Accedi
Informativa privacy NoKycVPS — nessun log, GDPR, anonimato totale
Privacy · In vigore dal Jun 27, 2026

Cosa raccogliamo — e cosa no.

Trattiamo i vostri dati come vorremmo che fossero trattati i nostri: raccolti con parsimonia, conservati brevemente e mai condivisi su richiesta. Questo è l'elenco completo.

Riepilogo rapido Leggi i termini completi
In un paragrafo

Raccogliamo un indirizzo e-mail, un hash della password, il saldo del vostro account, la configurazione del vostro server e ciò che è strettamente necessario per mantenere i vostri servizi operativi. Non raccogliamo nomi, indirizzi, numeri di telefono, documenti di identità, impronte digitali del browser o dati analitici. Non vendiamo, affittiamo o condividiamo i vostri dati. Non utilizziamo tracker. Eliminiamo quasi tutto rapidamente. L'unica circostanza in cui questi dati lasciano la nostra infrastruttura è un ordine giudiziario valido di un tribunale competente — e anche in quel caso, siete notificati prima che agiamo.

01

Cosa raccogliamo

Per account:

  • Indirizzo e-mail. Uno per account. Accettiamo qualsiasi indirizzo che riceva posta, incluse le caselle usa e getta. Vi inviamo notifiche di servizio e avvisi preliminari.
  • Hash della password. Memorizzato come bcrypt con costo 12. Non vediamo né memorizziamo mai la password in chiaro.
  • Saldo account. Il vostro credito attuale in USD.
  • Timestamp di accesso. Data e ora dell'accesso più recente. Utilizzato per visualizzare «ultima visita» nelle impostazioni e per rilevare attività insolite.

Per servizio distribuito:

  • Prodotto (VPS o dedicato), piano, regione, immagine OS e ciclo di fatturazione — la configurazione che avete scelto.
  • Password root cifrata. AES-256-CBC a riposo, derivata da un segreto esclusivo del server che non esponiamo. Non possiamo decifrarla per una consultazione occasionale; il provisioner la decifra al momento del deployment e il valore viene poi eliminato dalla memoria del processo.
  • Stato del servizio (in attesa, attivo, sospeso, terminato), IPv4 assegnata (una volta allocata), timestamp di creazione e rinnovo.

Per pagamento:

  • Riferimento dell'ordine, importo richiesto, criptovaluta scelta, indirizzo di deposito generato dal nostro hub di pagamento, ID transazione una volta confermato e timestamp di conferma.
  • Non registriamo il vostro indirizzo wallet mittente. Non colleghiamo i pagamenti ad alcuna identità esterna.
02

Cosa non raccogliamo

  • Nessun nome reale. Mai.
  • Nessun indirizzo fisico. Né di fatturazione né di spedizione.
  • Nessun numero di telefono. Né per la verifica, né per il recupero, né «in caso di problemi urgenti».
  • Nessun documento d'identità governativo. Nessuna scansione di passaporto, nessuna patente di guida, nessun numero fiscale.
  • Nessuna impronta digitale del browser. Non eseguiamo librerie di fingerprinting sulle nostre pagine.
  • Nessuna analisi. Niente Google Analytics, niente Plausible, niente Matomo, nessun pixel interno. Non sappiamo quanti di voi leggono questa pagina.
  • Nessun tracker di terze parti. Niente Facebook Pixel, niente Hotjar, nessun widget di chat che comunica con il proprio server. Le uniche risorse esterne che carichiamo sono i caratteri tipografici da Google Fonts e un set di icone crypto da un CDN pubblico — entrambi perché vengono memorizzati aggressivamente nella cache su tutto il web e risparmiare 200 ms di handshake TLS non vale la pena di gestire il proprio server di font. Se siete contrari a questo, navigate tramite Tor; le pagine si renderizzano perfettamente senza di essi.
  • Nessun dato bancario o della carta. Non accettiamo quei metodi di pagamento.
  • Nessun contenuto del vostro server. Non indicizziamo, scansionizziamo, specchiamo né campioniamo ciò che vi gira sopra.
03

Log lato server

Il server web (nginx) scrive una voce nel log di accesso per ogni richiesta HTTP — URL, codice di stato, timestamp, user agent e IP di origine dopo lo scartamento di Cloudflare. Utilizziamo questi log per una sola cosa: il rate-limiting dei bot e la tracciatura dei problemi infrastrutturali. Vengono ruotati ed eliminati dopo 7 giorni. Non lasciano mai l'host.

I log applicativi (errori, avvisi) vengono scritti in un file separato, anch'esso ruotato dopo 7 giorni. Non contengono credenziali né contenuti di messaggi.

Non registriamo all'interno del vostro server. Qualunque cosa faccia il vostro servizio, non lo vediamo.

04

Cookie

Impostiamo esattamente un cookie al momento dell'accesso: PHPSESSID, un identificatore di sessione opaco. È HttpOnly, Secure, SameSite=Lax, e dura trenta giorni salvo che non facciate il logout. Non esiste cookie di tracciamento, né cookie pubblicitario, né banner di consenso perché non c'è nulla a cui acconsentire. Se siete disconnessi, non viene impostato alcun cookie.

05

Cifratura

  • In transito: TLS 1.2+ su ogni connessione, HSTS precaricato, solo suite di cifratura moderne. Nessun fallback HTTP.
  • A riposo: Il disco del database utilizza la cifratura completa del disco LUKS. Le password root dei server distribuiti sono ulteriormente cifrate con AES-256-CBC a livello di riga. I backup vengono cifrati prima di lasciare l'host.
  • Password: bcrypt con costo 12. Non possiamo recuperarle, solo verificarle.
06

Con chi condividiamo i dati

Per impostazione predefinita, nessuno. Né altri provider, né forze dell'ordine, né «partner fidati».

Le eccezioni limitate:

  • Hub di pagamento (simsms.co). Quando ricaricate il conto, inviamo l'importo richiesto e la criptovaluta al nostro hub di pagamento affinché possa generare un indirizzo di deposito e verificarne le conferme. Inviamo: il riferimento dell'ordine, l'importo in USD, la criptovaluta scelta. Non inviamo il vostro indirizzo e-mail né l'ID account.
  • CDN a cui facciamo riferimento. Google Fonts e jsDelivr (per il set di icone crypto e il nostro set di bandiere linguistiche) vedono gli IP dei visitatori che recuperano quelle risorse. Non scambiamo dati con loro — si limitano a servire file statici.
  • Provider di hosting/transito. I nostri provider di datacenter hanno tecnicamente accesso fisico alle macchine. Non possono leggere i volumi cifrati senza le nostre chiavi, che non sono memorizzate su disco.
  • Ordini giudiziari. Consultate i termini di servizio. Agiamo solo su ordini eseguibili, di portata limitata, con preavviso a voi.
07

Per quanto tempo conserviamo i dati

  • Registro account: per tutta la durata dell'account, più 30 giorni dopo la chiusura definitiva per risolvere eventuali controversie. Poi eliminato dal database in produzione.
  • Registrazioni dei pagamenti: 13 mesi dopo la conferma per scopi contabili, poi eliminati definitivamente.
  • Registrazioni del server: 90 giorni dopo la chiusura, poi eliminati. I volumi disco associati vengono azzerati al momento della chiusura.
  • Log di accesso nginx: 7 giorni, poi ruotati.
  • Registrazioni di sessione: fino alla scadenza della sessione (30 giorni di inattività) o al logout, a seconda di quale evento si verifichi prima.
  • Backup: 14 giorni cifrati, poi ruotati.
08

Il vostro controllo

Dal vostro pannello di controllo potete: cambiare la password, visualizzare i servizi attivi, consultare il registro di fatturazione completo, chiudere qualsiasi servizio e fare il logout dal browser corrente. La chiusura dell'account è self-service dal pannello delle impostazioni.

Non esiste un pulsante «elimina i miei dati» perché non vi è alcun database aggiuntivo che memorizzi i vostri dati. Chiudete i vostri servizi, ritirate il saldo rimanente tramite un'ultima ricarica e avrete effettivamente completato l'operazione. La finestra di tolleranza di 30 giorni esiste nel caso in cui cambiate idea.

Se la vostra giurisdizione vi concede un diritto di accesso (GDPR, CCPA o simili), il pannello espone già tutto ciò che deteniamo su di voi. Non esiste un archivio esterno al sistema da ispezionare.

09

Modifiche

Le modifiche sostanziali — qualsiasi modifica che ampli ciò che raccogliamo, riduca le vostre finestre di conservazione a vostro svantaggio o aggiunga un nuovo destinatario della condivisione dei dati — vengono annunciate 30 giorni in anticipo, per e-mail e sulla pagina /canary.

Le modifiche non sostanziali (chiarimenti, refusi) entrano in vigore immediatamente. La data «in vigore dal» in cima a questa pagina riflette sempre l'ultimo aggiornamento.