Sicurezza Fornitori & Gestione Rischio Terze Parti (Sintesi)

Supplier Security & Third-Party Risk Management (Summary)

CERTIFICATO IWZ applica controlli per ridurre i rischi legati a fornitori e terze parti che possono trattare dati o supportare servizi essenziali (es. hosting, email, archiviazione, ticketing, strumenti operativi). L’obiettivo è proteggere la catena di fornitura e garantire continuità e compliance.

CERTIFICATO IWZ applies controls to reduce risks from suppliers and third parties that may process data or support essential services (e.g., hosting, email, storage, ticketing, operational tools). The goal is to protect the supply chain and ensure continuity and compliance.

Procurement note: per l’elenco sub-processors aggiornato fare riferimento alla pagina Data Processing.

Procurement note: for the current sub-processor list refer to Data Processing.

Vendor onboarding Contractual controls Monitoring Vendor onboarding Contractual controls Monitoring

1. Approccio di gestione rischio

1. Risk management approach

Classificazione: valutazione della criticità del fornitore (dati trattati, impatto, dipendenze).
Due diligence: raccolta evidenze e requisiti minimi di sicurezza/compliance.
Contrattualizzazione: NDA, DPA/clausole privacy, obblighi di sicurezza e notifica incidenti.
Monitoraggio: revisione periodica, indicatori, gestione cambiamenti.

Classification: supplier criticality assessment (data handled, impact, dependencies).
Due diligence: evidence gathering and minimum security/compliance requirements.
Contracting: NDA, DPA/privacy clauses, security obligations and incident notification.
Monitoring: periodic review, indicators, change management.

2. Requisiti minimi (baseline)

2. Minimum requirements (baseline)

Area	Area	Requisito	Requirement
Accessi	Access	Controlli accesso, account management, MFA dove applicabile.	Access controls, account management, MFA where applicable.
Sicurezza tecnica	Technical security	Patching, hardening, protezione malware, logging dove applicabile.	Patching, hardening, malware protection, logging where applicable.
Dati	Data	Cifratura in transito/a riposo dove applicabile, minimizzazione, retention.	Encryption in transit/at rest where applicable, minimization, retention.
Incidenti	Incidents	Processo incident response e notifica tempestiva in caso di breach ove richiesto.	Incident response process and timely notification in case of breach where required.
Subappalto	Subcontracting	Controllo sub-processors, approvazione/trasparenza dove applicabile.	Sub-processor control, approval/transparency where applicable.

3. Controlli contrattuali

3. Contractual controls

NDA: obblighi di riservatezza e protezione informazioni.
DPA / privacy clauses: ruoli, istruzioni, sub-processors, trasferimenti e sicurezza.
Notifica incidenti: obbligo di notifica e cooperazione investigativa.
Diritti audit/assessment: possibilità di verifiche documentali o questionari ove applicabile.

NDA: confidentiality and information protection obligations.
DPA / privacy clauses: roles, instructions, sub-processors, transfers and security.
Incident notification: duty to notify and cooperate with investigations.
Audit/assessment rights: possibility of documentary checks or questionnaires where applicable.

4. Monitoraggio e gestione cambiamenti

4. Monitoring and change management

I fornitori critici possono essere soggetti a revisioni periodiche, aggiornamento evidenze e valutazione di cambiamenti (es. variazioni di servizio, data location, sub-processors, incidenti). Le non conformità o rischi elevati possono richiedere azioni correttive o sostituzione.

Critical suppliers may be subject to periodic reviews, evidence updates and assessment of changes (e.g., service changes, data location, sub-processors, incidents). Nonconformities or high risks may require corrective actions or replacement.

5. Incident management con terze parti

5. Incident management with third parties

Coordinamento: canali e punti di contatto per gestione incidente.
Containment: misure immediate per limitare impatto.
Root cause: analisi e azioni correttive.
Notifiche: verso clienti/autorità dove richiesto dalla normativa applicabile.

Coordination: channels and points of contact for incident handling.
Containment: immediate measures to limit impact.
Root cause: analysis and corrective actions.
Notifications: to clients/authorities where required by applicable law.

6. Contatti e richieste procurement

6. Procurement contacts and requests

Per richieste su controlli fornitori, evidenze o chiarimenti:

For supplier security evidence requests or clarifications:

Request Information Sub-processors

Indice

1. Approccio1. Approach 2. Requisiti minimi2. Minimum requirements 3. Contratti3. Contracts 4. Monitoraggio4. Monitoring 5. Incidenti5. Incidents 6. Contatti6. Contact

Link utili

Useful links

Sicurezza InfoInformation Security Business ContinuityBusiness Continuity Data ProcessingData Processing Anti-CorruzioneAnti-Bribery

Nota: se vuoi, posso aggiungere un “Third-Party Risk Questionnaire” in pagina (mini-form) solo client-side per scaricare le risposte come JSON.

Note: if you want, I can add a lightweight “Third-Party Risk Questionnaire” section (client-side) to export answers as JSON.