Da dove inizio con Chaindoc?

Vai alla guida Quick Start. Ti guida nella creazione di un account, nel caricamento del tuo primo documento e nell'invio per la firma. Ci vogliono circa cinque minuti se hai già un documento pronto.

C'è un riferimento API?

Sì. Il riferimento API copre ogni endpoint, inclusi autenticazione, caricamento documenti, gestione firmatari e configurazione webhook. Ogni endpoint include esempi di richiesta e risposta che puoi testare nella sandbox.

Quali SDK sono disponibili per Chaindoc?

Chaindoc ha SDK per JavaScript/TypeScript, Python e Go. La pagina SDK e librerie contiene istruzioni di installazione ed esempi di codice. Se il tuo linguaggio non è elencato, l'API REST funziona con qualsiasi client HTTP.

Come funzionano i webhook in Chaindoc?

Chaindoc invia richieste POST al tuo endpoint quando si verificano eventi: documento firmato, visualizzato, scaduto e così via. La guida ai webhook mostra come configurare endpoint, verificare firme e gestire i tentativi.

Ho bisogno di un account per usare la sandbox di Chaindoc?

Sì, ma è gratuito. Registrati su chaindoc.io e otterrai automaticamente l'accesso alla sandbox. Nessuna carta di credito necessaria. La sandbox rispecchia la produzione, quindi tutto ciò che costruisci lì funzionerà allo stesso modo quando passerai alla produzione.

Dove posso trovare esempi di codice Chaindoc?

Ogni pagina della documentazione ha snippet di codice inline. Per esempi funzionanti completi, la sezione guide include flussi di firma end-to-end, operazioni in blocco e flussi di lavoro basati su template con codice copia-incolla.

Best practice di sicurezza

Chaindoc crittografa i documenti a riposo (AES-256) e in transito (TLS 1.3), verifica l'integrità sulla blockchain e registra ogni azione. Ecco la cosa: la maggior parte della sicurezza funziona automaticamente, ma ci sono impostazioni che devi configurare prima di andare in produzione.

In pratica, molte protezioni sono già attive. Tuttavia, devi abilitare alcune opzioni (MFA, restrizioni IP) e insegnare al tuo team alcune abitudini (rotazione chiavi, revisioni accessi). Questa guida copre entrambi gli aspetti.

Autenticazione

Autenticazione a più fattori

Attiva MFA per tutti, non solo per gli admin. È la mossa più efficace che puoi fare. Chaindoc supporta diverse opzioni:

App autenticatore (TOTP) — Google Authenticator, Authy, 1Password
Codici SMS — funziona ma è meno sicuro. Usa le app autenticatore quando possibile.
Chiavi hardware di sicurezza (FIDO2/WebAuthn) — l'opzione più robusta
Autenticazione biometrica su dispositivi mobili

Politiche password

Se non usi SSO, imposta password robuste. Chaindoc ti permette di configurare la lunghezza minima (consigliati 12+ caratteri), requisiti di complessità, scadenze e blocco dopo tentativi falliti. Puoi anche impedire il riutilizzo delle ultime 10 password.

Accesso basato sui ruoli

Dai alle persone solo l'accesso necessario. Chaindoc ha ruoli predefiniti (Proprietario, Admin, Manager, Membro, Ospite, Auditor) e supporta ruoli personalizzati con permessi specifici. Onestamente, dovresti revisionare le assegnazioni ogni trimestre e rimuovere ciò che non serve più. Vedi la documentazione sulla gestione team per la configurazione.

Crittografia

A riposo

Tutti i documenti sono crittografati con AES-256 in archiviazione. I backup usano chiavi separate. Le chiavi di crittografia sono gestite tramite un KMS dedicato e ruotate ogni trimestre.

In transito

Ogni connessione usa TLS 1.3. Le suite di cifratura deboli sono disabilitate. Gli header HSTS impediscono il downgrade a HTTP. Questo vale per l'app web, le API e le transazioni blockchain.

Sicurezza chiavi API

Le chiavi API sono la fonte più comune di problemi di sicurezza. Una chiave segreta trafugata dà accesso completo al tuo account Chaindoc.

Regole di gestione chiavi

Non mettere mai chiavi segrete (`sk_`) nel codice client-side. Devono stare solo sul tuo backend. Conservale in variabili d'ambiente o un secrets manager (non nel repo). Usa chiavi di test (`sk_test_`) in sviluppo. Ruota le chiavi di produzione ogni 90 giorni. Se una chiave trapelate, revocala immediatamente nella dashboard.

Le chiavi pubbliche (`pk_`) sono progettate per il frontend e hanno accesso solo in lettura, quindi sono sicure da includere nei bundle client. Per maggiori dettagli sui tipi di chiavi, vedi la guida all'integrazione API.

Verifica blockchain

Ogni documento pubblicato ottiene un hash scritto sulla blockchain. Questa è la parte a prova di manomissione. Anche se qualcuno accedesse direttamente al database, non potrebbe modificare un documento senza invalidare l'hash blockchain.

Gli hash dei documenti sono registrati al momento della pubblicazione e a ogni cambio di stato (firme, annullamento, ecc.)
Le ricevute delle transazioni sono conservate con il documento per verifiche facili
Chiunque può verificare indipendentemente un documento rispetto al record blockchain
Il record è permanente — sopravvive anche se Chaindoc dovesse chiudere

Per documenti di alto valore, vale la pena verificare il record blockchain dopo la firma per confermare che tutto corrisponda.

Sicurezza webhook

Se usi i webhook, verifica la firma HMAC su ogni richiesta in entrata. Senza questo, qualcuno potrebbe inviare eventi falsi al tuo endpoint. La guida ai webhook include il codice di verifica.

Conformità

L'infrastruttura di Chaindoc è certificata SOC 2 Type II. A seconda del tuo settore, potresti dover configurare impostazioni aggiuntive:

GDPR — opzioni di residenza dati (UE, US, Asia), diritto alla cancellazione, portabilità. Le politiche di conservazione gestiscono l'eliminazione automatica.
HIPAA — logging di audit e controlli accesso per documenti sanitari. Contatta il supporto per una BAA.
SOC 2 — i controlli di sicurezza sono documentati. Audit di terze parti annuali sono condotti regolarmente.
eIDAS / ESIGN Act / UETA — la conformità delle firme è integrata per tutti e tre i tipi.
ISO 27001 — le pratiche di gestione della sicurezza delle informazioni sono allineate con ISO 27001.

Logging di audit

Chaindoc registra ogni azione: login, accessi ai documenti, modifiche, eventi di firma, cambi permessi e chiamate API. I log sono archiviati in un sistema a prova di manomissione e conservati per almeno un anno (più a lungo se la tua politica lo richiede).

Puoi esportare i log di audit per revisioni di conformità esterne. I tentativi di login falliti e le attività sospette attivano avvisi se hai configurato il monitoraggio.

Monitoraggio e risposta agli incidenti

Configura avvisi per tentativi di login falliti, attività API insolite e escalation dei permessi. Chaindoc si integra con i sistemi SIEM se il tuo team di sicurezza ne utilizza uno.

L'essenziale: avere un piano di risposta agli incidenti pronto. Devi sapere chi contattare, cosa spegnere e come comunicare una violazione. Testa il piano almeno una volta l'anno. Per incidenti di sicurezza che coinvolgono Chaindoc, contatta security@chaindoc.com.

Checklist pre-produzione

Esegui queste verifiche prima di andare live:

MFA abilitato per tutti gli account
Politiche password configurate (12+ caratteri, blocco dopo 5 tentativi)
Ruoli assegnati con accesso minimale
Crittografia AES-256 confermata (attiva di default)
TLS 1.3 imposto su tutti gli endpoint
Chiavi API conservate in variabili d'ambiente o secrets manager
Chiavi di test sostituite con chiavi live
Rate limiting configurato per gli endpoint API
Verifica HMAC dei webhook implementata
Logging di audit abilitato e periodo di conservazione impostato
Monitoraggio sicurezza e avvisi configurati
Piano di risposta agli incidenti documentato
Backup testati (prova un ripristino)
Requisiti di conformità documentati e soddisfatti

Cosa fare dopo

Gestione team — configura ruoli e controllo accessi
Firme — comprendi i tipi di firma e la conformità
Integrazione API — proteggi la tua implementazione API
Webhook — verifica HMAC e gestione eventi
Documenti — controllo accessi e politiche di conservazione

Documentazione