Vendor Security Questionnaire

Dati del fornitore

Questionario (15 domande)

1. Governance: Esiste un programma formale di sicurezza (policy, ruoli, responsabilità) approvato dal management?
   Evidenze: organigramma security, policy, SoA/controlli, verbali/comitati.
2. Risk management: Eseguite risk assessment periodici sul servizio/prodotto fornito e sui suoi componenti critici?
   Evidenze: metodologia, ultimi report, piano di trattamento rischio.
3. Certificazioni/attestazioni: Avete certificazioni o attestazioni di sicurezza rilevanti (es. ISO 27001 o equivalenti) applicabili allo scope del servizio?
   Evidenze: certificato, scope, statement/annex, date validità.
4. Asset & configurazioni: È mantenuto un inventario aggiornato degli asset (hardware/software/cloud) e delle configurazioni che erogano il servizio?
   Evidenze: asset register, CMDB, baseline/hardening guide.
5. Access control: Gli accessi amministrativi sono gestiti con least privilege, approvazioni, tracciamento e review periodiche?
   Evidenze: processo IAM/PAM, report access review, log accessi privilegiati.
6. Autenticazione forte: È implementata MFA per accessi amministrativi e per accessi remoti (dove applicabile)?
   Evidenze: policy MFA, screenshot/estratti configurazione, eccezioni.
7. Logging & monitoring: Sono attivi log di sicurezza e monitoraggio con retention definita e procedure di triage/alerting?
   Evidenze: logging policy, retention, esempi alert, runbook SOC/IR.
8. Vulnerability management: Esiste un processo di vulnerability scanning, gestione patch e SLA (per severità) misurato nel tempo?
   Evidenze: policy, ultimi report scan, KPI patch, backlog remediation.
9. Secure development (se software): Avete SDLC sicuro (code review, SAST/DAST, dipendenze, secret scanning) e gestione delle release?
   Evidenze: SDLC policy, pipeline CI/CD, report strumenti, release notes process.
10. Crittografia: I dati sono cifrati in transito e (dove necessario) a riposo, con gestione controllata delle chiavi?
    Evidenze: crypto policy, KMS/HSM, configurazioni TLS, key rotation.
11. Incident response: Avete un piano di Incident Response testato (esercitazioni) e un canale di escalation verso il cliente?
    Evidenze: IR plan, report tabletop, contatti escalation, RACI.
12. Notifica incidenti: Vi impegnate contrattualmente a notificare incidenti che impattano il servizio entro una finestra definita (es. 24h) e con aggiornamenti successivi?
    Evidenze: clausola contrattuale standard, template comunicazione, SLA notifica.
13. Business continuity: Avete BCP/DR con backup testati e obiettivi RTO/RPO dichiarati per il servizio?
    Evidenze: BCP/DR plan, report test restore, RTO/RPO per componenti.
14. Subfornitori (supply chain): Elencate subfornitori critici e applicate controlli di sicurezza (due diligence e monitoraggio) anche sulla vostra supply chain?
    Evidenze: lista subprocessor, policy onboarding vendor, audit/attestazioni.
15. Exit & data handling: In caso di cessazione, garantite revoca accessi, restituzione/cancellazione dati e supporto all’uscita (portabilità) con tempi definiti?
    Evidenze: exit plan, data retention/deletion policy, procedure offboarding.