Si tratta di una domanda che raramente viene posta esplicitamente, ma che ricorre nella riflessione di ogni titolare prima di sottoscrivere un contratto con un vendor cloud: dove finisce la mia anagrafica clienti?
Ogni laboratorio cliente di CadCamCloud è un tenant separato. Anagrafica EU, file STL, prescrizioni, volumi, frequenze d'ordine: tutto risiede in uno spazio logico isolato. La piattaforma è multi-tenant strict — ogni query al database filtra per tenant_id, senza eccezioni. Nessun altro laboratorio sulla piattaforma visualizza i vostri dati.
La nostra console di amministrazione accede esclusivamente a metriche aggregate di sistema — quanti studi risultano attivi, in quali paesi, volumi macro. Tali dati hanno una sola finalità: dimensionare server e hosting in base al volume reale di lavoro della piattaforma. Mai un nominativo, mai un indirizzo email, mai un file. Ogni accesso amministrativo viene registrato in un audit log append-only verificabile dal partner Enterprise su richiesta.
L'infrastruttura opera su server Hetzner, datacenter Milano. Nessun dato sanitario lascia il perimetro UE. Il fornitore di storage cloud opera in datacenter UE. Nessuna CDN americana per i dati clinici, nessun backup su cloud extra-UE. GDPR by design, non come dichiarazione di facciata.
I file DICOM (CBCT, TAC, serie radiologiche endorali) costituiscono PHI — Protected Health Information ex art. 9 GDPR: contengono nominativo paziente, codice identificativo, struttura sanitaria, medico referente. Per tale ragione il caricamento DICOM è disponibile esclusivamente sui piani Premium ed Enterprise, dove la piattaforma applica uno scan antivirus dedicato in background con quarantena automatica, un'informativa PHI specifica firmata in onboarding e un'opzione di anonimizzazione opt-in lato studio.
Sui piani Basic e Pro il caricamento DICOM non è abilitato: la piattaforma blocca il flusso con messaggio di upgrade esplicito. Il riconoscimento avviene per estensione (.dcm, .dicom, .dic, .ima, .img) o magic-byte DICM, e non è aggirabile rinominando file di altro tipo. Tutti gli altri formati restano accessibili a tutti i piani entro i limiti standard.
Ogni caricamento ricevuto genera un PDF/A — standard ISO 19005, conforme Linee Guida AGID — con anagrafica, form compilato, file allegati con checksum crittografico, timestamp e UUID univoco. Il form_data non dispone di endpoint di modifica post-invio: quanto trasmesso non può essere alterato.
Il documento è conservato dieci anni, in linea con quanto il Regolamento UE 2017/745 richiede al fabbricante di dispositivi medici su misura. Un QR sul PDF rimanda a una pagina di verifica pubblica, accessibile senza autenticazione.
Snapshot giornaliero del database e dello storage, retention di trenta giorni rolling. Backup off-site su provider UE separato per il disaster recovery. Test di restore periodico interno; per i contratti Enterprise, audit indipendente concordabile in clausola SLA.
Per chi gestisce dati sensibili in quantità significativa (network multi-sede, Enterprise) è possibile predisporre un'analisi tecnica dedicata, un DPA personalizzato e clausole di SLA.