Informativa sulla privacy

devs group GmbH
8280 Kreuzlingen
devs-group.ch

Questa app non è un prodotto ufficiale di Bexio AG. «Bexio» è un marchio registrato di Bexio AG. Viene sviluppata e gestita in modo indipendente da devs group. L’utilizzo è del tutto volontario. L’utente decide se e per quanto tempo utilizzare questa App. La disinstallazione è possibile in qualsiasi momento e cancella tutti i dati locali.

Il Fornitore non memorizza nessuno dei dati commerciali Bexio dell’utente (fatture, contatti, file) sui propri server. Questi dati sono memorizzati esclusivamente localmente sul dispositivo. Le richieste API verso Bexio transitano attraverso un sistema backend del Fornitore che agisce come proxy. Questo backend non registra né analizza le richieste o i dati commerciali. Solo i token di autenticazione e i dati di stato minimi necessari al funzionamento sono memorizzati lato server (vedi sezioni 4 e 5).

Autenticazione (OAuth / Device Token)

Al momento dell’accesso, l’utente si autentica direttamente presso Bexio tramite un processo OAuth sicuro (PKCE). Le credenziali Bexio (Access Token e Refresh Token) sono memorizzate e gestite esclusivamente sul sistema backend del Fornitore – non raggiungono mai il dispositivo. Solo un token specifico del dispositivo (Device Token) viene memorizzato nel portachiavi sicuro (Keychain/Keystore). La password Bexio non viene mai memorizzata nell’App né trasmessa al Fornitore.

La memorizzazione lato server dei token Bexio serve a due scopi: (1) il segreto client OAuth è mantenuto lato server, rafforzando la sicurezza; (2) il servizio di notifica può verificare in background se si sono verificati cambiamenti di stato rilevanti. I token sono utilizzati esclusivamente per questi scopi e cancellati alla revoca.

Dati di stato minimi lato server

Per rilevare se qualcosa è cambiato, il backend memorizza un minimo assoluto di dati di stato per account:

• Ultimo conteggio/ID noti dei file nella posta in arrivo
• Ultimo stato noto delle fatture

Questi dati non contengono alcun contenuto (nessun nome file, importo, nome cliente). Vengono cancellati alla disconnessione o alla revoca.

Dati Bexio memorizzati in cache

Per l’uso offline, i seguenti dati vengono memorizzati localmente:

• Fatture (dati principali, posizioni, stato)
• Fatture fornitori (dati principali, posizioni, metadati allegati)
• File nella posta in arrivo (metadati, anteprime)
• Contatti (nome, indirizzo)
• Nome dell’azienda

Questi dati non lasciano il dispositivo. La cache può essere svuotata in qualsiasi momento nelle impostazioni.

Notifiche push (opzionale)

Le notifiche push sono opzionali. Un token push specifico del dispositivo viene trasmesso al servizio del Fornitore. Questo token non contiene dati personali. Le notifiche possono essere disattivate in qualsiasi momento.

Il Fornitore memorizza lato server esclusivamente:

• Access Token e Refresh Token Bexio: cifrati, per l’autenticazione e le verifiche in background
• Push Token (solo con notifiche attivate): per la consegna dei messaggi push
• Dati di stato minimi: ultimo conteggio file/ID e stato fatture, senza contenuti

Il Fornitore non memorizza nessun indirizzo IP, nessun log del server e nessun dato di utilizzo.

Il Fornitore non ha alcun accesso ai dati Bexio, alla password, alle fatture, ai contatti o ai file dell’utente.

I dati dell’utente non vengono venduti, noleggiati o condivisi a scopi pubblicitari o analitici. Non viene effettuato alcun tracking. I seguenti servizi di terze parti sono tecnicamente integrati:

• Bexio AG: le richieste API vengono inoltrate tramite il backend del Fornitore all’API ufficiale di Bexio (in conformità con la loro Informativa sulla privacy)
• Apple Push Notification Service / Firebase Cloud Messaging: consegna delle notifiche push. Dettagli nell’Informativa sulla privacy Firebase.

• Dati Bexio locali: cancellazione immediata alla disinstallazione o svuotamento della cache
• Device Token (locale): cancellazione alla disconnessione o disinstallazione
• Token Bexio (server): cancellazione alla disconnessione, revoca o su richiesta
• Push Token: cancellazione alla disattivazione o disinstallazione
• Dati di stato (server): cancellazione alla disconnessione, revoca o su richiesta
• Cancellazione automatica: gli account inattivi da più di 90 giorni vengono automaticamente cancellati dal server.

L’utente ha il controllo completo sulla cancellazione dei propri dati.

Ai sensi della legge svizzera sulla protezione dei dati (nLPD), l’utente ha i seguenti diritti:

• Informazione: è possibile richiedere in qualsiasi momento informazioni sui dati memorizzati dal Fornitore.
• Cancellazione: la disinstallazione cancella tutti i dati locali. I dati del server vengono cancellati automaticamente dopo 90 giorni di inattività o su richiesta.
• Revoca: revocare l’accesso OAuth in qualsiasi momento nel proprio account Bexio.
• Reclamo: è possibile presentare un reclamo all’IFPDT.

Questo sito web e l’App non utilizzano nessun cookie, nessuna pubblicità e nessun salvataggio di IP. Non vengono creati profili di utilizzo.

L’App utilizza i meccanismi di sicurezza del dispositivo (Keychain/Keystore per i token, App Sandbox per il database). La comunicazione con l’API Bexio avviene esclusivamente tramite connessioni HTTPS cifrate. Il Fornitore non può tuttavia garantire una sicurezza assoluta.

La presente informativa sulla privacy può essere modificata in qualsiasi momento. La versione attuale è sempre consultabile su questa pagina.