Security Baseline

Sicurezza, auditabilità e neutralità operativa come standard di piattaforma.

EV Scout definisce una baseline di sicurezza pubblica e verificabile per tutti i Provider integrati. Non si tratta di una semplice policy commerciale o di un documento marketing: le garanzie descritte in questa sezione rappresentano vincoli architetturali e operativi applicati all’intera piattaforma, progettati per proteggere credenziali, dati operativi, integrità del ranking pubblico e separazione dei privilegi tra utenti, Provider e amministrazione interna.

Questa pagina è destinata a operatori CPO, responsabili compliance, team security, procurement, figure tecniche e partner enterprise che necessitano di comprendere in modo approfondito come EV Scout gestisce autenticazione, auditing, segregazione delle audience, trattamento dati e governance della fiducia all’interno dell’ecosistema.

In questo contesto, temi come la manipolazione del ranking, la visibilità sponsorizzata, l’utilizzo improprio dei dati operativi, la segregazione degli accessi o la verificabilità delle sessioni di handoff non sono dettagli implementativi: diventano elementi centrali di governance della piattaforma.

EV Scout ha quindi scelto di formalizzare pubblicamente una Security Baseline esplicita, destinata ai Provider integrati e progettata per rendere trasparenti limiti, responsabilità, garanzie e comportamenti non ammessi all’interno dell’ecosistema.

Principi Fondanti
Neutralità
Il ranking pubblico non può essere alterato da accordi economici.
Auditabilità
Ogni operazione sensibile deve essere ricostruibile retroattivamente.
Minimizzazione
I Provider non ricevono dati personali utente non necessari.
Segregazione
Audience e privilegi operano in domini separati.
01 · Credenziali & Token

Le credenziali Provider non vengono mai esposte in chiaro.

Token OCPI, API key e credenziali di integrazione vengono cifrati prima della persistenza e gestiti in contesti isolati lato server. Le informazioni sensibili non vengono propagate verso frontend, dashboard pubbliche o sistemi di logging applicativo.

Questo approccio riduce l’esposizione accidentale delle credenziali, limita la superficie di attacco e impedisce che operatori interni, strumenti di osservabilità o pipeline di debug possano accedere ai secret operativi in formato leggibile.

AES-256
Encryption Standard
Segregazione server-side dei secret e protezione delle credenziali operative.
02 · Ranking Governance

Il ranking pubblico non può essere comprato.

EV Scout separa esplicitamente ranking operativo e relazioni commerciali. Nessun parametro economico, fee contrattuale, sponsorship o partnership può alterare direttamente la posizione delle stazioni nel ranking pubblico.

Questa scelta è centrale per preservare la credibilità dell’ecosistema. In assenza di neutralità verificabile, una piattaforma aggregatrice rischia infatti di trasformarsi in un sistema pubblicitario opaco invece che in un layer informativo affidabile per utenti e Provider.

Price Score
55%
Confidence
20%
Reliability
15%
Station Score
10%
03 · Handoff Security

Le sessioni di handoff devono essere verificabili e attribuibili.

EV Scout firma le sessioni di handoff verso endpoint Provider utilizzando token verificabili lato server. Questo permette al Provider di validare autenticità, provenienza e integrità della sessione ricevuta senza dover assumere implicitamente che il traffico sia legittimo.

In ecosistemi multi-provider, la verificabilità delle sessioni diventa essenziale non solo dal punto di vista della sicurezza, ma anche per la gestione di dispute operative, attribuzione degli handoff e riconciliazione economica.

04 · Data Minimization

I Provider non ricevono dati personali non necessari.

EV Scout applica un principio di minimizzazione dei dati durante i flussi di handoff e integrazione. L’identità reale dell’utente non viene propagata verso il Provider quando non strettamente necessario per l’esecuzione del servizio.

Questo approccio riduce il rischio di correlazione tra piattaforme, limita l’esposizione di informazioni personali e semplifica la gestione delle responsabilità GDPR tra EV Scout e i partner integrati.

05 · Segregazione Accessi

Audience separate per impedire escalation di privilegi.

EV Scout separa logicamente e operativamente gli ambienti User, Provider e Admin. I token di autenticazione operano in domini distinti e non sono riutilizzabili trasversalmente tra i portali.

Questa separazione riduce il rischio di privilege escalation e impedisce che una compromissione lato Provider possa estendersi ai sistemi amministrativi interni della piattaforma.

06 · Session Governance

Le sessioni amministrative devono essere revocabili in tempo reale.

Le sessioni privilegiate vengono validate persistentemente e possono essere invalidate immediatamente in caso di sospetto incidente, compromissione account o necessità operative.

Questo modello evita finestre di tolleranza e riduce il rischio associato a token persistenti non revocabili o cache di autenticazione non sincronizzate.