Necessari come audit trail per la rinuncia al diritto di recesso ai sensi dell’Art. 16(m).
  • Log di utilizzo: conteggi dei token per chiamata LLM, nome del modello, costo calcolato in EUR, ID sessione. Non includono il contenuto della chat.
  • Registri anti-abuso del piano gratuito: data di concessione e data opzionale di revoca, più elenco degli host VPS osservati nell’ambito della concessione (entro una finestra di 90 giorni).
  • Snapshot dei file (Annulla): testo del comando, percorsi dei file, contenuti dei file (base64) per i file modificati da Faro; acquisiti per la funzione Annulla, eliminati automaticamente 30 giorni dopo l’acquisizione.
  • Dati dell’estensione browser e di monitoraggio (opt-in): se utilizzi l’estensione browser opzionale e abiliti il monitoraggio dei server, un token di associazione del dispositivo (hashato a riposo) e l’ultimo snapshot di stato di ciascun server monitorato (metriche, conteggi degli aggiornamenti in sospeso, raggiungibilità — nessuna credenziale, nessuna chat). Vedi sezione 14.
  • Corrispondenza di supporto: il contenuto dei messaggi che ci invii via email (support@servermanager.dev) o tramite il modulo di contatto, insieme al tuo nome e indirizzo email, conservati come ticket di supporto affinché possiamo tracciare e rispondere alla tua richiesta.
  • Dati di fatturazione / fiscali (solo se richiedi una fattura): quando richiedi una fattura elettronica italiana al checkout, i dettagli fiscali che fornisci — nome o ragione sociale, indirizzo, Paese, codice fiscale e/o partita IVA, e codice destinatario o PEC — sono conservati e utilizzati per emettere e trasmettere la fattura tramite SdI.

3. Dati che NON raccogliamo

  • Password SSH o chiavi private in chiaro (in archiviazione)
  • La tua passphrase di cifratura (per i profili server salvati)
  • Numeri di carta, CVV o date di scadenza (Stripe li gestisce)
  • Cronologia persistente della chat oltre la tua sessione (la chat è progettata per essere solo in RAM)
  • Log di indirizzi IP per analytics o fingerprinting (acquisiti solo per acquisto come audit trail del consenso)
  • Cookie di analytics o marketing (viene utilizzato solo il cookie di sessione di autenticazione)

4. Base giuridica del trattamento

Trattiamo i tuoi dati personali sulla base delle seguenti basi di cui al GDPR Art. 6:

  • Contratto (Art. 6(1)(b)): creazione dell’account, autenticazione, elaborazione dei tuoi acquisti, operatività dell’agente sul tuo server, fatturazione, assistenza clienti.
  • Legittimi interessi (Art. 6(1)(f)): prevenzione degli abusi (anti-frode del piano gratuito, limitazione della frequenza), monitoraggio della sicurezza, stabilità del servizio, analytics di prodotto e miglioramento del servizio (misurazione d’uso pseudonima, senza cookie). Laddove ci basiamo su legittimi interessi, abbiamo valutato che i nostri interessi non prevalgano sui tuoi diritti e libertà.
  • Obbligo legale (Art. 6(1)(c)): conservazione dei registri di fatturazione richiesta dalla normativa fiscale italiana; risposta a richieste legittime delle autorità.
  • Consenso (Art. 6(1)(a)): la rinuncia al diritto di recesso ai sensi dell’Art. 16(m) all’acquisto; salvataggio di una carta per l’auto-refill.

5. Finalità del trattamento

  • Fornitura del servizio — esecuzione dei comandi dell’agente che approvi sul tuo server, rendering dell’interfaccia, gestione delle tue sessioni
  • Fatturazione — elaborazione dei pagamenti tramite Stripe, generazione di ricevute, adempimenti fiscali
  • Prevenzione degli abusi — rilevamento di tentativi di eludere il limite del piano gratuito, sospensione di account in violazione dell’uso accettabile
  • Operatività del servizio — diagnosi degli errori, monitoraggio della sicurezza, pianificazione della capacità (solo metriche aggregate non identificative)
  • Comunicazioni — email di autenticazione, avvisi critici per il servizio (modifiche ai TOS, problemi di sicurezza), risposte alle tue richieste di supporto

Non utilizziamo i tuoi dati per pubblicità, liste email di marketing, profilazione per targeting pubblicitario o vendita a terzi.

6. Responsabili terzi (sub-responsabili)

Ci affidiamo ai seguenti sub-responsabili per gestire Server Manager. Ciascuno ha la propria informativa sulla privacy e tratta solo i dati necessari per la funzione descritta.

  • Stripe (entità UE in Irlanda per clienti europei; trasferimenti verso gli Stati Uniti coperti da Clausole Contrattuali Standard): gestisce tutta l’elaborazione dei pagamenti. Riceve i dati della tua carta, l’indirizzo di fatturazione, i dati della cronologia dei pagamenti. Noi vediamo solo ID opachi.
  • OpenAI (Stati Uniti, SCCs): riceve il contenuto dei tuoi messaggi di chat più il contesto server rilevante (contenuti dei file letti da Faro, output dei comandi) allo scopo di generare le risposte di Faro. Quando ci contatti tramite email di supporto o modulo di contatto, anche il contenuto del tuo messaggio viene inviato a OpenAI per redigere una risposta suggerita, che un membro del nostro team revisiona prima dell’invio. In base ai termini API di OpenAI, i tuoi dati non vengono utilizzati per addestrare i loro modelli; conservano log operativi fino a 30 giorni.
  • Resend (Stati Uniti, SCCs): invia email transazionali (link di autenticazione, risposte di supporto).
  • Aruba (Aruba PEC S.p.A.) (Italia): il nostro intermediario per la fatturazione elettronica. Quando richiedi una fattura, riceve i dati fiscali di tale fattura (il file FatturaPA) per trasmetterla al Sistema di Interscambio (SdI) dell’autorità fiscale italiana e per conservarla come richiesto dalla legge. Utilizzato solo per i clienti che richiedono una fattura.
  • Neon (regione UE, hosting PostgreSQL): conserva il nostro database.
  • Provider di hosting dell’applicazione: esegue i nostri server applicativi. Vede solo i dati necessari per gestire le richieste in transito.
  • PostHog (regione Unione Europea — PostHog Cloud EU): analytics di prodotto e sito web. Riceve eventi di utilizzo pseudonimi collegati al tuo identificativo account — registrazione, connessioni ai server, esecuzioni di ricette ed eventi del funnel di prodotto come il raggiungimento di un limite di utilizzo o l’acquisto di un pass — insieme a dati di visualizzazione pagina senza cookie e metadati standard della richiesta (tipo di browser e dispositivo, e un Paese approssimativo derivato dal tuo indirizzo IP, che viene utilizzato solo per tale lookup e poi eliminato — non conserviamo il tuo indirizzo IP). Lo utilizziamo solo per comprendere come viene utilizzato Server Manager e per migliorarlo. È configurato senza cookie e senza tracciamento cross-site, non è utilizzato per pubblicità e non riceve alcun contenuto di chat, credenziali server o contenuti di file.
  • Sentry (regione Unione Europea): monitoraggio degli errori applicativi. Quando l’app incontra un errore inatteso, Sentry riceve un report diagnostico — il tipo di errore e lo stack trace, la route coinvolta e il tipo di browser/sistema operativo, associati a un identificativo pseudonimo — affinché possiamo rilevare e correggere i guasti. È configurato per non trasmettere dati personali dai contenuti delle richieste e non tratta contenuti di chat o credenziali.

Aggiungiamo o modifichiamo sub-responsabili solo quando necessario per l’operatività del servizio. Le modifiche materiali saranno riflesse in questa informativa con preavviso.

7. Trasferimenti internazionali di dati

Alcuni dei nostri sub-responsabili (Stripe US ops, OpenAI, Resend) si trovano negli Stati Uniti. Tali trasferimenti sono coperti dalle Clausole Contrattuali Standard (SCCs) adottate dalla Commissione Europea, quale meccanismo valido di trasferimento ai sensi del GDPR Chapter V a seguito della sentenza Schrems II.

8. Periodi di conservazione

  • Contenuto della chat: solo in memoria; perso quando la tua sessione termina. Nessuna archiviazione persistente.
  • Record dell’account: per la durata del tuo account. In caso di eliminazione: soft-delete per 30 giorni, quindi eliminazione definitiva.
  • Registri di fatturazione e audit trail del consenso: conservati per 10 anni per conformità alla normativa fiscale italiana (conservazione delle scritture contabili), in forma minimizzata (data della transazione, importo, ID fattura, versione TOS accettata).
  • Log di utilizzo: conservati per 12 mesi per rilevamento degli abusi e reportistica aggregata; eliminati successivamente.
  • Ticket di supporto: il contenuto della tua corrispondenza di supporto e le nostre risposte, conservati fino a 24 mesi per gestire follow-up e problemi ricorrenti, quindi eliminati — o prima su richiesta, salvo quando un messaggio si riferisca a un registro di fatturazione che dobbiamo conservare.
  • Fatture elettroniche (fatture): quando ne hai richiesta una, la fattura e i relativi dati fiscali sono conservati per 10 anni come richiesto dalla legge italiana (conservazione a norma), tramite il nostro provider di fatturazione.
  • Snapshot dei file (Annulla): 30 giorni dall’acquisizione, quindi eliminati automaticamente da un job pianificato.
  • Registri di abuso del piano gratuito (host VPS osservati): 90 giorni dall’osservazione; utilizzati solo per confronti cross-account durante questa finestra.
  • Token di autenticazione e cookie di sessione: durata del cookie di sessione, tipicamente 30 giorni salvo disconnessione anticipata da parte tua.

9. I tuoi diritti GDPR

In qualità di interessato nell’UE, disponi dei diritti descritti nel GDPR Chapter III. Per la versione pratica su “come esercitarli”, consulta l’articolo di assistenza I tuoi diritti GDPR ed esportazione dei dati. In sintesi:

  • Diritto di accesso (Art. 15) — ricevere una copia dei tuoi dati
  • Diritto di rettifica (Art. 16) — correggere dati inesatti
  • Diritto alla cancellazione (Art. 17) — eliminare i tuoi dati; con un clic dalla pagina Account
  • Diritto alla portabilità dei dati (Art. 20) — ricevere i tuoi dati in un formato leggibile da macchina
  • Diritto di opposizione (Art. 21) — al trattamento basato su legittimi interessi
  • Diritto di limitazione (Art. 18) — sospendere il trattamento durante la revisione di una contestazione

Hai inoltre il diritto di proporre reclamo a un’autorità di controllo. L’autorità capofila per Server Manager è il Garante per la protezione dei dati personali italiano; puoi anche contattare la tua autorità nazionale per la protezione dei dati.

Per esercitare uno qualsiasi di questi diritti, invia un’email a igor.cardines@gmail.com dall’indirizzo email registrato sul tuo account. Rispondiamo entro 30 giorni come richiesto dal GDPR.

Utilizziamo solo cookie essenziali — in particolare il cookie di sessione di autenticazione che ti mantiene connesso. Non impostiamo cookie di analytics, cookie pubblicitari, pixel di tracciamento dei social media o tracker di terze parti. Non è richiesto alcun banner cookie secondo le linee guida UE/italiane perché non vengono utilizzati cookie che richiedono consenso.

11. Età minima

Server Manager è un servizio a pagamento che richiede un contratto vincolante e non è rivolto ai minori. Devi avere almeno 18 anni per creare un account. Se veniamo a conoscenza di aver raccolto dati personali da una persona di età inferiore a 18 anni, li elimineremo tempestivamente.

12. Sicurezza

Applichiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati, tra cui:

  • Cifratura TLS per tutti i dati in transito
  • Cifratura a riposo delle credenziali dei server salvati mediante AES-256-GCM con chiavi derivate da passphrase (scrypt KDF)
  • Credenziali SSH conservate solo nella memoria di processo per sessioni attive; mai scritte su archiviazione persistente
  • Dati della carta gestiti da Stripe ai sensi della certificazione PCI DSS Level 1; non li vediamo mai
  • Controllo degli accessi secondo il principio del minimo necessario sui sistemi interni
  • Revisione regolare degli aggiornamenti delle dipendenze per vulnerabilità note

Nessun sistema è perfettamente sicuro. In caso di violazione dei dati personali che possa comportare un rischio per i tuoi diritti e libertà, informeremo il Garante entro 72 ore e gli utenti interessati senza ingiustificato ritardo, come richiesto dal GDPR Art. 33 e 34.

13. Modifiche a questa informativa

Possiamo aggiornare questa informativa al variare delle nostre pratiche. Le modifiche materiali (nuovi sub-responsabili, ampliamento della raccolta dati, nuove finalità) saranno annunciate con almeno 30 giorni di preavviso tramite email e banner in-app. Il timbro di versione in cima a questa pagina riflette la revisione corrente.

14. Estensione browser e monitoraggio dei server (opzionale)

Server Manager offre un’estensione browser opzionale che mostra lo stato dei server che scegli di monitorare, direttamente nella barra degli strumenti del browser. È gratuita e interamente opt-in: se non la installi e non abiliti il monitoraggio, nessuno dei trattamenti descritti in questa sezione avviene.

  • Token di associazione del dispositivo: quando colleghi l’estensione al tuo account, emettiamo un token che collega quel browser al tuo account. È conservato localmente nel browser (archiviazione dell’estensione) e, in forma hashata, sui nostri server. Puoi revocarlo in qualsiasi momento da Account → Estensioni collegate; la revoca impedisce immediatamente all’estensione di vedere i tuoi server.
  • Snapshot di stato del server: per ciascun server su cui abiliti il monitoraggio, conserviamo l’ultimo snapshot di stato — carico, memoria, disco, conteggi degli aggiornamenti in sospeso, informazioni di base sull’host (OS, kernel, uptime) e raggiungibilità HTTP del server. Si tratta degli stessi dati operativi mostrati nell’app. L’estensione li legge tramite HTTPS per visualizzare il badge e il popup della barra degli strumenti, e l’ultimo stato è inoltre conservato nell’archiviazione locale dell’estensione nel browser. Gli snapshot non contengono contenuti di chat né credenziali.
  • Agente di monitoraggio sul server: l’abilitazione del monitoraggio installa sul tuo server un piccolo agente di sola lettura (uno script eseguito da un utente di sistema non privilegiato, senza login, su un timer pianificato). Legge metriche locali e conteggi degli aggiornamenti in sospeso e li invia al tuo account tramite HTTPS circa ogni cinque minuti. Non può apportare modifiche, eseguire comandi o leggere i tuoi file, e non conserva chiavi SSH. La disattivazione del monitoraggio per un server (dall’app) rimuove l’agente.

L’estensione comunica solo con il tuo account Server Manager su servermanager.dev. Non utilizza codice remoto, non imposta tracker pubblicitari o di analytics e non trasmette i tuoi dati ad alcun terzo. I dati degli snapshot sono conservati solo come valore più recente per server (ogni aggiornamento sovrascrive il precedente) e vengono eliminati quando disabiliti il monitoraggio o elimini il tuo account.

Contatto

Richieste in materia di privacy e protezione dei dati: igor.cardines@gmail.com. Corrispondenza postale (se necessaria per richieste formali) su richiesta.