Architettura di sicurezza
Una buona architettura di sicurezza prevede che nessuno abbia accesso al tuo database. Questo è il principio che guida ogni scelta in Plas.
Ogni organizzazione ha il proprio database fisicamente separato. Non si tratta di row-level security su un database condiviso: sono istanze distinte, credenziali separate, nessuna query cross-tenant possibile a livello infrastrutturale.
Il team di Plas gestisce la piattaforma e l'infrastruttura, ma non ha accesso ai dati che le organizzazioni inseriscono nelle loro app. L'accesso è separato architetturalmente, non solo per policy.
Il controllo degli accessi opera su tre livelli distinti: tabella (chi può vedere questa tabella), record (chi può vedere questo specifico record), campo (chi può vedere o modificare questo campo). Niente accessi in eccesso.
I dati vengono salvati automaticamente con cadenza configurabile. Prima di qualsiasi cancellazione definitiva, Plas effettua un backup che puoi scaricare. Il cestino mantiene i record per 90 giorni, con possibilità di ripristino.
Ogni modifica a un record viene registrata in un log append-only. Non è possibile cancellare lo storico retroattivamente. Il time-travel ti permette di vedere lo stato di qualsiasi record in qualsiasi momento passato.
Plas usa NextAuth per la gestione delle sessioni e Supabase Auth per l'autenticazione. Supporta SSO tramite provider federati (OIDC, SAML). Le sessioni hanno scadenza configurabile e revoca immediata.
Tutte le comunicazioni tra client e server avvengono tramite TLS 1.3. I dati a riposo sono cifrati con AES-256. Le chiavi di cifratura sono gestite separatamente per ogni organizzazione.
Residenza geografica dei dati configurabile. Diritto all'oblio implementato con procedura in due fasi (backup, poi cancellazione). Registro degli accessi disponibile per audit. Portabilità in CSV e JSON per ogni tabella.
Puoi installare Plas sulla tua infrastruttura — on-premise o cloud privato. In modalità self-hosted, il team di Plas non ha alcun accesso tecnico alla tua istanza. Ricevi aggiornamenti via pacchetto, non tramite accesso diretto.
Ogni azione significativa — accessi, modifiche, esportazioni, cambi di permesso — viene registrata con timestamp, utente e IP. Il log è esportabile e non modificabile dagli utenti.
La sincronizzazione in tempo reale avviene attraverso canali WebSocket autenticati e isolati per organizzazione. Gli aggiornamenti in tempo reale rispettano esattamente gli stessi permessi delle query standard.
La cancellazione di un record è sempre soft-delete: il record finisce nel cestino per 90 giorni, recuperabile da chi ha i permessi. Solo dopo la scadenza avviene la rimozione fisica, preceduta da notifica esplicita.