I Tuoi Dati, Protetti a Ogni Livello
AskLee è costruito con la sicurezza al centro — dai segreti crittografati ai container di bot isolati, verificato da oltre 114 test automatizzati in 16 categorie.
Verificato da Test Automatizzati
114+
Test di sicurezza
16
Categorie di test
8.000+
Template di vulnerabilità
24/7
Verifica CI/CD
Architettura di Sicurezza
Ogni livello di AskLee è progettato per proteggere i tuoi dati.
Crittografia a Riposo
Le chiavi API e i token dei bot vengono crittografati prima dell'archiviazione — non possiamo leggerli nemmeno se il database viene compromesso.
Dettagli tecnici
Crittografia AES-256-GCM con derivazione della chiave PBKDF2. Vettore di inizializzazione unico per operazione. I campi crittografati non vengono mai registrati o esposti nelle risposte API.
Container di Bot Isolati
Ogni bot funziona nel proprio container isolato. Un bot non può accedere ai dati o alle risorse di un altro.
Dettagli tecnici
Macchine virtuali dedicate con volumi per bot e token gateway unici. Nessuno stato condiviso tra le istanze dei bot. Isolamento completo dei processi.
Validazione degli Input
Ogni richiesta viene validata e sanitizzata per prevenire attacchi di iniezione.
Dettagli tecnici
Protezione contro XSS, SQL injection, path traversal e null byte injection. Limiti rigorosi per set di caratteri e lunghezza su tutti gli input.
Autenticazione Resistente al Timing
I controlli di autenticazione resistono agli attacchi di timing — nessuna fuga di informazioni dai tempi di risposta.
Dettagli tecnici
Confronto di stringhe a tempo costante tramite timingSafeEqual() per tutte le verifiche di segreti e token. Impedisce agli attaccanti di dedurre corrispondenze parziali.
Limitazione della Frequenza e Protezione DoS
Le richieste sono limitate in frequenza per prevenire abusi. I payload sovradimensionati vengono rifiutati prima dell'elaborazione.
Dettagli tecnici
5 richieste al minuto per le mutazioni, 20 al minuto per le letture. Dimensione massima del corpo di 1 MB. Limitazione della frequenza basata su Redis tramite Upstash.
Header di Sicurezza
Politiche di sicurezza del browser rigorose prevengono clickjacking, XSS e content sniffing.
Dettagli tecnici
Content-Security-Policy (senza unsafe-eval), X-Frame-Options: DENY, X-Content-Type-Options: nosniff, HSTS con max-age di 2 anni, politica CORS rigorosa.
Scansione di Sicurezza Automatizzata
114 test automatizzati vengono eseguiti in 16 categorie prima di ogni deploy, più scansioni approfondite mensili con oltre 8.000 template di vulnerabilità.
Dettagli tecnici
Sonda di sicurezza personalizzata che copre protezione del gateway, divulgazione di directory, contrabbando HTTP, prevenzione SSRF, avvelenamento della cache e altro. Integrato dallo scanner di vulnerabilità Nuclei con copertura completa dei template.
Sicurezza del Trasporto
Tutto il traffico è crittografato in transito. Solo versioni moderne di TLS sono accettate — nessun cifrario debole, nessun downgrade del protocollo.
Dettagli tecnici
Solo TLS 1.2 e 1.3. HTTPS obbligatorio su tutti gli endpoint. HSTS con max-age di 2 anni previene attacchi di downgrade del protocollo. Zero servizi interni esposti (nessun SSH, database o porte di debug).
Autenticazione Multilivello
Ogni messaggio passa attraverso tre checkpoint di autenticazione indipendenti prima di raggiungere il tuo bot.
Verifica del Canale
Le firme dei webhook di Telegram, Discord, WhatsApp e Slack vengono verificate crittograficamente al bordo della rete.
Autorizzazione del Relay
Il nostro proxy relay si autentica con l'API usando token bearer firmati HMAC prima di risolvere qualsiasi bot.
Segreto Per Bot
Ogni istanza di bot ha un token gateway crittografico unico (~190 bit di entropia). Compromettere un bot non può influenzare gli altri.
Privacy e Gestione dei Dati
I tuoi dati appartengono a te. Punto.
Raccolta Dati Minima
Memorizziamo solo ciò che serve per far funzionare il tuo bot. Nessun tracciamento analitico, nessuna profilazione comportamentale, nessuna vendita di dati a terzi.
Nessun Addestramento IA sui Tuoi Dati
Le tue conversazioni e i contenuti del bot non vengono mai usati per addestrare modelli di IA. Accordi di zero retention con tutti i provider di IA garantiscono che i tuoi dati vengano eliminati immediatamente dopo l'elaborazione.
Elimina in Qualsiasi Momento
Eliminazione completa dell'account disponibile dalla tua dashboard. Quando elimini, eliminiamo — nessun periodo di conservazione, nessun backup nascosto.
Conformità e Fiducia
Ci atteniamo ai più alti standard del settore.
Conforme al GDPR
Privacy by design, portabilità dei dati, diritto alla cancellazione e accordi di trattamento dei dati disponibili per i clienti enterprise.
Elaborazione IA senza Retention
Tutti i provider di IA (OpenAI, Anthropic, Groq) operano sotto accordi di zero retention. I tuoi messaggi non vengono mai archiviati da terze parti oltre la chiamata API immediata.
SOC 2 Tipo II in Corso
Validazione di audit indipendente dei nostri controlli di sicurezza, riservatezza dei dati e pratiche di privacy. Completamento previsto nel 2026.
Hai Trovato una Vulnerabilità?
Apprezziamo la divulgazione responsabile. Se scopri un problema di sicurezza, segnalalo in modo privato. Non aprire issue pubbliche su GitHub per vulnerabilità di sicurezza.
Scrivici a security@asklee.ai
Includi una descrizione del problema, i passaggi per riprodurlo e l'impatto potenziale.
Ci proponiamo di confermare la ricezione delle segnalazioni entro 48 ore.
Apprezziamo i tuoi contributi e daremo credito ai segnalatori nei nostri riconoscimenti di sicurezza.