Sicurezza · Affidabilità
Self-hosted per progettazione. I tuoi dati non lasciano mai la tua infrastruttura.
Olivares AI governa l'accesso agli agenti AI presenti sulla tua infrastruttura, perciò è costruito anzitutto per essere sicuro. Gira all'interno della tua infrastruttura, osserva in sola lettura e registra la mappa degli accessi — non i dati che vi transitano. Questa pagina spiega come lo dimostriamo, onestamente.
Trattamento dei dati
Cosa tocchiamo e cosa non esce mai
La garanzia di riservatezza più solida è architetturale, non un certificato: poiché Olivares AI è self-hosted, i dati sensibili restano nel tuo perimetro e noi non li vediamo mai.
Gira nella tua infrastruttura
In self-hosting sui tuoi host, cluster o cloud — il control plane stesso può funzionare in modalità completamente air-gapped, registrando la propria mappa degli accessi senza alcuna uscita dei tuoi dati. Gli agenti che governi continuano a raggiungere le API che richiamano, come un provider di modelli in hosting; solo i modelli self-hostable funzionano del tutto offline. Self-hosted significa che i tuoi dati non lasciano il tuo ambiente.
Relazioni, non payload
Registra le relazioni di accesso — quale agente può raggiungere quale risorsa, in sola lettura o in lettura/scrittura — non i corpi delle query, i payload o i segreti che vi transitano. Ciò che non memorizziamo, non possiamo divulgarlo.
Segreti e PII oscurati
Gli input che possono contenere segreti o dati personali vengono oscurati e sottoposti a scansione dei segreti prima che qualsiasi cosa venga scritta. Un maggiore livello di dettaglio è qualcosa che un operatore deve esplicitamente scegliere di attivare.
Osservazione in sola lettura
Il collector osserva; non scrive mai nei tuoi database e non modifica mai i tuoi host. Legge identità come il nome di un ruolo o di un'applicazione — non i valori delle credenziali. Non è uno sniffer di dati.
Nessuna telemetria verso di noi
Sicuro per impostazione predefinita significa nessun phone-home: la telemetria verso il fornitore è disattivata salvo tua esplicita attivazione. Nulla del tuo parco infrastrutturale ci viene inviato.
La conservazione la controlli tu
Conservazione e cancellazione sono configurabili e, nei deployment air-gapped, nulla esce mai, punto.
Divulgazione delle vulnerabilità
Segnala un problema di sicurezza
Accogliamo la divulgazione coordinata e agiamo in buona fede con i ricercatori che fanno altrettanto. Le segnalazioni sul modello di sicurezza stesso sono esplicitamente benvenute.
Segnala in privato a
security@olivares.aiTi preghiamo di non aprire una issue, pull request o discussione pubblica per una sospetta vulnerabilità. Prima di inviare i dettagli è disponibile PGP su richiesta.
Cosa aspettarsi
- Conferma di ricezione entro 3 giorni lavorativi
- Valutazione iniziale entro 10 giorni lavorativi
- Divulgazione coordinata fino a 90 giorni, prima se viene rilasciata una correzione
Ti preghiamo di non inviare
Nessun segreto, credenziale o token reale (oscurali), nessun dato personale di clienti o terze parti né dump di produzione, e nessuno sfruttamento attivo di sistemi che non possiedi. Descrivi l'impatto sensibile anziché allegarlo — predisporremo un canale sicuro.
Olivares AI è in fase pre-release. Non esistono ancora versioni taggate supportate; le correzioni di sicurezza vengono applicate solo al branch main.
Sub-responsabili
Chi altro tratta i dati
Questo sito web non utilizza sub-responsabili di analytics, pubblicità o tracciamento. È un sito statico con font self-hosted, una Content-Security-Policy rigorosamente same-origin e nessun cookie. Viene distribuito tramite una content delivery network, che gestisce solo i metadati di connessione necessari a recapitare la pagina — non raccogliamo dati personali durante la navigazione.
Per il prodotto stesso: poiché Olivares AI è self-hosted sulla tua infrastruttura, non esiste alcun sub-responsabile lato fornitore per i tuoi dati. Restano nel tuo perimetro e noi non li vediamo. Qualsiasi futura offerta gestita pubblicherebbe il proprio elenco di sub-responsabili; ad oggi non ne è offerta alcuna.
Trattamento dei dati
Accordo sul trattamento dei dati (art. 28 GDPR)
Un Accordo sul trattamento dei dati è disponibile su richiesta per gli appalti enterprise. Poiché Olivares AI è self-hosted, nella maggior parte dei deployment rimani titolare del trattamento dei tuoi dati all'interno della tua infrastruttura; un DPA può comunque essere stipulato per formalizzare le responsabilità nell'ambito di un rapporto commerciale.
Postura di conformità
Onesti su dove siamo
Olivares AI è in fase pre-release e non è certificato secondo SOC 2, ISO/IEC 27001, il Regolamento europeo sull'IA (AI Act) o qualsiasi altro framework, e nessun audit è in corso. Progettiamo il prodotto affinché si mappi sui controlli che quei framework esaminano — registro di audit, controllo degli accessi, integrità, cifratura e gestione del cambiamento — così che sia pronto a essere sottoposto ad audit quando sarà il momento. La certificazione formale (per esempio SOC 2 Type 2) è un passo successivo che l'architettura è costruita per abilitare; non è un prerequisito della prima release.
Framework verso cui progettiamo
-
SOC 2 / ISO 27001
Obiettivi di controllo verso cui progettiamo — non certificati, in roadmap.
-
Regolamento europeo sull'IA (AI Act)
Progettato per supportarne le aspettative di controllo e documentazione.
-
CSA MAESTRO
Una metodologia di threat modelling su cui ci mappiamo — non uno standard certificabile.
-
Minacce agentiche OWASP
Mappato sull'elenco delle minacce agentiche e delle relative mitigazioni.
-
Linee guida CISA / NIST
Linee guida, non uno standard certificabile — progettazione verso l'obiettivo, senza dichiarazione di conformità.
Laddove descriviamo l'allineamento con framework esterni, si tratta di una mappatura tecnica, non di una certificazione — e per gli standard non ancora definitivi è un segnale di progettazione verso l'obiettivo, senza alcuna dichiarazione di conformità.
Integrità della build
- Le release sono firmate crittograficamente, distribuite con una software bill of materials e dotate di build provenance.
- Un unico binario statico memory-safe in immagini container minimali e hardened.
- Dipendenze minimali e pinnate — nessuno script di installazione che esegua codice non verificato.
- La scansione delle dipendenze e dei segreti fa da gate a ogni modifica in CI.
Queste garanzie entrano in vigore alla prima release taggata; ad oggi il progetto è in fase pre-alpha.
Tempi target di correzione
- Critica 7 giorni
- Alta 14 giorni
- Media 30 giorni
- Bassa prossima release pianificata
La cadenza di correzione che ci impegniamo a rispettare, in vigore dalla prima release taggata. Le vulnerabilità attivamente sfruttate sono trattate come critiche.
Domande sull'affidabilità
Dove vanno a finire i miei dati?
Nell'edizione self-hosted, i tuoi dati restano all'interno della tua infrastruttura; Olivares AI non li riceve. Il prodotto registra la mappa degli accessi — non i payload, i segreti o i dati personali che vi transitano.
Siete certificati SOC 2 o ISO 27001?
Non ancora. Il prodotto è progettato per mapparsi sugli obiettivi di controllo SOC 2 e ISO 27001, così da essere pronto a un audit, ma la certificazione formale è in roadmap e non è stata ancora ottenuta. Non dichiareremo una certificazione che non possediamo.
Come segnalo una vulnerabilità di sicurezza?
Scrivi in privato a security@olivares.ai — ti preghiamo di non aprire una issue pubblica. La nostra policy completa è in SECURITY.md, collegata da /.well-known/security.txt (RFC 9116). Confermiamo la ricezione entro tre giorni lavorativi.
Offrite un DPA?
Sì, un Accordo sul trattamento dei dati ai sensi dell'articolo 28 del GDPR è disponibile su richiesta per gli appalti enterprise. Contatta enterprise@olivares.ai.
Domande dal tuo team di sicurezza o appalti?
Segnala una vulnerabilità al nostro contatto di sicurezza, oppure contattaci per appalti, un DPA o una security review.