← Home

Sicurezza e GDPR Chef7

Dati ospitati su Supabase West EU. Pagamenti via Paddle merchant of record — Chef7 non vede mai dati di carta. Numeri di telefono dei clienti cancellati automaticamente dopo consegna o chiusura tavolo. RLS con 129 policy attive. Backup giornalieri.

Dove sono ospitati i tuoi dati

Chef7 memorizza tutti i dati dei clienti su Supabase nella regione West EU (Irlanda). Supabase è un provider Postgres gestito con conformità SOC 2 Tipo II. Il sito statico è distribuito globalmente tramite Cloudflare Pages, ma ogni lettura e scrittura su database raggiunge la regione UE. L'inferenza IA per la generazione di ricette usa Google Gemini 2.5 Flash; i prompt e gli output non vengono utilizzati per addestrare i modelli Google (secondo i termini Vertex AI).

Dati di pagamento

Chef7 non vede mai i dati delle carte di credito. La fatturazione è gestita da Paddle come Merchant of Record. Paddle è il venditore legale ai fini fiscali e dei diritti del consumatore, calcola e versa l'IVA correttamente per paese, e memorizza tutte le informazioni di carta sotto conformità PCI DSS Level 1.

Dati personali dei clienti — cancellazione automatica

I ristoranti che usano Chef7 raccolgono numeri di telefono dei clienti per ticket d'asporto e prenotazioni di tavolo. Per minimizzare la conservazione dei dati ai sensi dell'Articolo 5(1)(e) GDPR:

  • Ticket d'asporto — dopo la consegna, il nome e il numero di telefono del cliente vengono cancellati. Il registro operativo (numero ticket, articoli, timestamp, totale) viene mantenuto per la contabilità.
  • Prenotazioni tavolo — dopo la chiusura del tavolo, il nome e il telefono della prenotazione vengono cancellati.
  • Lista d'attesa — quando il cliente viene fatto accomodare o dopo un timeout di 12 ore, il telefono viene cancellato.

Controlli di accesso al database

Postgres usa row-level security (RLS) con 129 policy attive ad aprile 2026. Ogni utente autenticato può leggere e scrivere solo righe che appartengono al proprio ristorante o account. Gli audit log registrano chi ha cambiato cosa con timestamp e ID utente.

Backup e ripristino

I backup del database girano quotidianamente e sono conservati 30 giorni nel Point-in-Time Recovery di Supabase.

Autenticazione

Il login usa Supabase Auth con email + password e magic-link opzionale via email. Le password sono memorizzate in hash (bcrypt). Le sessioni sono emesse come JWT con scadenza 1 ora.

Subincaricati

  • Supabase — database, autenticazione, edge functions, storage (West EU)
  • Cloudflare — distribuzione statica, DNS, protezione DDoS (globale)
  • Paddle — elaborazione pagamento, calcolo IVA, fatturazione (UK/UE)
  • Google Cloud (Gemini) — inferenza IA per generazione di ricette

Diritto di accesso, esportazione, cancellazione

Ai sensi degli Articoli 15, 20 e 17 GDPR, qualsiasi utente può richiedere una copia completa dei suoi dati o la loro cancellazione in qualsiasi momento via email a [email protected].

Segnalare una vulnerabilità

Se trovi un problema di sicurezza, contatta via email [email protected].

Perché Chef7

  • IA Gemini 2.5 — ricette in secondi con gli ingredienti che hai
  • 6 lingue — Italiano, Inglese, Portoghese, Francese, Spagnolo, Tedesco
  • Gestione completa del ristorante — scorte, asporto, tavolo, cucina
  • GDPR — pagamenti sicuri tramite Paddle, nessun accesso a dati carta