Data di entrata in vigore: 16 maggio 2026
Stripe (Stripe Payments Europe Ltd, IE) è caricato esclusivamente sulla paginaapp.bisc8.app/billing quando l'owner avvia un upgrade o gestisce l'abbonamento. Stripe.js installa cookie funzionali (__stripe_mid,__stripe_sid) indispensabili per la prevenzione frodi (PCI-DSS). Base giuridica: Art. 6.1.b GDPR — esecuzione del contratto. Privacy Stripe: stripe.com/privacy.
Nessun cookie di analytics, marketing o profilazione è caricato sui nostri domini. Le metriche di prodotto (consent log, health) sono server-side e usano pseudonimi SHA-256 — vedi Privacy Policy per dettagli.
Il dominio system.bisc8.app è una superficie interna riservata agli amministratori BISC8. Carica esclusivamente cookie tecnici Supabase Auth per la sessione MFA e non installa alcuno script di terze parti, incluso il nostro stesso banner CMP. Questa scelta è intenzionale: superfici privilegiate vanno tenute il più snelle possibile per minimizzare l'attack surface. Nessun visitatore pubblico ha accesso a system.bisc8.app.
Lo script boot.js osserva passivamente i nomi di cookie, chiavi di local/session storage e URL degli script di terze parti caricati sulla pagina durante la sessione del visitatore. Le rilevazioni vengono inviate periodicamente (ogni 5 minuti massimo, oppure all'uscita dalla pagina) all'endpoint/api/v1/scan-report per popolare la dashboard "Vendor scan" del titolare del dominio.
Cosa viene raccolto: hash SHA-256 troncati (16 caratteri) di nome cookie + dominio, slug del vendor identificato (es. stripe, vercel-analytics), pattern di host degli script (es. js.stripe.com), kind del finding ( script | cookie | storage), un session-hash anonimo casuale generato in memoria e mai persistito sul dispositivo, country code ISO-2 e tipo di User-Agent (desktop / mobile / tablet / bot).
Cosa NON viene raccolto: valori di cookie o storage, indirizzo IP, identificatori utente, contenuti di sessione, dati di pagina visitata. La telemetria non viene mai condivisa fra domini diversi del nostro stesso parco clienti (per-property isolation enforced via RLS Postgres).
Base giuridica: Art. 6.1.f GDPR — legittimo interesse del titolare del sito a verificare la conformità dei processor terzi caricati sul proprio dominio (vendor inventory). Il trattamento è proporzionato e privacy-by-design (pseudonimi crittografici, no PII, retention 30gg Free / 1 anno Pro).
BISC8 fornisce uno strumento conforme al provvedimento del Garante Italiano del 10 giugno 2021 (banner essential-first, accept/reject pari prominenza, X = rifiuto, re-prompt max 6 mesi). Lo stesso strumento è attivo sui nostri domini: puoi vedere il banner BISC8 in azione su questa pagina.
Puoi modificare o revocare le preferenze in qualunque momento usando l'icona Cookie sempre presente in basso a destra della pagina, oppure scrivendo a [email protetta]. Puoi anche cancellare manualmente i cookie dalle impostazioni del tuo browser.
