Come selezionare un fornitore di servizi informatici sicuro e affidabile

Purtroppo, ancora oggi, in molte aziende il criterio con cui viene scelto un fornitore di servizi di varia natura è il criterio del prezzo; quanto possa essere pericoloso questo approccio è dimostrato quasi tutti i giorni, anche per il fatto che la evoluzione legislativa prevede che esista una responsabilità congiunta, in caso di violazione dei dati, tra il committente e l’appaltatore.

 

Ecco la ragione per la quale sono lieto di mettere a disposizione una lista di controllo, sviluppata dai colleghi statunitensi, che potrà aiutare un titolare ed un ufficio acquisti a selezionare un appropriato fornitore.

Cominciamo a restringere il capo dei soggetti da esaminare

• il potenziale fornitore ha messo a disposizione una documentazione afferente alla protezione dei dati efficiente ed efficace e pubblicamente disponibile?
• Il potenziale fornitore utilizza certificazioni afferenti alle strutture fisiche ed informatiche, dove i dati vengono trattati?
• Una rapida ricerca on-line mette in evidenza possibili violazioni dei dati, in cui sia stato coinvolto il potenziale fornitore?
• La modulistica di raccolta del consenso, disponibile sul sito web del potenziale fornitore, è sufficientemente intelligibile e priva di “trucchi”?
• Il potenziale fornitore dispone di professionisti della security e della protezione dei dati, inseriti nel proprio organigramma?

 

Il trattamento dei dati

• Che tipo di dati viene condiviso o viene direttamente raccolto e trattato dal potenziale fornitore?
• Sono state definite le modalità di intervento su questi dati?
• Dove vengono archiviati i dati di cui il potenziale fornitore entra in possesso?
• È stata definita la durata di conservazione dei dati ed i protocolli per una successiva cancellazione?
• Quali controlli di sicurezza vengono attivati presso il potenziale fornitore?
• Il venditore ha messo a disposizione il documento ex articolo 25 del regolamento europeo e, se appropriato, anche il documento ex articolo 35?
• Il potenziale fornitore ha sviluppato una politica di gestione di data breach e di piani di recupero, in caso di eventi perturbanti?

 

Il rapporto contrattuale

• è già disponibile un rapporto contrattuale standardizzato con il potenziale fornitore?
• Se il trattamento dei dati prevede il trasferimento di dati all’estero, sono state prese le appropriate precauzioni?
• Sono state concordate le modalità con cui sia possibile, ad intervalli almeno annuali, effettuare degli audit presso la struttura potenziale fornitore?