name: sub-processors description: SSoT BOS interno della lista sub-processor Multiverbe · sorgente di verità per privacy policy iubenda + DPA cliente last_update: 2026-05-19 owner: gregorio

Sub-Processor List · Multiverbe SaaS

Allineato a: privacy policy iubenda 92115618 · DPA template cliente · canon 08-risks.md § "DPA con sub-processori" · skill multiverbe-ch-compliance.

SSoT interno (business). Quando aggiungi/rimuovi un sub-processor:

  1. Aggiorna questo file (entry tabella + log change in fondo) 1b. Aggiorna il SSoT in codice frontend/multiverbe-app/api/_lib/legal/subprocessors.ts (bump version) + aggiungi un entry a SUBPROCESSOR_CHANGELOG con announcedOn=oggi e effectiveFrom≥oggi+30gg. Il cron api/cron/subprocessor-notify.ts (P2 · PR #178) invia poi automaticamente la notifica 30gg ai titolari attivi nella loro lingua, una volta sola per coppia workspace×versione (idempotenza+audit in audit_log_gdpr_art9). L'endpoint pubblico /legal/subprocessors mostra le "Prossime modifiche".
  2. Aggiorna privacy policy su iubenda dashboard 92115618 (Layer A · superfici proprie)
  3. Aggiorna DPA cliente template (api/_lib/legal/outbound-legal.ts · PR #182)
  4. La notifica 30gg ai clienti attivi parte dal changelog in codice (vedi 1b); obbligo nDSG art. 9 + GDPR art. 28

Sub-processor attivi · 2026-05-19

# Sub-processor Servizio Data category Location Region instance Status
1 Anthropic AI orchestratore (Sonnet 4.6 · Haiku 4.5 · Opus 4.7) Pseudonimized text (PII removed via src/lib/pii-pseudonymize.ts pre-call) US US-East active
2 Mistral AI Cold outreach email (Medium 3) Email body draft (template + variable interpolation pre-send) FR/EU EU-West active
3 Google Cloud Content multimodale (Gemini 2.5 Flash) Image/video/audio generation prompts (no customer PII) US EU-multi active
4 Moonshot AI (Kimi) Site builder (Kimi K2.6) Site brief + brand DNA (no customer PII) CN/SG SG active
5 Stripe Pagamenti subscription + checkout Payment method · transaction · billing email · VAT ID US (HQ) · IE (EU entity) EU active
6 Datatrans · Payrexx Twint CH + carte CH Payment method · transaction · billing email CH CH active
7 Brevo (ex Sendinblue) Email transazionale + SMTP Recipient email · message body · open/click events FR/EU EU active
8 Vercel Deploy + CDN frontend Request logs · IP truncato · UA · path US (HQ) · EU edge global edge active
9 Supabase DB + Auth + Storage primario All customer data · workspace_id scoped via RLS DE eu-central-1 Frankfurt EU only active
10 Iubenda Cookie banner + privacy policy hosting Consent log · banner version · IP truncato IT EU active
11 Upstash Redis Rate-limit ephemeral cache (60 req/min IP · 200 req/min workspace) IP truncato + workspace_id (no PII raw · TTL 60s sliding window) US (HQ) · EU instance EU-West-1 active 2026-05-19

Replicate API (sub-processor secondario · uso parziale)

# Sub-processor Servizio Status
12 Replicate Image generation alt-text + assets active (token Vercel env · uso parziale Pianeta Web Site Builder)

In preavviso 30gg (annunciato, non ancora attivo per clienti esterni)

# Sub-processor Servizio Data category Location Annuncio Efficace Status
13 Perplexity Reach · Visibilità AI (Perplexity Sonar) Query di ricerca non-PII (settore + città) · nessun dato personale cliente US 2026-06-09 2026-07-10 secondary · preavviso

Aggiunto al SSoT codice subprocessors.ts (version 2026-06-09) + SUBPROCESSOR_CHANGELOG. Il cron subprocessor-notify invia la notifica 30gg ai titolari attivi. ⚠️ announcedOn = data REALE di deploy: se si pubblica dopo il 2026-06-09 aggiornare announce + tenere efficace ≥ announce+30gg. Internamente (workspace founder, nessun titolare terzo) si può attivare subito per dogfooding; per clienti esterni solo dal 2026-07-10.

Classificati NON sub-processor (fonti dati · niente PII, niente preavviso)

  • Tavily (web-trends · grounding Pianeta Content): riceve SOLO query settore + zona + stagione (es. "tendenze ristoranti in Ticino autunno 2026"), generata e condivisa per (settore, zona[, città]) — zero PII, zero dato cliente. È un indice di ricerca pubblico, non tratta dati personali per conto del titolare → non è un sub-processor ai sensi di revFADP art. 9 / GDPR art. 28. Classificazione founder 2026-06-06 · da ratificare all'audit subprocessor-completeness-audit (lun 08/06). Gira solo nel cron settimanale, mai sul percorso utente.

Sub-processor previsti post-MVP (NON ancora annunciati)

  • DataForSEO (Reach E4 AI-Overviews monitoring · post-gate)
  • Google Business Profile API (Reach C1b GBP sync · founder ha eligibility clock 60gg fino 2026-07-17)

Storia change

  • 2026-06-09 (announce) · ADDED Perplexity (sub-processor secondary, Reach · Visibilità AI). Preavviso 30gg revFADP art. 9 → efficace 2026-07-10. SSoT codice subprocessors.ts v2026-06-09 + SUBPROCESSOR_CHANGELOG. Query non-PII (settore+città). Tavily classificata NON sub-processor (fonte dati pubblica, zero PII · founder 2026-06-06). Strategia costi+uso: external-search-apis-strategy-2026-06-06.md. 🔴 Founder pre-attivazione: (1) verificare URL DPA Perplexity dal web + aggiungere a subprocessors.ts; (2) ratificare al subprocessor-completeness-audit 08/06; (3) iubenda + DPA cliente template.
  • 2026-06-03 · Iubenda piani ACQUISTATI (Layer A · Multiverbe-proprio) · Essentials su multiverbe.com landing (annuale €59,88/anno · progetto 92115618 = flow/4534066) + Advanced su multiverbe.app app (mensile €21,99 · flow/4553637 · wizard: sede CH, utenti "in tutto il mondo" → GDPR+FADP+CCPA, tipo SaaS, lingua base IT). Adv mensile = stesse funzioni dell'annuale, passare ad annuale quando ci sono fondi (-16%). NB: questi coprono SOLO le 2 superfici di Multiverbe; i siti cliente = Layer B distinto, vedi pianeta-web-compliance-2026-06-03.md. Da fare sul dashboard Iubenda (gratis, post-acquisto): aggiungere i sub-processor mancanti (Upstash, Replicate + verifica 11+) alla privacy 92115618 + attivare Cookie Solution/Consent DB + generare ToS app (Advanced).
  • 2026-05-19 · ADDED Upstash Redis · rate-limit Phase 2 Security Hardening · stack: @upstash/ratelimit + @upstash/redis · env: UPSTASH_REDIS_REST_URL + UPSTASH_REDIS_REST_TOKEN (Vercel project multiverbe-app) · data minimization: solo IP truncato + workspace_id · TTL 60 secondi sliding window · NO PII raw · low-sensitivity. Founder action items post-add: (1) signup upstash.com region eu-west-1 · (2) env vars Vercel · (3) aggiungere a iubenda dashboard privacy policy 92115618 sotto sezione "Servizi tecnici e analytics" · (4) integrare nel DPA cliente template come allegato A§3.
  • 2026-05-15 · ADDED Iubenda · cookie banner + privacy policy hosting · Privacy 92115618 + Cookie /cookie-policy wired · GDPR all + FADP CH + CCPA California.
  • 2026-05-10 · BASELINE iniziale · Anthropic + Mistral + Google + Kimi + Stripe + Datatrans + Brevo + Vercel + Supabase active da setup canon stack.

Note compliance

  • EU Data Boundary: Supabase + Brevo + Mistral + Iubenda · EU only.
  • Pseudonimizzazione obbligatoria: prima di ogni call ad Anthropic (US, fuori EU Data Boundary) · pattern src/lib/pii-pseudonymize.ts (CLAUDE.md rule 4 · verificato Phase 1 Security Lockdown 2026-05-19).
  • Swiss adequacy: la Svizzera ha decisione adeguatezza UE · trasferimenti EU↔CH consentiti senza SCC aggiuntive.
  • Schrems II: trasferimenti verso US (Anthropic · Google · Stripe US entity · Vercel HQ · Upstash HQ) coperti via SCC standard contracts art. 46 GDPR + DPF post-2023 dove applicabile.
  • revFADP CHF 250k personal liability founder: mitigata da pseudonimizzazione PII + EU Data Boundary su dati sensibili + DPA cliente + breach notification 72h GDPR + skill multiverbe-incident-response.

Ref correlate:

  • pianeta-web-compliance-2026-06-03.md — Layer A vs B, decisione meccanismo siti cliente, roadmap PR
  • Skill multiverbe-ch-compliance (pattern nDSG + GDPR + DPA + DSAR)
  • Skill multiverbe-incident-response (5-step playbook 4h target)
  • Canon 08-risks.md § "Rischi cybersecurity / liability"
  • Iubenda dashboard: https://www.iubenda.com/it/dashboard (Privacy 92115618)
  • DPA cliente template: ops/dpa-cliente-template.md (da creare se non esiste)