Piano di Disaster Recovery e Business Continuity
Ultimo aggiornamento: 28 giugno 2026
Il presente documento descrive sinteticamente il Piano di Disaster Recovery (DR) e Business Continuity (BC) adottato da FRANCESCO PIRAS per la piattaforma Nutri Clinic Pro, in conformità con l'art. 32 GDPR ("capacità di assicurare su base permanente riservatezza, integrità, disponibilità e resilienza dei sistemi" e "capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico").
1. Obiettivi
- RTO (Recovery Time Objective): ripristino del Servizio entro 24 ore da un evento disastroso.
- RPO (Recovery Point Objective): perdita massima di dati pari a 24 ore (backup giornaliero), con point-in-time recovery fino a 7 giorni per il database.
- Disponibilità target: 99,5% su base mensile.
2. Architettura resiliente
- Database PostgreSQL gestito (Supabase / Lovable Cloud) con repliche e high availability nativi.
- Frontend e funzioni server distribuiti su rete CDN edge globale (Cloudflare) con fail-over automatico tra POP.
- Storage oggetti (foto, documenti) replicato su più zone di disponibilità all'interno del SEE.
- DNS gestito con TTL ridotti per consentire switch rapidi.
3. Backup
- Backup automatici giornalieri del database, cifrati at-rest.
- Point-in-time recovery fino a 7 giorni.
- Backup storage oggetti con versioning attivo.
- Verifica periodica dell'integrità dei backup almeno una volta al trimestre.
- Conservazione su zona geografica separata rispetto al primario.
4. Scenari di rischio considerati
- Indisponibilità prolungata di una regione cloud.
- Corruzione logica dei dati (errore applicativo, intervento umano).
- Compromissione di credenziali o ransomware.
- Attacco DDoS o picco di traffico anomalo.
- Errore di deployment / regressione software.
5. Procedure di ripristino
- Rilevazione tramite monitoraggio, alert e segnalazioni utenti.
- Classificazione dell'incidente (severity 1-3) e attivazione del referente tecnico.
- Contenimento: isolamento del componente impattato, rotazione credenziali se necessario.
- Ripristino da backup o tramite roll-back del deployment; failover di regione se applicabile.
- Verifica di integrità e consistenza dei dati prima della riattivazione.
- Comunicazione agli utenti via email e pagina di stato.
- Post-mortem entro 7 giorni con azioni correttive.
6. Business Continuity
- Backup utente giornaliero: ogni professionista può attivare l'invio automatico giornaliero (alle 03:00 Europa/Roma) di un archivio JSON completo dei propri dati, via email e/o su cloud esterno (Google Drive, Amazon S3). Il file resta scaricabile per 7 giorni tramite link firmato dalla pagina "Backup dati".
- Esportazione dati (GDPR Art. 20) sempre disponibile dal portale: i professionisti possono mantenere copia locale dei dati dei propri pazienti.
- Stampe e PDF dei piani alimentari generabili in autonomia per garantire continuità della prestazione anche in caso di indisponibilità temporanea del Servizio.
- Modalità offline parziale (cache locale IndexedDB) per consultazione dei dati già caricati.
7. Gestione data breach
In caso di violazione di dati personali viene seguita la procedura prevista dagli artt. 33-34 GDPR: notifica al Garante Privacy entro 72 ore dalla conoscenza e, ove richiesto, comunicazione agli interessati. È mantenuto un registro interno delle violazioni.
8. Test e revisione
- Test di ripristino backup almeno una volta a trimestre.
- Revisione del piano almeno una volta all'anno o a fronte di modifiche significative dell'architettura.
- Aggiornamento della documentazione e formazione del personale autorizzato.
9. Contatti
Referente continuità operativa: francescopiraslab@gmail.com.