Aspetti legali e conformità

SkinID è soggetto alla Legge federale riveduta sulla protezione dei dati (nLPD). I seguenti documenti descrivono come trattiamo, proteggiamo e gestiamo i Suoi dati.

Registro delle attività di trattamento

Art. 12 nLPD. Un inventario completo di tutti i dati personali trattati da SkinID, inclusi finalità, base giuridica, conservazione e misure di sicurezza.

▶

1.1 Dati di identità dell'utente

Dati: UID dell'impianto NFC (memorizzato come hash SHA-256), nome assegnato dall'utente, avatar
Finalità: identificazione dell'utente e gestione dell'account
Base giuridica: esecuzione del contratto
Destinatari: nessuno
Conservazione: fino all'eliminazione dell'account
Sicurezza: UID memorizzato come hash SHA-256, HTTPS in transito, database cifrato a riposo

1.2 Credenziali salvate

Dati: URL del sito web, nome utente, password cifrata, tipo (Personale / Professionale)
Finalità: gestione delle password e compilazione automatica
Base giuridica: esecuzione del contratto
Destinatari: nessuno. Condivisione tra account SkinID avviata solo dall'utente.
Conservazione: fino all'eliminazione della credenziale o dell'account
Sicurezza: ChaCha20-Poly1305 AEAD con chiavi per-credenziale derivate tramite HKDF-SHA256

1.3 Passkey FIDO2

Dati: ID del relying party, ID della credenziale, chiave privata cifrata, chiave pubblica, nome utente, contatore di accessi
Finalità: autenticazione senza password
Base giuridica: esecuzione del contratto
Destinatari: la chiave pubblica viene condivisa con il relying party durante la registrazione
Conservazione: fino all'eliminazione della passkey o dell'account
Sicurezza: chiavi private cifrate con lo stesso schema legato al chip delle credenziali salvate

1.4 Profilo di autofill

Dati: nome, data di nascita, sesso, e-mail, telefoni, indirizzi, nomi utente, azienda, qualifica professionale
Finalità: compilazione automatica dei moduli di registrazione
Base giuridica: esecuzione del contratto
Destinatari: nessuno. I dati vengono inseriti localmente nei moduli del browser.
Conservazione: fino all'eliminazione del profilo o dell'account
Sicurezza: cifrati come un unico blob AEAD con una chiave per utente

1.5 Registro di attività

Dati: tipo di azione, testo di dettaglio, marca temporale
Finalità: monitoraggio della sicurezza
Base giuridica: legittimo interesse (sicurezza)
Conservazione: 12 mesi

1.6 Dispositivi attendibili

Dati: nome del dispositivo, indirizzo IP, piattaforma, ID del dispositivo, marche temporali
Finalità: gestione del bridge NFC
Base giuridica: esecuzione del contratto
Conservazione: fino alla rimozione del dispositivo o all'eliminazione dell'account

1.7 Token di autenticazione

Dati: hash SHA-256 del token, prefisso, data di creazione, data dell'ultimo utilizzo
Finalità: gestione delle sessioni
Sicurezza: i token in chiaro non vengono mai memorizzati. Vengono conservati solo gli hash.

Misure tecniche e organizzative

Tutte le credenziali e le chiavi sono cifrate a riposo con cifratura autenticata e chiavi per utente
Tutte le comunicazioni sono cifrate in transito (HTTPS con TLS 1.3 e HSTS preload)
Isolamento dei dati per utente a livello di database
Protezione CSRF e rate limiting
Le password operatore sono memorizzate come hash PBKDF2-HMAC-SHA256 con il numero di iterazioni raccomandato da OWASP
Backup cifrati automatizzati (age, X25519 con ChaCha20-Poly1305, chiave privata conservata su un sistema isolato separato)
Server ospitato da Infomaniak, Svizzera
Nessun analytics di terzi, nessun tracciamento, nessuna condivisione di dati

Ultimo aggiornamento: 12 aprile 2026

Procedura di notifica delle violazioni dei dati

Art. 24 nLPD. Il nostro processo passo dopo passo per rilevare, valutare, contenere e segnalare le violazioni dei dati.

▶

2.1 Definizione

Una violazione dei dati personali è qualsiasi incidente di sicurezza che comporti la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato a dati personali, in modo accidentale o illecito.

2.2 Rilevamento

Schemi di accesso al server insoliti
Query o esportazioni di database inattese
Segnalazioni di attività non autorizzate da parte degli utenti
Divulgazioni da parte di ricercatori di sicurezza
Allarmi di monitoraggio (picchi di autenticazioni fallite, attivazioni del rate limiting)

2.3 Valutazione (entro 24 ore)

Quali dati sono stati interessati?
Quanti utenti sono coinvolti?
I dati sono cifrati? La chiave master è stata compromessa?
La violazione è in corso o contenuta?
Qual è il rischio per gli utenti coinvolti?

2.4 Contenimento (immediato)

Revocare tutti i token di autenticazione attivi
Ruotare la chiave di cifratura master se compromessa
Bloccare i vettori di accesso non autorizzati
Disconnettere il server se necessario
Conservare le prove

2.5 Notifica all'IFPDT

Quanto prima possibile (entro 72 ore) tramite databreach.edoeb.admin.ch. La notifica comprende: natura della violazione, dati interessati, numero di utenti, conseguenze e misure adottate.

2.6 Notifica agli utenti interessati

Necessaria se la violazione comporta un rischio elevato per gli utenti. Gli utenti vengono avvisati tramite il pannello di gestione e qualsiasi informazione di contatto disponibile. La notifica spiega cosa è accaduto, quali dati sono stati interessati, cosa l'utente dovrebbe fare e cosa ha fatto SkinID.

2.7 Revisione post-incidente

Entro 2 settimane: documentare la cronologia, identificare la causa principale, attuare misure correttive, aggiornare le procedure.

Contatti

IFPDT: www.edoeb.admin.ch
Notifica di violazione: databreach.edoeb.admin.ch

Ultimo aggiornamento: 12 aprile 2026

Valutazione d'impatto sulla protezione dei dati

Art. 22 nLPD. Una valutazione di come SkinID tratta i dati personali, quali rischi esistono e quali misure li mitigano.

▶

3.1 Descrizione

SkinID è una piattaforma di autenticazione svizzera che utilizza un impianto NFC crittografico sottocutaneo come chiave d'identità universale. Gli utenti effettuano una scansione della mano per autenticarsi in ambienti digitali e fisici.

Dati trattati

UID dell'impianto NFC (hash SHA-256)
Credenziali di siti web cifrate (password)
Chiavi private FIDO2 cifrate
Profilo di autofill cifrato (nome, contatti, indirizzi)
Registri di attività, informazioni sui dispositivi, relazioni di condivisione

Flussi di dati

Impianto dell'utente → lettore NFC → app / estensione SkinID → HTTPS → server SkinID (Svizzera). Nessun dato circola al di fuori della Svizzera. Nessuna API di terzi riceve dati degli utenti.

3.2 Necessità e proporzionalità

Ogni categoria di dati ha una finalità funzionale specifica (autenticazione, gestione delle password, compilazione automatica dei moduli). Per utilizzare il servizio principale non sono richiesti né e-mail, né telefono, né nome reale. SkinID raccoglie sensibilmente meno dati personali rispetto a servizi comparabili. La raccolta dei dati è proporzionata.

3.3 Valutazione dei rischi

Rischio	Probabilità	Impatto
Compromissione del server (solo database)	Bassa	Basso (dati cifrati)
Furto di un token di autenticazione	Bassa	Medio
Clonazione dell'impianto NFC (DESFire EV3)	Molto bassa	Medio
Accesso ai dati di un altro utente	Molto bassa	Elevato
Perdita di dati	Bassa	Medio

3.4 Misure di mitigazione

Cifratura autenticata (ChaCha20-Poly1305 AEAD) con chiavi per utente
Chiave master conservata separatamente dal database
Hashing SHA-256 dei token
Blocco automatico dopo inattività
Isolamento dei dati per utente
Backup cifrati automatizzati
Autenticazione reciproca AES-128 (NXP DESFire EV3) a livello di chip

3.5 Conclusione

Il trattamento è necessario e proporzionato. I rischi identificati sono mitigati da misure tecniche e organizzative. Livello di rischio residuo: BASSO.

Questa valutazione viene rivista annualmente, in caso di modifiche significative o dopo qualsiasi incidente di sicurezza. Una versione più dettagliata di questa valutazione è disponibile su richiesta per i revisori qualificati e i partner.

Ultimo aggiornamento: 12 aprile 2026