Checklist sicurezza SaaS 2026 — 52 punti per la valutazione fornitori enterprise

Autenticazione e controllo degli accessi

8 punti

Autenticazione multifattore (MFA) obbligatoria per tutti gli account admin e privilegiati
Policy password: minimo 12 caratteri, complessità richiesta, verifica contro liste di violazioni
Scadenza sessione: le sessioni inattive scadono dopo ≤ 30 minuti
Blocco account dopo 5 tentativi di accesso falliti con ritardi progressivi
Controllo degli accessi basato sui ruoli (RBAC) implementato e documentato
Principio del minimo privilegio applicato a tutti gli account di servizio
Integrazione OAuth / SSO testata contro fughe di token e validazione URI di reindirizzamento
Chiavi API ruotate almeno annualmente, mai incluse nel controllo versione

7 punti

Tutti i dati crittografati a riposo (AES-256 o equivalente)
Tutti i dati crittografati in transito (TLS 1.2+ obbligatorio, TLS 1.0/1.1 disabilitati)
Validità e rinnovo dei certificati SSL/TLS monitorati
Credenziali del database archiviate in un gestore di segreti (non in file env o nel codice)
Backup crittografati e con accesso controllato
Dati personali classificati e accessi registrati
Residenza dei dati documentata (UE/USA/altro — rilevante GDPR)

10 punti

7 punti

8 punti

Account cloud protetti con MFA per gli utenti root/admin
Accesso all'infrastruttura limitato da allowlist IP o VPN
Ambiente di produzione isolato da sviluppo e staging
Security group / regole firewall: solo le porte necessarie aperte (nessun 0.0.0.0/0 su porte sensibili)
Immagini container scansionate per vulnerabilità prima del deployment
RBAC Kubernetes configurato; i pod non vengono eseguiti come root per impostazione predefinita
Log di audit cloud (CloudTrail / GCP Audit Logs) abilitati e conservati ≥ 90 giorni
WAF (Web Application Firewall) attivo sugli endpoint pubblici

6 punti

Piano di risposta agli incidenti di sicurezza documentato e testato
Procedura di notifica delle violazioni conforme alla regola GDPR delle 72 ore
Log applicativi centralizzati con protezione contro la manomissione
Alert di rilevamento anomalie configurati (tentativi di accesso falliti, esportazioni dati insolite)
SLA di disponibilità definito e monitorato
Pagina di contatto per la sicurezza e policy di divulgazione responsabile pubblicate

7 punti

Informativa sulla privacy pubblicata e conforme al GDPR (base giuridica documentata)
Modello di accordo per il trattamento dei dati (DPA) disponibile per i clienti enterprise
Elenco dei sub-responsabili mantenuto e comunicato su richiesta
Formazione sulla sicurezza dei dipendenti completata annualmente
Policy di sicurezza documentata e accessibile al team
Penetration test o audit di sicurezza automatizzato completato negli ultimi 12 mesi
Processo di gestione delle vulnerabilità (CVE) documentato (SLA per gravità)