Lista sub-processor
Ultimo aggiornamento: 28 maggio 2026
Ombra si avvale dei seguenti sub-processor (responsabili del trattamento ai sensi dell'art. 28 GDPR) per erogare il servizio. Ogni rapporto è coperto da DPA conforme e, per i trasferimenti extra-UE, dalle Standard Contractual Clauses 2021/914 della Commissione Europea (Schrems II compliant).
Notifichiamo via email ai clienti attivi almeno 30 giorni prima di ogni aggiunta o modifica rilevante a questa lista. Per opporsi a un nuovo sub-processor, scrivere entro 30 giorni a privacy@ombrachat.it.
Infrastruttura
| Fornitore | Finalità | Localizzazione | Base trasferimento |
|---|
| Vercel Inc. | Hosting frontend, CDN edge | USA (region globale, edge Frankfurt) | SCC 2021/914 + DPA Vercel |
| Fly.io Inc. | Hosting backend API (server in Frankfurt) | USA HQ, server UE | SCC + DPA Fly.io |
| Supabase Inc. | Database PostgreSQL (dati conversazioni, lead, knowledge base) | USA HQ, DB region Frankfurt eu-central-1 | SCC + DPA Supabase |
| Upstash Inc. | Cache Redis (sessioni, rate limit) | USA, region Ireland | SCC + DPA Upstash |
Autenticazione
| Fornitore | Finalità | Localizzazione | Base trasferimento |
|---|
| Clerk Inc. | Autenticazione utenti, gestione sessioni | USA | SCC + DPA Clerk |
Pagamenti
| Fornitore | Finalità | Localizzazione | Base trasferimento |
|---|
| Stripe Payments Europe Ltd. | Gestione pagamenti, PCI-DSS | Irlanda (UE) | Nessun trasferimento extra-UE |
Comunicazioni
| Fornitore | Finalità | Localizzazione | Base trasferimento |
|---|
| Sendinblue SA (Brevo) | Email transazionali e marketing | Francia (UE) | Nessun trasferimento extra-UE |
Modelli AI
| Fornitore | Finalità | Localizzazione | Base trasferimento |
|---|
| Anthropic PBC | Modelli AI Claude (chat principale, consolidamento KB) | USA | SCC + DPA Anthropic, zero retention API |
| OpenAI Inc. | Embeddings semantici (text-embedding-3-large) | USA | SCC + DPA OpenAI, zero retention API |
| Groq Inc. | Modello Llama per estrazione lead e sentiment | USA | SCC + DPA Groq |
Osservabilità
| Fornitore | Finalità | Localizzazione | Base trasferimento |
|---|
| Sentry (Functional Software Inc.) | Error tracking e monitoring (no dati personali) | USA | SCC + DPA Sentry, data scrubbing attivo |
Schrems II — Transfer Impact Assessment
Per ciascun fornitore con sede USA, abbiamo condotto un Transfer Impact Assessment documentato che valuta:
- natura dei dati trasferiti (contenuto + categorie)
- misure tecniche aggiuntive (encryption at rest/transit, zero retention API per modelli AI)
- contesto del trasferimento (B2B SaaS, no profiling automatizzato)
- diritti effettivi degli interessati USA (FISA 702, Executive Order 12333)
Il documento TIA è disponibile su richiesta per clienti paganti, scrivere a privacy@ombrachat.it con oggetto "Richiesta TIA".
Storico modifiche
- 28 maggio 2026: pubblicazione iniziale della lista pubblica con categorizzazione e basi giuridiche dettagliate.
