SOC 2 Type 1
In corsoFinestra di audit Q3 2026. Gap analysis chiusa a febbraio 2026, matrice dei controlli mantenuta sui criteri AICPA TSC. Il Type 2 segue nel Q1 2027.
Costruiamo GRIP OS per operatori europei che gestiscono dati critici per i ricavi. Questa pagina raccoglie tutto ciò che un potenziale design partner, investitore o revisore di sicurezza deve avere prima di firmare: stato SOC 2, residenza dati UE, conformità GDPR, accesso ai log di audit e audit trail delle citazioni di Sophie. Per qualsiasi altra cosa non coperta qui, scriva a security@caugia.com.
Postura di conformità
Residenza dati UE
LiveI dati dei workspace risiedono su Supabase eu-north-1 (Stoccolma). Nessun dato cliente attraversa l'Atlantico per lo storage. L'edge Vercel serve la UI da regioni UE.
GDPR
ProntoData Processing Agreement disponibile su richiesta. Lista dei sub-processor pubblica. Diritti di accesso, rettifica, cancellazione e portabilità onorati entro 30 giorni.
Conformità GDPR
Caugia SASU è titolare per i dati dei visitatori e responsabile per i dati cliente nei workspace. Trattiamo le categorie minime necessarie e le conserviamo solo per il tempo necessario.
- ✓Basi legali documentate per ogni attività di trattamento (contratto, legittimo interesse, consenso per il marketing).
- ✓Richieste di accesso evase entro 30 giorni. Cancellazione entro 7 giorni per i dati non archiviati.
- ✓Elenco dei sub-processor pubblicato su /legal/data-residency. Preavviso di 14 giorni per aggiunte o modifiche sostanziali.
- ✓Requisito del rappresentante UE non applicabile: stabiliti in Francia, entità giuridica unica.
- ✓Trasferimenti cross-border bloccati a livello di storage. Solo Stoccolma.
Accesso ai log di audit
I team compliance ottengono accesso in sola lettura, perimetrato, al log di audit della piattaforma: chi ha fatto login, quali dati ha letto o scritto, quali citazioni di Sophie ha attivato e da quale IP. Export CSV, più una catena di hash tamper-evident sul back end.
Richieda l'accesso al log di audit→Audit trail di Sophie
Sophie opera sotto un contratto di disciplina di citazione: ogni affermazione che fa deve risolversi a uno slug reale nel knowledge graph live. Ogni risposta è completamente tracciabile.
- →Formato di citazione [framework:slug] [paper:slug] [blog:slug]. Ogni slug si risolve a un'entità reale nel knowledge graph live (sophie_frameworks, sophie_papers, sophie_blogs). Il conteggio dei riferimenti pendenti è auditato settimanalmente da /api/cron/sophie-hallucination.
- →Punteggio di confidence (0,0-1,0) calcolato e persistito per ogni turn a partire da risoluzione archetipo + copertura framework + copertura conoscenza. I turn a bassa confidence (< 0,5) sono marcati "low" nella risposta e salvati in sophie_turn_logs.confidence_level.
- →Ogni entità citata porta con sé URL della fonte, autore, anno e authority_score nella riga corrispondente. Disponibili tramite /api/sophie/resolve.
- →Report sulle allucinazioni: ogni lunedì alle 04:00 UTC il cron /api/cron/sophie-hallucination revisiona le citazioni dei 7 giorni precedenti, verifica che ogni entity_slug si risolva e manda una mail al team con il tasso di allucinazione e il breakdown per slug.
- →Diritto alla spiegazione: ogni risposta di Sophie porta il blocco di citazioni nella risposta, e gli array framework_applications + knowledge_hits permettono a qualsiasi caller di mostrare un affordance "vedi le fonti" in un clic.
Documenti ed evidenze live
Link diretti al materiale di riferimento. Tutto qui sotto è pubblico.
Postura di sicurezza
Modello delle minacce, guardia di auth, isolamento dati, gestione dei segreti, backup e incident response.
Apre SECURITY.md→
Architettura
Topologia runtime, flusso dei dati, modello di tenancy e l'impronta infrastrutturale AWS + UE.
Apre ARCHITECTURE.md→
Matrice dei controlli SOC 2
Self-assessment a 30 controlli, stato attuale, date target di audit e owner della remediation.
Apre la checklist→
Stato della piattaforma
Salute in tempo reale di GRIP OS, Sophie e dei quattro workspace demo pubblici.
Apre la pagina di stato→
Contatti
Divulgazione di sicurezza: security@caugia.com. Richieste privacy: privacy@caugia.com. Richieste commerciali e design partner: contact@caugia.com.
Ultimo aggiornamento 2026-04-24.