Privacy Policy

Il titolare del trattamento dei dati personali raccolti tramite questo sito è:

• NEW MULTISERVICE SRLS
• Sede legale: Via Michele Fiano 3, Vico 1 — 81022 Casagiove (CE)
• P.IVA / C.F.: 04736640618
• PEC: newmultiservices@pec.it
• Email per richieste privacy: studio@iaflux.it

iaflux studio è il marchio operativo con cui NEW MULTISERVICE SRLS eroga i servizi di consulenza descritti su questo sito. La fattura elettronica è emessa direttamente da NEW MULTISERVICE SRLS.

Quando paghi un servizio tramite il checkout iaflux, vengono raccolti i seguenti dati:

• Dati identificativi e di fatturazione: nome, cognome, ragione sociale, indirizzo, P.IVA o codice fiscale, email, telefono, codice destinatario / PEC per la fatturazione elettronica via Sistema di Interscambio (SDI).
• Dati di pagamento: raccolti e processati direttamente da Stripe Payments Europe Ltd. (vedi paragrafo «Sub-processor»). I dati della carta di pagamento non transitano e non vengono memorizzati sui nostri server.
• Dati tecnici: indirizzo IP, user-agent, timestamp di accesso, log delle interazioni con le API serverless. Conservati nei log di Vercel per 1 mese a fini di sicurezza e debugging.
• Dati post-pagamento: identificativo della transazione Stripe (PaymentIntent ID), importo, data, stato del rimborso. Sono memorizzati su Stripe come fonte unica di verità.

I tuoi dati sono trattati per le seguenti finalità:

• Esecuzione del contratto e gestione del pagamento — Base giuridica: art. 6.1.b GDPR (esecuzione di un contratto). Senza questi dati non è possibile incassare il corrispettivo né emettere fattura.
• Adempimenti fiscali e contabili (fatturazione elettronica SDI, conservazione decennale dei documenti contabili) — Base giuridica: art. 6.1.c GDPR (obbligo legale: D.P.R. 633/1972, D.Lgs. 127/2015, art. 2220 c.c.).
• Comunicazione tecnica relativa al pagamento (ricevuta, conferma rimborso, link area cliente) — Base giuridica: art. 6.1.b GDPR.
• Sicurezza del servizio, prevenzione frodi, log tecnici — Base giuridica: art. 6.1.f GDPR (legittimo interesse del titolare a proteggere i propri sistemi).

Non viene effettuato alcun trattamento per finalità di profilazione, marketing, analytics di comportamento o advertising. Non utilizziamo cookie di profilazione né strumenti di tracciamento di terze parti.

• Dati di fatturazione e contabili: 10 anni dalla data della fattura, ai sensi dell'art. 2220 del Codice civile.
• Dati tecnici / log Vercel: 1 mese.
• Token di rimborso (JWT): 29 giorni dalla data del pagamento (durata della finestra di rimborso self-service).
• Email transazionali via Resend: conservate sui server Resend per 30 giorni ai fini di delivery monitoring.

Per erogare il servizio ci affidiamo ai seguenti sub-processor. Tutti hanno sottoscritto un Data Processing Agreement (DPA) conforme all'art. 28 GDPR.

Nessun altro sub-processor è coinvolto. Non condividiamo i tuoi dati con terze parti per finalità diverse da quelle indicate.

Questo sito non utilizza cookie di profilazione, né strumenti di analytics o pixel di tracciamento di terze parti.

Stripe Checkout, durante il pagamento, utilizza cookie strettamente tecnici necessari alla gestione della sessione di pagamento e alla prevenzione di frodi (3D Secure, anti-bot). Tali cookie rientrano nella categoria dei cookie esenti da consenso ai sensi delle Linee guida del Garante Privacy (Provv. del 10 giugno 2021) e dell'EDPB (Guidelines 02/2023). Sono installati esclusivamente sul dominio Stripe, non sul nostro.

Per questo motivo, e per scelta deliberata, non viene mostrato alcun banner cookie su questo sito.

Ai sensi degli articoli da 15 a 22 del GDPR, in qualunque momento puoi esercitare i seguenti diritti:

• accesso ai tuoi dati personali (art. 15);
• rettifica di dati inesatti o incompleti (art. 16);
• cancellazione («diritto all'oblio»), nei limiti consentiti dagli obblighi fiscali (art. 17);
• limitazione del trattamento (art. 18);
• portabilità dei dati in formato strutturato (art. 20);
• opposizione al trattamento (art. 21);
• revoca del consenso, se applicabile (art. 7.3).

Per esercitare questi diritti scrivi a studio@iaflux.it oppure via PEC a newmultiservices@pec.it. Risponderò entro 30 giorni dalla richiesta, come previsto dall'art. 12 GDPR.

Hai inoltre diritto a presentare reclamo all'Autorità di controllo competente — il Garante per la protezione dei dati personali — qualora ritenga che il trattamento dei suoi dati avvenga in violazione del GDPR (art. 77).

Adottiamo le seguenti misure tecniche e organizzative proporzionate al rischio:

• cifratura end-to-end di tutte le comunicazioni HTTPS (TLS 1.3, certificato Let's Encrypt, HSTS preload);
• segreti applicativi mai esposti al client né committati in repository pubblici;
• token JWT firmati con HMAC-SHA256 per autenticare l'accesso all'area cliente;
• autenticazione a due fattori sugli account amministrativi Stripe, Resend, Vercel, Cloudflare;
• principio del minimo privilegio sui token API (scope limitato a una sola zona DNS / un solo progetto Vercel / solo lettura quando sufficiente).

Questa informativa può essere aggiornata in caso di modifiche normative, di nuovi sub-processor o di variazioni dei servizi erogati. La data dell'ultimo aggiornamento è indicata in cima alla pagina. In caso di modifiche sostanziali, ti invieremo una comunicazione via email all'indirizzo utilizzato per il pagamento.

Per qualsiasi domanda o esercizio dei diritti privacy, scrivi a:

• Email: studio@iaflux.it
• PEC: newmultiservices@pec.it
• Indirizzo: Via Michele Fiano 3, Vico 1 — 81022 Casagiove (CE)