ISO/IEC 27001:2023 — Information Security Management System
Standard internazionale per la gestione della sicurezza delle informazioni. IESolution è certificata ISO 27001:2023. Annex A controls applicati a un PAS assicurativo.
IESolution è certificata ISO/IEC 27001:2023
IESolution è certificata ISO/IEC 27001:2023 — l'edizione più recente dello standard internazionale per la gestione della sicurezza delle informazioni. Il certificato copre l'intero ciclo di vita del software NewPicass 14.Net (design, sviluppo, hosting, supporto). I 93 controlli Annex A della revisione 2023 sono applicati con SoA (Statement of Applicability) documentato e auditato. Sorveglianza annuale superata; ricertificazione triennale prevista. Il certificato è un punto di partenza per il CISO della compagnia che fa due diligence sul vendor, ed è riconosciuto da IVASS e dai regolatori europei come evidence positiva di maturità sicurezza.
I 93 controlli ISO 27001:2023 applicati a un PAS
Threat Intelligence
Intelligence sulle minacce
Sottoscrizione a feed CERT-Finanza e ENISA, threat modeling annuale, IOC monitoring continuo.
Cloud Security
Sicurezza dei servizi cloud
Cloud architecture documentata, Shared Responsibility Model con cloud provider, hardening cloud-native.
BC/DR
ICT readiness for business continuity
BCP testato trimestralmente, DR test annuale live, RPO/RTO documentati, supplier dependency mapping.
Data protection
Cancellazione, masking, DLP
Workflow cancellazione verificabile, masking per dati sensibili in non-prod, DLP egress monitoring.
Cryptography
Crittografia & key management
TLS 1.3 in transit, AES-256 at rest, key management HSM-based, rotation periodica chiavi.
Secure coding
Secure development lifecycle
SAST/DAST nei pipeline CI/CD, code review obbligatoria, dependency scanning, OWASP Top 10 awareness, security gates pre-deploy.
ISO 27001 in numeri su IESolution
Dove questo framework si concretizza nella piattaforma
Domande frequenti su ISO 27001
Cos'è ISO/IEC 27001:2023 e cosa garantisce?
ISO/IEC 27001 è lo standard internazionale per la gestione della sicurezza delle informazioni (ISMS - Information Security Management System). La revisione 2023 introduce 93 controlli Annex A (vs 114 della 2013) organizzati in 4 temi: organizzativi, sulle persone, fisici, tecnologici. Garantisce che l'azienda certificata abbia: ISMS documentato, gestione rischi, controlli applicati e monitorati, miglioramento continuo, audit periodici. È riconosciuto dai regolatori (incluso IVASS) come strong evidence di maturità sicurezza.
Quando IESolution ha ottenuto la certificazione 2023?
Certificazione ISO/IEC 27001:2023 ottenuta nel febbraio 2025 (Audiso Certification, certificato N° I520, validità 07-02-2025 → 06-02-2028), sorveglianza annuale prevista. La certificazione è emessa da Audiso Certification, organismo accreditato. Lo scope copre l'intero ciclo di vita del software NewPicass 14.Net: progettazione, sviluppo, hosting, supporto. Certificato pubblico disponibile su richiesta + nel Trust Center.
Quali controlli Annex A sono critici per un PAS assicurativo?
Quelli a maggior impatto per il nostro contesto: A.5.7 Threat intelligence, A.5.23 Information security cloud, A.5.30 ICT readiness BC/DR, A.8.10 Information deletion, A.8.11 Data masking, A.8.12 Data leakage prevention, A.8.23 Web filtering, A.8.24 Cryptography, A.8.28 Secure coding. Tutti i 93 sono documentati nel SoA (Statement of Applicability) condivisibile sotto NDA.
Come si svolge l'audit di sorveglianza annuale?
L'organismo certificatore conduce ogni anno un audit di sorveglianza (durata 2-3 giorni on-site + documentale) per verificare il mantenimento dell'ISMS: campionatura controlli, verifica trattamento rischi, audit log, gestione incidenti, formazione. Ogni 3 anni audit di ricertificazione esteso. Eventuali non-conformità minori sono chiuse con piano d'azione; non-conformità maggiori sospendono la certificazione.
Come può la mia compagnia usare la vostra certificazione?
Per due diligence vendor: il nostro certificato ISO 27001:2023 sostituisce molti dei questionari di sicurezza che le compagnie compilano normalmente. Il SoA + report audit interno + risultati pen-test sono il pacchetto due diligence standard per il CISO della compagnia. Il certificato pubblico è verificabile presso Audiso Certification. Per audit specifici (es. coverholder audit Lloyd's su requisiti IT) la certificazione ISO è un punto di partenza positivo.
Avete anche SOC 2 Type II?
Sì, complementare alla ISO 27001. SOC 2 Type II coprire i 5 Trust Services Criteria (Security, Availability, Confidentiality, Processing Integrity, Privacy) con audit retrospettivo su 12 mesi. Report SOC 2 disponibile sotto NDA per due diligence dei clienti enterprise. Differenza vs ISO: ISO certifica il sistema di gestione, SOC 2 attesta che i controlli sono effettivamente operativi nel periodo audit.
Verifica con noi la tua compliance ISO 27001
45 minuti con un compliance engineer. Esaminiamo la copertura della piattaforma su questo framework e identifichiamo cosa resta da chiudere lato cliente.