Come verificare un cloud provider sotto ISO 27001

TL;DR

14 domande chiave per valutare un cloud provider in fase di selezione ISO 27001. Le risposte accettabili e quelle che fanno fermare la trattativa.

Le 14 domande

Certificazioni e governance

1. Avete ISO 27001:2022, 27017, 27018, 9001? Mi mostra i certificati?

• Accettabile: tutti e 4 con scope coerente.
• Stop: meno di 27001 + 27017.

1. Chi è l'ente certificatore? Quando l'ultimo audit?

• Accettabile: ente accreditato (TÜV, DNV, Bureau Veritas) e audit nei 12 mesi.
• Stop: ente non accreditato, audit > 18 mesi.

1. Avete una policy di sicurezza pubblicata?

• Accettabile: PDF disponibile o sintesi pubblica.
• Stop: rifiuto generico.

Datacenter e operatività

1. Dove sono fisicamente i datacenter?

• Accettabile: Italia o EU con dichiarazione esplicita.
• Stop: extra-EU senza SCC o EU-US Data Privacy Framework.

1. Chi controlla la società operativa?

• Accettabile: visura camerale UE.
• Stop: controllo non-EU non dichiarato.

1. Personale di supporto e SOC?

• Accettabile: italiano o EU, formato.
• Stop: outsourcing extra-EU senza dichiarazione.

Continuità operativa

1. RTO e RPO documentati nei vostri SLA?

• Accettabile: sì, contratto.
• Stop: solo "best effort".

1. Frequenza di backup off-site? Verifica integrità?

• Accettabile: ogni N ore + verifica automatica.
• Stop: backup non verificato.

1. Quanto spesso testate il vostro DR?

• Accettabile: trimestrale o più frequente.
• Stop: annuale generico, non documentato.

Sicurezza tecnica

1. Cifratura at-rest? In-transit?

• Accettabile: AES-256 + TLS 1.3.
• Stop: nessuna o solo at-rest.

1. Gestione delle chiavi? HSM?

• Accettabile: HSM o KMS dedicato.
• Stop: chiavi gestite manualmente.

1. MFA? Per tutti gli account o solo admin?

• Accettabile: tutti, almeno raccomandato.
• Stop: solo per admin.

Gestione incidenti

1. Procedura di notifica al cliente?

• Accettabile: SLA scritto (es. 4-24h).
• Stop: nessun impegno scritto.

1. Sub-fornitori? Chi e cosa fa?

• Accettabile: lista trasparente.
• Stop: rifiuto di disclosure.

Il workflow di selezione

1. inviate il questionario al provider (max 1 settimana per rispondere);
2. valutate le risposte: 12 su 14 verdi = OK; 2 rosse = stop;
3. richiedete prove (certificati, log di test);
4. firmate solo dopo che tutte e 14 sono coperte.

FAQ

Il provider rifiuta di rispondere a 14 domande, cosa fare?

Cambiate provider. Un cloud provider serio risponde in 2-3 giorni.

Posso accettare provider con scope di certificazione limitato?

Solo se lo scope copre il servizio specifico che acquisterete. Verificate.

Per la guida al cluster continuità, ISO 27001:2022 e continuità. Per il confronto fra ISO, ISO 27001 vs 27017 vs 27018.