$ cat /etc/internalhost/privacy

Privacy policy

Versione 1.0 · Ultimo aggiornamento: 2026-05-19 · In vigore con effetto immediato

TL;DR

Raccogliamo il minimo necessario per fornirti un server e mandarti una fattura. Niente tracciamento, niente ad network, niente rivendita di dati. Siamo nell'UE, si applica il GDPR e non condividiamo mai i tuoi dati con terze parti tranne quando obbligati per legge.

1. Chi siamo

InternalHost è una ditta individuale (CCIAA NL 90174720), di proprietà di Xaviero Kajafas, con sede ad Amsterdam. Sede legale: Bijlmerdreef 910, 1103 DV Amsterdam. Ufficio (su appuntamento): Nieuwe Hemweg 26, 1013 CX Amsterdam. Siamo il "titolare del trattamento" ai sensi del GDPR per i dati personali che ci affidi come cliente.

2. Cosa raccogliamo

Tre categorie, niente di più:

  • Dati account: nome, email, ragione sociale (opzionale), P.IVA (opzionale, per B2B). Forniti da te in fase di registrazione.
  • Dati di fatturazione: indirizzo di fatturazione, metodo di pagamento (non conserviamo i numeri di carta — quelli stanno da Mollie/Revolut), storico pagamenti. Obbligatorio ai sensi della legge fiscale olandese + GDPR art. 6(1)(b) (contratto).
  • Dati tecnici: IP di sessione, user-agent del browser, timestamp di login. Necessari per sicurezza (CrowdSec, fail2ban) e prevenzione frodi. Base giuridica: art. 6(1)(f) (legittimo interesse).

Non raccogliamo: cookie di tracciamento di terze parti, pixel di social media, ID pubblicitari, geolocalizzazione oltre l'IP, analytics comportamentali, mouse tracking o qualsiasi altra tecnologia di sorveglianza.

3. A cosa ci servono

  • Fornire il servizio che hai pagato (provisioning dei server, invio email, supporto).
  • Generare e inviare le fatture.
  • Rilevare e fermare abusi sulla nostra infrastruttura (vedi AUP).
  • Adempiere obblighi di conservazione legali (fisco NL: fatture per 7 anni).

Non li usiamo per: profilazione, pubblicità personalizzata, rivendita, training di modelli AI o qualsiasi altro lavoretto secondario.

4. Per quanto li teniamo

  • Dati account: finché sei cliente + 30 giorni dopo la cessazione per eventuali contestazioni.
  • Fatture: 7 anni (legge fiscale NL).
  • Log di login: 90 giorni (forensica di sicurezza).
  • Dati del server (contenuto del tuo VPS): per tutta la durata del servizio. Dopo la cessazione 14 giorni per il recovery, poi cancellati in modo permanente.
  • Ticket di supporto: 2 anni.

5. Con chi li condividiamo

Lista corta. Tutti qui sono responsabili del trattamento in giurisdizione UE:

  • Mollie (NL): payment processor. Riceve nome, importo fattura, email. Mollie Privacy.
  • Revolut Business (LT, UE): payment processor alternativo. Stesso scope di Mollie.
  • Cloudflare (US, EU data-region): CDN/DDoS per questo sito. Tratta il tuo IP + browser fingerprint per anti-bot. Si applicano le SCC standard. Cloudflare Privacy.
  • Qupra DC (NL): datacenter. Accesso fisico al nostro hardware, nessun accesso logico ai dati.
  • OpenProvider (NL): domain registrar — rilevante solo se registri un dominio tramite noi. Riceve i dati di contatto WHOIS.

Tutto qui. Niente tracking pixel, niente piattaforme pubblicitarie, niente SaaS di "analytics".

6. I tuoi diritti (GDPR)

Hai diritto a:

  • Accedere a tutti i tuoi dati.
  • Correggerli.
  • Richiederne la cancellazione (salvo dove si applica la conservazione obbligatoria).
  • Riceverne una copia in formato machine-readable (portabilità dei dati).
  • Opporti al trattamento basato sul legittimo interesse.
  • Presentare un reclamo all'Autorità olandese per la protezione dei dati.

Scrivi a [email protected]. Rispondiamo entro 30 giorni, di solito entro 5.

7. Sicurezza

  • TLS ovunque (HSTS preloaded).
  • Password conservate in bcrypt, mai in chiaro.
  • SSH di produzione solo con chiavi ed25519, autenticazione con password disattivata.
  • MFA obbligatoria per gli account admin.
  • CrowdSec + fail2ban su tutti gli endpoint pubblici.
  • Backup giornalieri cifrati dei dati cliente.
  • Accesso ristretto: solo Nick e Jarreth hanno shell in produzione, solo Xavi ha il Filament admin.

Data breach? Notifichiamo all'autorità e ai clienti interessati entro 72 ore, ai sensi del GDPR art. 33-34.

8. Contatti e modifiche

Domande, richieste o reclami: [email protected] o Signal (link nel footer). Ci riserviamo il diritto di modificare questa policy. Le modifiche sostanziali vengono comunicate via email ai clienti attivi almeno 30 giorni prima dell'entrata in vigore.