Sicurezza CVS — RBAC multi-tenant, modelli di distribuzione e isolamento dei dati

Controllo degli accessi

RBAC multi-tenant con SSO, dal tenant fino a ogni evento di audit.

L'accesso in CVS segue una gerarchia rigorosa: Tenant → Istanza → Workspace/Reparto → Ruolo → Utente → Permesso → Evento di audit. Ogni tenant è isolato da ogni altro, e le istanze partizionano la conoscenza all'interno di un tenant così che un reparto veda sempre e soltanto ciò a cui ha diritto.

L'identità è gestita attraverso il vostro SSO esistente via SAML o OIDC, con RBAC al centro e policy ABAC opzionali per regole basate su attributi. Ogni query e ogni accesso a un'evidenza vengono scritti in un audit trail a prova di manomissione — lo standard del minimo necessario applicato nel software, non nei documenti di policy.

Gerarchia: Tenant → Istanza → Workspace/Reparto → Ruolo → Utente → Permesso → Evento di audit
SSO via SAML o OIDC; RBAC con policy ABAC opzionali basate su attributi
Isolamento rigoroso per tenant e per istanza — nessuna fuga cross-tenant per design
L'audit trail registra ogni query e ogni accesso alle evidenze per conformità e revisione degli incidenti

**RBAC multi-tenant con SSO, dal tenant fino a ogni evento di audit..** L'accesso in CVS segue una gerarchia rigorosa: Tenant → Istanza → Workspace/Reparto → Ruolo → Utente → Permesso → Evento di audit. Ogni tenant è isolato da ogni altro, e le istanze partizionano la conoscenza all'interno di un tenant così che un reparto veda sempre e soltanto ciò a cui ha diritto.

Distribuzione

Quattro modelli di distribuzione su un gradiente di controllo.

CVS copre l'intera gamma dall'avvio più rapido al controllo massimo: CVS Cloud, Cloud dedicato, Self-Hosted e Air-Gap. Il cloud vi rende operativi in meno di 48 ore con aggiornamenti gestiti; il cloud dedicato offre isolamento single-tenant nella vostra regione AWS, Azure o GCP con crittografia bring-your-own-key.

Il Self-Hosted gira interamente all'interno del vostro perimetro su Docker Compose o Kubernetes, con LLM locali serviti tramite Ollama o vLLM. L'Air-Gap va oltre — zero chiamate API esterne, nessuna telemetria, nessun phone-home, con aggiornamenti consegnati su supporto fisico. Ogni livello supporta lo stesso impianto di conformità generico: controlli allineati a SOC 2, GDPR e HIPAA.

CVS Cloud, Cloud dedicato, Self-Hosted e Air-Gap — scegliete il vostro punto sul gradiente di controllo
Self-hosted su Docker Compose o Kubernetes con LLM locali via Ollama o vLLM
Air-gap: zero chiamate esterne, nessuna telemetria, aggiornamenti tramite supporto fisico protetto
Crittografia BYOK, cloud dedicato single-tenant e controlli allineati a SOC 2 / GDPR / HIPAA su ogni modello

**Quattro modelli di distribuzione su un gradiente di controllo..** CVS copre l'intera gamma dall'avvio più rapido al controllo massimo: CVS Cloud, Cloud dedicato, Self-Hosted e Air-Gap. Il cloud vi rende operativi in meno di 48 ore con aggiornamenti gestiti; il cloud dedicato offre isolamento single-tenant nella vostra regione AWS, Azure o GCP con crittografia bring-your-own-key.

Isolamento

Isolamento dei dati a livelli, dall'inizio alla fine.

CVS isola i dati a ogni livello del percorso della richiesta: Utente/SSO autentica il chiamante; l'API gateway applica la policy; il confine del tenant e il confine dell'istanza partizionano la conoscenza; gli store crittografati conservano i dati a riposo; e la generazione della risposta gira contro un backend LLM locale o esplicitamente approvato. Ogni passo finisce nell'audit log.

Nelle modalità self-hosted e air-gap il perimetro è assoluto — dati, modelli, indici, risposte e log restano tutti all'interno del vostro ambiente, crittografati con AES-256 a riposo e TLS 1.3 in transito. Questa è la piena sovranità di esecuzione, l'architettura dietro la conformità generica a SOC 2, GDPR e HIPAA, non un distintivo di marketing.

Percorso della richiesta: Utente/SSO → API gateway → confine del tenant → confine dell'istanza → store crittografati → LLM approvato → audit log
Generazione della risposta solo contro backend LLM locali (Ollama/vLLM) o esplicitamente approvati
AES-256 a riposo, TLS 1.3 in transito; dati, modelli, indici e log restano nel vostro perimetro
Architettura progettata per soddisfare i requisiti di controllo di SOC 2, GDPR e HIPAA

**Isolamento dei dati a livelli, dall'inizio alla fine..** CVS isola i dati a ogni livello del percorso della richiesta: Utente/SSO autentica il chiamante; l'API gateway applica la policy; il confine del tenant e il confine dell'istanza partizionano la conoscenza; gli store crittografati conservano i dati a riposo; e la generazione della risposta gira contro un backend LLM locale o esplicitamente approvato. Ogni passo finisce nell'audit log.

Perimetro chiuso

La vostra infrastruttura. Le vostre regole.

Non semplice «data residency», ma sovranità di esecuzione completa: dati, modelli, indici, risposte e audit, tutto entro il vostro perimetro. Conforme al Garante fin dal primo giorno.

Avvio rapido

CVS Cloud

Operativo in meno di 48 ore
Aggiornamenti automatici
SLA 99,9 %
Dati in data center europeo qualificato ACN

Controllo bilanciato

Cloud dedicato

Isolamento single-tenant
Cloud provider europei o italiani
Crittografia BYOK
VPC Peering, SLA fino al 99,99 %

Controllo totale

Self-Hosted

I dati non lasciano mai il vostro data center
LLM locali tramite Ollama/vLLM
Docker Compose o Kubernetes
GDPR senza punti interrogativi

Sicurezza massima

Air-Gap

Zero chiamate API esterne
Nessuna telemetria, nessun phone-home
Aggiornamenti tramite supporto fisico protetto
Per requisiti ACN e infrastrutture critiche

EU AI ActGDPRLegge 132/2025ACN / AgIDAES-256 / TLS 1.3Qualificazione cloud AgID

La vostra infrastruttura, le vostre regole — i dati non lasciano mai il vostro perimetro.