← Hub
Strumenti · youMANA Group · Governance degli accessi

Chi vede cosa.

Non tutto dev'essere di dominio di tutti. Alcune informazioni servono al team intero; altre — fiscali, societarie, strategiche — restano alla direzione. Il principio è sano e si chiama need-to-know: ognuno accede a ciò che gli serve per lavorare bene, niente di più, niente di meno.

01 · Il principio

Need-to-know, non segretezza

Limitare gli accessi non è sfiducia: è igiene informativa e rispetto. Un tecnico non ha bisogno di vedere la pianificazione fiscale; la direzione non deve esporre dati societari sensibili a chi non li userà mai. Dare a ciascuno ciò che gli serve protegge tutti — le persone, l'azienda e le informazioni stesse.

Coerenza con i valori. Questo non contraddice la trasparenza del Patto. Trasparenza significa che le regole sono chiare e nessuno è ingannato — non che ogni dato è pubblico. Lo stipendio di un collega, la strategia fiscale, i termini con un investitore: sono informazioni che si proteggono per rispetto e per legge (GDPR, riservatezza), non per opacità. Il principio è ISO 27001 A.5.15: accesso basato sul bisogno reale.
02 · I tre livelli

Tre cerchi di accesso

Una struttura semplice a tre livelli, non di più — sarebbe complessità inutile. Ogni documento sta in un solo cerchio.

Livello 1 · Team

Tutto l'ecosistema

Chi: tutte le 9 persone (@youmana.co) · il sistema operativo condiviso
  • Regolamento · Il Patto
  • Manuale & Decalogo Comunicazione
  • Mansionario & Organizzazione
  • Turnazione, copertura, ferie
  • Modello Operativo Unified Secure IT
  • Eventi & Progetti
  • Email & Gruppi
  • Sistema Comunicazione Cliente
  • Configurazione SuperOps
  • Modulo Assegnazione Dotazioni
  • Veicoli & Uniformi
  • MANAzone (posizionamento)
Livello 2 · Direzione & Amministrazione

Chi gestisce l'azienda

Chi: Simone (CEO/COO), Francesca (BMA, per la parte sua), futuro COO
  • Governance Fiscale · Chi fattura cosa
  • Struttura societaria & flussi
  • Distribuzione costi & personale
  • Budget, conti, margini per società
  • Contratti quadro & fornitori strategici
  • Questa stessa guida accessi
Livello 3 · Ristretto CEO

Solo fondatore + professionisti

Chi: Simone + professionisti dedicati (commercialista, esperto Art.57, legale)
  • Procedura Art.57 CCII OMEGAtech
  • Materiale investitori & term sheet
  • Strategia M&A, exit, partecipazioni
  • Dati personali sensibili del personale
  • Compensi individuali & equity
  • Documenti legali riservati
Francesca è un caso a parte. Come BMA tocca amministrazione e dati del personale: accede al Livello 2 per la sua funzione, ma non necessariamente a tutto il Livello 3 (investitori, Art.57 strategico). L'accesso si dà per funzione, non per gerarchia: ognuno vede ciò che il suo ruolo richiede.
03 · Mappa documenti

Dove sta ogni cosa

La regola operativa: i documenti del sistema operativo (l'hub attuale) sono quasi tutti Livello 1. Il nuovo materiale fiscale, societario e strategico è Livello 2 o 3 e non vive nell'hub del team.

DocumentoLivelloDove vive
Sistema operativo (14 doc: regolamento, comunicazione, turni, processi…)L1 TeamHub team · os.youmana.co
MANAzone posizionamentoL1 TeamHub team
Governance Fiscale · Chi fattura cosaL2 DirezioneArea direzione · os.youmana.co/direzione
Distribuzione costi, personale, marginiL2 DirezioneArea direzione
Procedura Art.57, investitori, equityL3 RistrettoFuori dall'hub · spazio cifrato CEO + professionisti
Decisione pratica. La Governance Fiscale che abbiamo costruito va spostata dall'hub team a un'area Direzione protetta. Resta accessibile a te e a chi gestisce l'azienda, ma non compare ai tecnici. I documenti di Livello 3 (Art.57, investitori) idealmente non stanno nemmeno sullo stesso sito: vivono in uno spazio separato condiviso solo coi professionisti.
04 · Come si fa

Tecnicamente, su Cloudflare

Con Cloudflare Access si creano policy diverse per percorso (path) dello stesso sito, oppure progetti separati. La via più semplice e robusta: un sito, due aree, due regole.

# Struttura del sito youmana-os su Cloudflare Pages
os.youmana.co/                 → Livello 1 · tutti @youmana.co
  index.html                   hub team
  youMANA_Regolamento...html
  youMANA_Decalogo...html
  ... (i 14 documenti del team)

os.youmana.co/direzione/       → Livello 2 · solo direzione
  youMANA_Governance_Fiscale...html
  costi_personale_margini.html

# Policy Cloudflare Access
Policy A  path: /*            → email che finiscono @youmana.co
Policy B  path: /direzione/*  → solo simone@ , francesca@ (allowlist)

# Livello 3 → NON su questo sito
spazio separato cifrato (es. drive riservato) CEO + professionisti
Regola d'oro tecnica. Le due policy si valutano per percorso: chi apre /direzione/ senza essere nell'allowlist viene bloccato dal login, anche se è un utente @youmana.co valido. Una sola configurazione, due cerchi netti. Il Livello 3 sta deliberatamente fuori: meno cose sensibili passano da un sito web, meglio è — i documenti Art.57 e investitori si condividono uno a uno coi professionisti, non si "pubblicano" nemmeno in area protetta.
05 · Pre-mortem

Dove la riservatezza si rompe

Sette modi in cui la gestione accessi fallisce, e il guardrail. Sezione interna.

Tutto in un hub solo

Documenti fiscali e societari nello stesso hub dei tecnici → dati sensibili esposti a chi non deve.

GuardrailTre livelli, tre cerchi. Il fiscale in area direzione, non nell'hub team.

Accesso per gerarchia, non per funzione

"È un senior, vede tutto" → un ruolo tecnico accede a dati che non gli servono.

GuardrailNeed-to-know: si accede per bisogno reale del ruolo, non per anzianità.

Art.57 e investitori su un sito web

Materiale concorsuale o term sheet pubblicati anche in area protetta → superficie di rischio inutile.

GuardrailLivello 3 fuori dal sito: condiviso uno a uno coi professionisti, mai "pubblicato".

Allowlist non aggiornata

Chi esce dall'azienda mantiene l'accesso → falla di sicurezza, dati che escono.

GuardrailRevoca accessi nel processo di commiato (cap.09 Regolamento). Un owner verifica le liste.

Credenziali condivise

Un login passato tra colleghi "per comodità" → tracciabilità persa, livelli aggirati.

GuardrailSSO personale (Google Workspace/JumpCloud). Ogni accesso è individuale e loggato.

Riservatezza confusa con opacità

Il team percepisce i livelli come segreti e sfiducia → si rompe la cultura del Patto.

GuardrailSpiegare il perché: privacy e legge, non sfiducia. La trasparenza è sulle regole, non sui dati sensibili.

Il dato che migra da solo

Un documento L2 viene copiato in chat o mail e gira → il livello non conta più.

GuardrailCultura del "non inoltrare ciò che è riservato" + classificazione chiara nei documenti.
In una riga. Tre cerchi di accesso — team, direzione, ristretto CEO — assegnati per funzione e non per gerarchia; il sistema operativo resta condiviso, il fiscale va in area direzione, l'Art.57 e gli investitori stanno fuori dal sito. Need-to-know, non segretezza: si protegge per rispetto e per legge, mai per opacità. Kia Kaha.