Estensione Chrome

Privacy Policy

Password Manager — Estensione per Google Chrome

Ultimo aggiornamento: Gennaio 2025

Indice

  1. Titolare del trattamento
  2. Introduzione e ambito di applicazione
  3. Dati raccolti e finalità
  4. Come funziona la crittografia
  5. Dove vengono archiviati i dati
  6. Condivisione con terze parti
  7. Permessi richiesti e motivazione
  8. Misure di sicurezza
  9. Utilizzo da parte di minori
  10. Diritti dell'utente (GDPR)
  11. Conservazione dei dati
  12. Modifiche alla privacy policy
  13. Contatti

1 Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite questa estensione è:

Andrea Sabetta
Sviluppatore indipendente
Sito web: andreasabettaprogrammatore.com
Email: andre@andre-dev.com

2 Introduzione e ambito di applicazione

Questa Privacy Policy descrive come l'estensione Chrome Password Manager raccoglie, utilizza e protegge i dati degli utenti in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR — Regolamento UE 2016/679) e con le normative vigenti in materia di protezione dei dati personali.

L'estensione consente agli utenti di salvare, gestire e autocompilare le proprie credenziali di accesso (username e password) per i siti web visitati.

Principio fondamentale: le password salvate vengono cifrate direttamente nel browser dell'utente prima di essere inviate al server. Il server non riceve mai le password in chiaro né la chiave di cifratura.

3 Dati raccolti e finalità

3.1 Dati forniti volontariamente dall'utente

Dato Finalità Base giuridica Inviato al server
Nome e cognome Registrazione account Esecuzione del contratto
Indirizzo email Autenticazione e identificazione account Esecuzione del contratto
Password account (master password) Autenticazione — viene hashata con bcrypt prima dell'invio Esecuzione del contratto Sì (solo hash)
Credenziali dei siti salvati (username) Salvataggio e autocompilazione Consenso esplicito dell'utente
Credenziali dei siti salvati (password) Salvataggio e autocompilazione Consenso esplicito dell'utente Sì (solo cifrata)
URL e nome dei siti web Associare le credenziali al sito corretto Consenso esplicito dell'utente

3.2 Dati generati automaticamente dal sistema

Dato Finalità Inviato al server
Salt crittografico Derivazione della chiave AES — generato dal server alla registrazione Sì (in chiaro)
IV (Initialization Vector) Cifratura AES-GCM — generato nel browser ad ogni salvataggio Sì (in chiaro)
Chiave AES derivata Cifratura e decifratura delle password No — mai
Cookie di sessione PHP Mantenere l'autenticazione tra le richieste Sì (solo verso il server dell'estensione)

3.3 Dati NON raccolti

L'estensione non raccoglie i seguenti dati:

4 Come funziona la crittografia

La sicurezza delle password salvate si basa su crittografia end-to-end implementata interamente nel browser. Di seguito il funzionamento tecnico:

4.1 Derivazione della chiave (PBKDF2)

Al momento del login, la chiave AES viene derivata dalla master password dell'utente tramite l'algoritmo PBKDF2 con le seguenti caratteristiche:

La chiave derivata non viene mai trasmessa al server e viene archiviata temporaneamente solo in chrome.storage.session, che si svuota automaticamente alla chiusura del browser.

4.2 Cifratura delle password (AES-GCM)

Ogni password viene cifrata con AES-GCM prima di essere inviata al server:

Il server riceve e archivia esclusivamente dati cifrati. Anche in caso di accesso non autorizzato al database, le password degli utenti non sono recuperabili senza conoscere la master password di ciascun utente.

4.3 Archiviazione della chiave nel browser

La chiave AES derivata viene archiviata in chrome.storage.session per permettere l'uso dell'estensione senza richiedere la master password ad ogni apertura del popup. Questa memoria:

5 Dove vengono archiviati i dati

5.1 Server remoto

I dati dell'account e le credenziali cifrate vengono archiviati su un server situato in Europa (Francia), gestito tramite il provider di hosting OVH SAS (sede legale: 2 rue Kellermann, 59100 Roubaix, Francia).

OVH è certificato ISO 27001 e conforme alle normative europee sulla protezione dei dati. Il trasferimento dei dati avviene esclusivamente tramite connessione HTTPS (TLS 1.2+).

5.2 Browser locale

I seguenti dati vengono archiviati localmente nel browser:

5.3 Dati mai archiviati

6 Condivisione con terze parti

I dati degli utenti non vengono venduti, ceduti o condivisi con terze parti per scopi commerciali o pubblicitari.

I dati possono essere condivisi esclusivamente nei seguenti casi:

Nessun dato viene trasmesso a servizi di analytics, piattaforme pubblicitarie, social network o qualsiasi altro soggetto terzo.

7 Permessi richiesti e motivazione

L'estensione richiede i seguenti permessi a Chrome. Ogni permesso è strettamente necessario al funzionamento:

Permesso Motivazione Dati accessibili
storage Archiviare la chiave AES in chrome.storage.session durante la sessione Solo i dati scritti dall'estensione stessa
activeTab Identificare l'URL del tab attivo per proporre le credenziali corrette Solo URL del tab attivo, solo quando l'utente interagisce con il popup
scripting Iniettare il content script per compilare automaticamente i form di login Accesso al DOM della pagina corrente per trovare e compilare i campi input
host_permissions (dominio API) Permettere le chiamate HTTPS al server backend dell'estensione Solo richieste verso il server dell'estensione, mai verso altri domini

Il permesso scripting e il content script vengono attivati solo sulle pagine web normali. L'estensione non opera su pagine interne di Chrome (chrome://, chrome-extension://) né sul Chrome Web Store.

8 Misure di sicurezza

8.1 Misure tecniche

8.2 Limitazioni

Nonostante le misure adottate, nessun sistema è immune da rischi. L'utente è responsabile di:

8.3 Notifica violazioni

In caso di violazione dei dati personali che possa comportare rischi per i diritti e le libertà degli utenti, il titolare provvederà a notificare l'evento all'Autorità Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta, e agli utenti interessati senza ingiustificato ritardo, come previsto dall'art. 33-34 GDPR.

9 Utilizzo da parte di minori

Questa estensione è destinata a utenti che hanno compiuto almeno 16 anni. Non raccogliamo consapevolmente dati personali di minori di 16 anni.

Se un genitore o tutore viene a conoscenza che un minore ha fornito dati personali senza il proprio consenso, è pregato di contattarci all'indirizzo email indicato nella sezione Contatti per richiedere la cancellazione dei dati.

10 Diritti dell'utente (GDPR)

Ai sensi del Regolamento UE 2016/679 (GDPR), ogni utente ha diritto a:

Per esercitare questi diritti, contattare il titolare all'indirizzo email indicato nella sezione Contatti. Le richieste vengono evase entro 30 giorni dal ricevimento.

L'utente ha inoltre il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (Garante Privacy — garanteprivacy.it).

11 Conservazione dei dati

Tipo di dato Periodo di conservazione
Dati account (nome, email, password hash) Fino alla cancellazione dell'account da parte dell'utente
Credenziali cifrate dei siti Fino alla cancellazione da parte dell'utente o dell'account
Cookie di sessione Fino alla chiusura del browser o al logout esplicito
Chiave AES in chrome.storage.session Fino alla chiusura del browser o al logout esplicito
Log di errore del server Massimo 30 giorni, poi eliminazione automatica

L'utente può richiedere la cancellazione immediata di tutti i propri dati in qualsiasi momento contattando il titolare. La cancellazione dell'account comporta l'eliminazione permanente e irreversibile di tutti i dati associati.

12 Modifiche alla privacy policy

Il titolare si riserva il diritto di modificare questa Privacy Policy in qualsiasi momento, in particolare per adeguarsi a modifiche normative, aggiornamenti tecnici o variazioni nelle funzionalità dell'estensione.

Le modifiche sostanziali verranno comunicate agli utenti tramite un avviso visibile all'apertura del popup dell'estensione. La data dell'ultimo aggiornamento è sempre indicata in cima a questo documento.

L'utilizzo continuato dell'estensione dopo la pubblicazione delle modifiche costituisce accettazione della nuova versione della Privacy Policy.

13 Contatti

Per qualsiasi domanda, richiesta o segnalazione relativa al trattamento dei dati personali, è possibile contattare il titolare:

Andrea Sabetta
Email: andre@andre-dev.com
Sito web: andreasabettaprogrammatore.com

Per richieste di cancellazione dati, indicare nell'oggetto dell'email: "Richiesta cancellazione dati — Password Manager".