Questionario di sicurezza SaaS per piccoli team prima di scegliere uno strumento

Scegliere un software SaaS non significa più valutare solo funzioni, prezzo e interfaccia. Anche una PMI può affidare a un fornitore dati di clienti, fatture, ticket, contratti, credenziali o informazioni commerciali. Se il servizio ha un incidente, il danno ricade spesso su chi lo usa.

Questa guida offre un questionario SaaS per piccoli team. Non è una due diligence da grande banca né consulenza legale, ma aiuta a distinguere risposte solide da marketing generico.

TL;DR

• Parti dai dati: cosa entra nel SaaS, dove resta, chi accede e per quanto tempo.
• Se il fornitore tratta dati personali per tuo conto, verifica il Data Processing Agreement secondo l'articolo 28 del GDPR.
• Chiedi dettagli su MFA, ruoli, cifratura, backup, sub-responsabili, export, cancellazione e incidenti.
• Diffida di “siamo GDPR compliant” senza contratto, elenco subfornitori o documentazione verificabile.
• Applica proporzionalità: più controlli per strumenti critici; revisione leggera per strumenti a basso rischio.

Scenario: una PMI sta per comprare un SaaS

Immagina una società di servizi con 25 persone. Il team commerciale vuole una piattaforma per gestire richieste, preventivi e follow-up. La prova gratuita funziona bene e si integra con email, CRM e fatturazione elettronica.

In pochi giorni, però, nello strumento potrebbero finire nomi, email, note su clienti, allegati, condizioni economiche e documenti. Se si collega a Google Workspace, Microsoft 365, SPID/CIE, firma elettronica o sistemi fiscali, entra nella catena di fiducia. La domanda utile è: “quali rischi introduce e quali evidenze abbiamo?”.

Prima del questionario: classifica il rischio

Non ogni acquisto richiede lo stesso controllo. Uno strumento per mockup marketing non pesa quanto un CRM, un gestionale HR o una piattaforma documentale.

Chiediti:

• Il SaaS tratterà dati personali di clienti, dipendenti, candidati, pazienti, studenti o utenti?
• Ci saranno dati fiscali, finanziari, sanitari, legali, lavorativi o sensibili?
• Sarà necessario per vendere, fatturare, erogare servizi o rispettare obblighi normativi?
• Si integrerà con posta, CRM, ERP, pagamenti, SPID/CIE, firma o fatturazione elettronica?
• Il fornitore potrebbe cancellare, modificare, esportare o bloccare dati importanti?

Se più risposte sono “sì”, usa il questionario completo. Se il rischio è basso, mantieni almeno domande su dati, accessi, contratto, export e cancellazione.

Domande chiave per il fornitore

1. Dati trattati e finalità

Domanda: Quali categorie di dati trattate, per quali finalità e per quanto tempo?

Buona risposta: categorie, finalità, retention e riferimenti contrattuali. Per esempio: dati degli utenti dell'account, contenuti caricati dal cliente e metadati necessari al servizio, con cancellazione entro un termine definito dopo la chiusura.

Risposta preoccupante: “raccogliamo solo ciò che serve” senza dettagli, oppure “non accediamo ai vostri dati” quando il servizio li conserva o li elabora.

2. GDPR e ruolo del fornitore

Domanda: Quando trattate dati personali per nostro conto, agite come responsabile del trattamento? Fornite un DPA conforme all'articolo 28 del GDPR?

Buona risposta: ruolo chiaro, DPA disponibile, istruzioni documentate, riservatezza, misure tecniche e organizzative, assistenza per diritti degli interessati, sub-responsabili, restituzione o cancellazione e audit ragionevoli.

Risposta preoccupante: dichiarazione generica di conformità senza allegato contrattuale, o termini che permettono riuso dei dati del cliente per finalità proprie non spiegate.

L'articolo 28 del GDPR richiede un contratto o atto giuridico tra titolare e responsabile. Per una PMI italiana, conservarlo serve a dimostrare diligenza verso clienti, partner e, se necessario, il Garante.

3. Localizzazione e trasferimenti

Domanda: In quali Paesi vengono conservati e trattati i dati? Ci sono trasferimenti fuori dallo Spazio Economico Europeo?

Buona risposta: regioni cloud, Paesi coinvolti, sub-responsabili e meccanismi di trasferimento quando applicabili, come clausole contrattuali standard.

Risposta preoccupante: “nel cloud” senza indicare dove, o cambi di localizzazione e subfornitori senza preavviso.

4. Sub-responsabili e supply chain

Domanda: Quali terzi usate per hosting, supporto, pagamenti, analytics, email, AI o monitoraggio? Come comunicate modifiche?

Buona risposta: elenco dei sub-responsabili, notifiche di aggiornamento e processo di valutazione dei fornitori critici. La CISA evidenzia che la sicurezza ICT include la supply chain, non solo il vendor principale.

Risposta preoccupante: nessun elenco o strumenti di supporto con accesso ampio senza controlli chiari.

5. Accessi e autenticazione

Domanda: Supportate MFA, SSO, ruoli granulari e principio del minimo privilegio? Come controllate l'accesso del vostro personale?

Buona risposta: MFA, SSO tramite SAML o OIDC quando serve, ruoli per permesso, log amministrativi e accesso del supporto limitato, temporaneo e tracciato.

Risposta preoccupante: account condivisi, assenza di MFA, ruoli troppo generici o supporto che può vedere tutto senza approvazione.

6. Cifratura e segreti

Domanda: I dati sono cifrati in transito e a riposo? Come gestite chiavi, token API e integrazioni?

Buona risposta: TLS, cifratura a riposo, separazione degli ambienti, gestione sicura dei segreti e rotazione delle credenziali.

Risposta preoccupante: “ci pensa il cloud provider” come unica spiegazione, oppure token visibili in chiaro.

7. Backup, continuità ed exit

Domanda: Quali backup esistono, ogni quanto vengono testati e come possiamo esportare o cancellare i dati a fine contratto?

Buona risposta: frequenza, retention, test di ripristino, indicazioni RPO/RTO, export in formati comuni e processo di cancellazione definitiva.

Risposta preoccupante: backup non testati, export solo tramite ticket senza tempi chiari o lock-in su formati proprietari.

8. Incidenti di sicurezza

Domanda: Come ci avvisate se un incidente coinvolge i nostri dati? Quali informazioni riceveremo?

Buona risposta: processo documentato, contatto security, tempi di notifica, descrizione dell'evento, dati coinvolti, misure adottate e azioni consigliate.

Risposta preoccupante: “vi avvisiamo se necessario” o assenza di canale per segnalazioni.

9. Evidenze e controlli

Domanda: Quali evidenze potete condividere: policy, audit, pentest, ISO 27001, SOC 2, CAIQ o mappatura alla CSA Cloud Controls Matrix?

Buona risposta: evidenze proporzionate, anche sotto NDA, con data, perimetro e servizio coperto. Per strumenti critici, la CSA Cloud Controls Matrix aiuta a confrontare controlli cloud in modo ordinato.

Risposta preoccupante: badge e loghi di sicurezza senza report, data o ambito.

Riepilogo rapido

Nota italiana

In Italia, il GDPR convive con il Codice Privacy e con le indicazioni del Garante per la protezione dei dati personali. Per una PMI, è utile conservare traccia della valutazione: contratto, DPA, sub-responsabili, misure richieste, rischi accettati e limiti d'uso.

Il contesto locale aggiunge attenzione ai SaaS collegati a fatturazione elettronica, conservazione documentale, firma, SPID/CIE o processi fiscali. Quando un fornitore entra in questi flussi, verifica continuità, export, log, responsabilità contrattuali e possibilità di migrare senza perdere documenti o evidenze.

Metodologia e fonti

Fonti principali:

• GDPR, articolo 28: https://gdpr.eu/article-28-processor/
• CISA, ICT supply chain security: https://www.cisa.gov/topics/information-communications-technology-supply-chain-security
• CSA Cloud Controls Matrix v4: https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4
• ENISA, cloud security guide for SMEs: https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes

Trade-off

La sicurezza ha costo e frizione. Un piccolo team non deve pretendere da ogni fornitore garanzie da banca, ma deve essere più severo quando il SaaS è critico o contiene dati sensibili.

• Rischio alto: DPA, sub-responsabili, MFA/SSO, backup, export, incidenti ed evidenze indipendenti.
• Rischio medio: dati, localizzazione, accessi, cancellazione e supporto.
• Rischio basso: limita i dati caricati e documenta perché l'impatto è ridotto.

Funzioni come SSO, log avanzati o retention configurabile spesso stanno nei piani superiori. Se lo strumento è critico, quel costo fa parte del prezzo reale della sicurezza.

FAQ

Devo usare questo questionario per ogni SaaS?

No. Usalo integralmente per strumenti con dati personali, integrazioni critiche o dipendenza operativa. Per strumenti marginali, applica una versione breve.

Se il fornitore non risponde, devo scartarlo?

Dipende dal rischio. Per un servizio critico, l'assenza di risposte è un segnale serio. Per un uso limitato, puoi procedere con restrizioni e senza caricare dati importanti.

Una certificazione ISO 27001 o SOC 2 basta?

È utile, ma controlla perimetro, data, servizio incluso e controlli coperti. Un logo senza report prova poco.

Il DPA mi mette automaticamente in regola?

No. Il DPA è necessario quando il fornitore agisce da responsabile, ma devono essere coerenti anche misure tecniche, sub-responsabili, trasferimenti e incidenti.

Chi dovrebbe leggere le risposte?

Chi acquista lo strumento, chi gestisce IT o operations e, se ci sono dati personali rilevanti, consulente privacy, DPO o legale.

Suggerimenti per link interni

• Guida alla valutazione dei fornitori SaaS per piccoli team.
• Checklist GDPR prima di attivare un nuovo strumento cloud.
• Modello di matrice dei rischi per acquisti software.
• Come controllare sub-responsabili e trasferimenti internazionali in un SaaS.