Audit trail
L’audit trail è il registro senza lacune di ogni modifica rilevante nel Suo tenant CampOne. Permette di dimostrare in qualsiasi momento chi ha modificato cosa su una prenotazione, una fattura o un dossier ospite — requisito sia della nLPD, sia del GDPR, sia del diritto IVA svizzero.
Cosa viene registrato
Sezione intitolata “Cosa viene registrato”CampOne cattura automaticamente ogni modifica su:
- Prenotazioni: creazione, cambio piazzola, modifica date, annullamento, numero persone
- Fatture: creazione, invio, pagamento, nota di credito, annullamento
- Dati ospite: indirizzo, dati documento, data di nascita, consenso marketing, cancellazione
- Tassa di soggiorno e HESTA: cambi di tariffa, esenzioni, correzioni
- Piazzole e tipi: creazione, rinomina, cambio tariffa, blocco
- Utenti: login, tentativi, cambio ruolo
Per ogni voce sono memorizzati:
| Campo | Contenuto |
|---|---|
| Timestamp | UTC e ora locale |
| Utente | Nome, ruolo, indirizzo IP |
| Azione | Creazione, modifica, cancellazione |
| Valore precedente | se modifica |
| Nuovo valore | se modifica |
| Motivazione | opzionale, fornita dall’utente |
Chi può vedere l’audit trail
Sezione intitolata “Chi può vedere l’audit trail”Per default, solo il ruolo Proprietario ha accesso al trail completo. I Responsabili vedono il trail del proprio perimetro (es. solo le fatture, non i login). I Collaboratori vedono solo lo storico delle prenotazioni su cui hanno lavorato.
I diritti sono configurabili in Utenti → Ruoli — può, ad esempio, dare a un fiduciario solo accesso in lettura ai log delle fatture.
Filtri e ricerca
Sezione intitolata “Filtri e ricerca”Il navigatore del trail accetta:
- Periodo (libero, max 5 anni alla volta)
- Utente (chi ha modificato)
- Tipo di dato (prenotazione, fattura, ospite, …)
- Azione (solo creazioni, solo cancellazioni)
- Ricerca full-text (es. per numero prenotazione o nome ospite)
I risultati si esportano in PDF o CSV — entrambi con somma crittografica per rilevare manipolazioni.
Durate di conservazione
Sezione intitolata “Durate di conservazione”Ogni tipo di dato ha una durata legale:
| Tipo di dato | Conservazione |
|---|---|
| Log prenotazioni | 10 anni |
| Log fatture | 10 anni (legge IVA) |
| Log dati ospite | 10 anni per dati di annuncio, 12 mesi per scansioni documenti |
| Log login | 24 mesi |
| Log correzioni HESTA | illimitato (append-only, nessuna cancellazione) |
Allo scadere, le voci vengono anonimizzate automaticamente. L’azione resta nel log, il riferimento personale viene rimosso.
Resistenza a manipolazioni
Sezione intitolata “Resistenza a manipolazioni”Le voci sono:
- Append-only: né modifica né cancellazione possibili da utente
- Hash a catena: ogni voce contiene l’hash della precedente — una modifica successiva spezzerebbe la catena
- Sincronizzate nel tempo: NTP, con server stratum-2 in Svizzera
Per un export alle autorità, CampOne crea un PDF firmato la cui autenticità è verificabile in ogni momento tramite la catena di hash nei metadati.
Richieste delle autorità
Sezione intitolata “Richieste delle autorità”Quando polizia, fisco o UST chiedono dati, genera in Conformità → Export alle autorità un report filtrato. L’export contiene:
- i dati richiesti
- le voci di audit collegate
- una dichiarazione PDF su contenuto e contesto
- una firma crittografica
L’export stesso viene registrato — sa in qualsiasi momento quali dati sono stati consegnati a chi.
Consigli
Sezione intitolata “Consigli”- Inserire motivazioni. Per azioni sensibili (annullamento di una fattura pagata, cancellazione di un dossier ospite) CampOne La obbliga a inserire una motivazione. La disciplina ripaga — in caso di audit successivo si risparmia la ricerca.
- Verificare i log di login mensilmente. Tentativi sospetti da paesi inattesi sono un primo indizio di credenziali compromesse.
- Accesso in sola lettura per i fiduciari. Non dia diritti di scrittura ai contabili esterni — il trail resta più pulito se tutte le correzioni vengono dal Suo team.