Disponibile solo in Svizzera

Schweizerform è attualmente disponibile esclusivamente per gli utenti in Svizzera. La creazione di un account dalla tua regione è limitata.
Schweizerform LogoSchweizerform
Torna ai modelli
Azienda·Valutazione

Questionario Sicurezza Fornitore

Valuta la postura di sicurezza informatica dei fornitori con questo questionario professionale conforme alla nLPD svizzera. Copre ISO 27001, SOC 2, sub-responsabili, storico degli incidenti, test di penetrazione e controlli di accesso.

Informazioni su questo modello

Il questionario di sicurezza IT per fornitori consente alle organizzazioni svizzere di valutare sistematicamente la postura di sicurezza delle informazioni dei loro fornitori e prestatori di servizi prima di instaurare o rinnovare un rapporto di trattamento dei dati. Copre i domini chiave richiesti dalla nLPD art. 8, GDPR art. 28, ISO/IEC 27001 e SOC 2 Type II.

  • Certificazioni di sicurezza informatica: ISO 27001, SOC 2, BSI C5
  • Localizzazione del trattamento e archiviazione dei dati (Svizzera / UE / paesi terzi)
  • Elenco dei sub-responsabili e obblighi di notifica
  • Storico delle violazioni della sicurezza e gestione degli incidenti
  • Frequenza e ambito dei test di penetrazione
  • Pratiche di controllo degli accessi e gestione delle identita
  • Standard di cifratura per i dati in transito e a riposo
  • Contatto sicurezza del fornitore e politica di divulgazione responsabile

Rischio di terze parti ai sensi della nLPD art. 8

La nLPD svizzera richiede ai titolari del trattamento di selezionare responsabili del trattamento che offrano garanzie sufficienti di misure tecniche e organizzative di sicurezza. Prima di ingaggiare un fornitore che tratta dati personali, e necessario effettuare una due diligence e documentarne il risultato.

Come usare questo modello

1

Apri il modello

Clicca su 'Usa modello' per creare una copia nella tua dashboard.

2

Personalizza l'ambito di rischio

Aggiungi o rimuovi domande per riflettere le specifiche categorie di dati e attivita di trattamento coinvolte con ciascun fornitore.

3

Invia al fornitore

Genera un link sicuro e invialo al referente sicurezza o compliance del fornitore per la compilazione.

4

Rivedi le risposte

Confronta le risposte del fornitore con il tuo livello minimo di sicurezza e segnala eventuali lacune per la correzione prima della firma del contratto.

5

Archivia con il contratto

Conserva il questionario completato insieme al contratto fornitore e al DPA nel registro dei rischi dei fornitori.

6

Pianifica la rivalutazione

Imposta un promemoria per riemettere il questionario annualmente o in caso di modifiche significative ai servizi del fornitore.

Valutazione della sicurezza dei fornitori nel contesto normativo svizzero

Poiche le aziende svizzere si affidano sempre piu a provider cloud, piattaforme SaaS e managed service provider, il rischio di sicurezza informatica di terze parti e diventato una delle sfide di conformita piu significative del decennio. La nLPD svizzera, la Circolare FINMA 2023/1 sui rischi operativi e le linee guida del BACS impongono alle organizzazioni di valutare e gestire la postura di sicurezza dei loro fornitori.

ISO 27001 e SOC 2: cosa dicono le certificazioni?

La certificazione ISO/IEC 27001 indica che un fornitore ha implementato un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) documentato, sottoposto ad audit indipendente. Il SOC 2 Type II dimostra l'efficacia operativa dei controlli su sicurezza, disponibilita, integrita del trattamento, riservatezza e privacy per un periodo di audit definito. Tuttavia, le certificazioni coprono solo l'ambito definito al momento dell'audit. Richiedere sempre il certificato effettivo ed esaminare la dichiarazione di ambito.

Catene di sub-responsabili e obblighi di notifica

Molti fornitori SaaS si affidano a sub-responsabili come AWS, Azure, Google Cloud o piattaforme specializzate. Ai sensi della nLPD art. 10a e del GDPR art. 28(2), un responsabile del trattamento deve ottenere l'autorizzazione scritta preventiva del titolare prima di coinvolgere un sub-responsabile, e deve notificare il titolare di qualsiasi modifica. Il questionario deve richiedere un elenco completo dei sub-responsabili e un impegno di notifica preventiva delle modifiche.

Localizzazione dei dati e trasferimenti transfrontalieri

La nLPD impone restrizioni al trasferimento transfrontaliero di dati personali verso paesi che non garantiscono un livello adeguato di protezione dei dati (nLPD art. 16). I fornitori che trattano dati al di fuori della Svizzera o dell'UE/SEE devono dimostrare una base giuridica adeguata per il trasferimento, come le Clausole Contrattuali Standard svizzere (SCC nLPD) o le norme vincolanti d'impresa.

Domande frequenti

Con quale frequenza il questionario di sicurezza fornitore deve essere riemesso?

La best practice prevede una rivalutazione annuale per tutti i fornitori con accesso a dati personali o sensibili, e in caso di qualsiasi modifica significativa all'ambito dei servizi, alla proprieta del fornitore o a seguito di un incidente di sicurezza segnalato. I fornitori ad alto rischio dovrebbero essere valutati piu frequentemente, potenzialmente ogni trimestre.

Qual e il livello minimo di sicurezza per l'approvazione del fornitore?

Una base minima tipica per le organizzazioni svizzere include: cifratura dei dati in transito (TLS 1.2+) e a riposo (AES-256); autenticazione a piu fattori per l'accesso amministrativo; certificazione ISO 27001 o SOC 2 Type II; test di penetrazione annuali; piano di risposta agli incidenti documentato; e impegno di notifica degli incidenti entro 72 ore o meno.