Subprocessors
Chi altro vede i tuoi dati
MyFina è un servizio in hosting e, oltre al nostro server, una parte delle operazioni viene delegata a servizi di terze parti verificati. Ecco l'elenco completo — senza scorciatoie, senza promesse SaaS.
Elenco dei processor
Ogni processor svolge un compito specifico: hosting, fatturazione, consegna email, AI o consenso PSD2. Non consegniamo loro «tutto sull'utente» — solo il minimo necessario per la loro funzione. I Contratti di Trattamento dei Dati (DPA) sono obbligatori per ogni processor che gestisce PII.
| Servizio | Scopo | Dati | Regione | Stato |
|---|---|---|---|---|
| Hetzner | Hosting dell'applicazione e PostgreSQL | Tutti i dati degli utenti (encrypted at rest) | Germania (UE) | DPA firmato |
| Stripe | Fatturazione e pagamenti (abbonamento Pro) | Email, nome, indirizzo di fatturazione, cronologia pagamenti | Irlanda (UE) | DPA firmato |
| Resend | Email transazionali e di marketing | Email, corpo del messaggio, flag di consegna | USA (con EU-aware sub-processing) | DPA firmato |
| Anthropic (Claude API) | Parsing AI di voce e scontrini | Testo della frase vocale o OCR dello scontrino (senza contesto PII) | USA | DRAFT — owner-risk-accept per single-user prod |
| GoCardless (Bank Account Data) | Consenso PSD2 per banche europee | Nome, email, banca selezionata, IBAN, transazioni (con consenso) | Regno Unito / UE | DPA firmato |
| Monobank API | Sync per utenti con conti Monobank | Banking API token (cifrato), transazioni su richiesta | Ucraina | Non è un processor — API pubblica |
| Firebase Cloud Messaging (FCM) | Notifiche push verso dispositivi mobili | Device token + testo localizzato della notifica | Globale (Google) | DPA standard Google |
| Google Tag Manager + GA4 (solo sito) | Container di tag e web analytics aggregata — visite, sorgenti di traffico, conversioni | IP anonimizzato, pagina, referrer, user-agent. La configurazione dei tag si cambia in tagmanager.google.com senza code-deploy | USA / UE (multi-region) | Solo con opt-in dell'utente. GTM + GA4 con anonymize_ip=true, personalizzazione annunci disattivata |
| Microsoft Clarity (solo sito) | Heatmap e session-recording — miglioramenti UX | Heatmap di click/scroll, DOM mascherato (testo dei campi mascherato) | USA (Microsoft Azure) | Solo con opt-in dell'utente. PII mascherate di default + data-clarity-mask sui form |
L'elenco è mantenuto dal team di prodotto. Quando aggiungiamo un nuovo processor, aggiorniamo questa pagina prima del go-live in produzione. Domande su uno specifico processor — scrivi a support@my-fina.com.
← Torna a SicurezzaUltimo aggiornamento: 3 giugno 2026