IESolution Trust · Trust

Trust Center — IESolution security & compliance

Documentazione pubblica sui processi di sicurezza, certificazioni, status page, security whitepaper, contatti CISO. Per due diligence di compagnie e auditor.

Riferimento normativoInternal — public disclosure In vigoreoperativo dal 2024
Parla con un compliance engineer Torna al hub compliance

Trust Center: cosa pubblichiamo e cosa è disponibile su richiesta

Il Trust Center è il punto di ingresso unico per CISO, security officer e auditor che fanno due diligence su IESolution come vendor. Sostituisce il classico questionario vendor security inviato per email con un repository di evidenze già pubblicate (certificazioni, status page, security whitepaper, post-mortem incidenti) o disponibili sotto NDA in tempi rapidi (SOC 2 Type II, SoA ISO, penetration test report). L'obiettivo è ridurre da settimane a giorni la fase di security review nel processo di onboarding contrattuale. Tutti i documenti sono datati, versionati, e ne pubblichiamo lo storico per audit a posteriori.

Facts IESolution

I numeri della sicurezza IESolution

ISO 27001:2023CertificazioneEdizione 2023 · Accredia
SOC 2 Type IIDisponibile sotto NDAAudit retrospettivo 12 mesi
2 DCData center ITActive-active, certificati ISO 27001
99.9%SLA contrattualePenali in caso di mancato rispetto
≤ 15minRPORecovery Point Objective
≤ 1hRTORecovery Time Objective
24hNotifica data breachPiù stringente del minimo GDPR 72h
1/annoPenetration testReport condivisibile sotto NDA
Documenti disponibili

Cosa puoi scaricare dal Trust Center

Pubblico

Certificato ISO 27001:2023

Disponibile pubblicamente, verificabile presso Accredia. Scope: ciclo di vita completo del software NewPicass 14.Net.

Pubblico

Status page status.iesolution.it

Stato real-time servizi, storico 90 giorni, sottoscrizione RSS/email per alert.

Pubblico

Sub-processors list

sub-processors.json aggiornato + notifica 30 giorni prima di qualsiasi cambio.

Sotto NDA

SoA (Statement of Applicability ISO)

Documento completo dei 93 controlli Annex A applicati con justification.

Sotto NDA

SOC 2 Type II report

Audit retrospettivo annuale sui 5 Trust Services Criteria.

Sotto NDA

Penetration test report annuale

Conducted by certified third-party (CREST). Executive summary + technical findings + remediation status.

Sotto NDA

Security Whitepaper

Architettura sicurezza, threat model, controlli, data flow. Aggiornato annualmente.

Sotto NDA

DR Test Report annuale

Esercizio live di disaster recovery con sign-off post-test e remediation plan.

Moduli e persona coinvolti
Modulo 01

Back-office polizze fideiussorie

Ciclo di vita completo della polizza fideiussoria: emissione, rinnovo, appendici, svincolo, con audit trail immutabile.

Apri modulo Persona 05

Compagnie assicurative — back-office, supervisione rete, compliance

Sistema core per compagnie surety: gestione portafoglio multi-ramo, supervisione rete coverholder, claims, riassicurazione, audit trail IVASS-ready, due data center con failover.

Apri persona
FAQ

Domande frequenti sul Trust Center

Come faccio due diligence rapida sul vostro Trust Center?

Tre step. (1) Verifica il certificato ISO 27001:2023 pubblico sul portale Accredia. (2) Richiedi sotto NDA il SOC 2 Type II report annuale + penetration test summary + SoA (Statement of Applicability ISO). (3) Pianifica una call di 60 minuti con il nostro CISO o Head of Security per gli approfondimenti specifici (es. controlli per dati sanitari, requisiti DORA, gestione third-party). I primi due step coprono l'80% dei questionari vendor security tipici.

Avete una status page pubblica?

Sì. status.iesolution.it espone in tempo reale lo stato dei servizi NewPicass 14.Net (app, API, database, signing, BDX delivery) + storico ultimi 90 giorni di incidenti e manutenzioni programmate. Aggiornamenti automatici durante incident in corso. Notifica via email o RSS per sottoscrivere agli aggiornamenti.

Quanto spesso aggiornate il Security Whitepaper?

Almeno annualmente, o quando ci sono cambi significativi (es. nuova certificazione, cambio sub-processor critico, modifica architettura cloud). Il whitepaper copre: architettura sicurezza, threat model, controlli applicati, gestione incidenti, business continuity, sub-processors, data flow. Versione corrente datata e versionata. Disponibile sotto NDA a clienti e prospect qualificati.

Pubblicate post-mortem dopo incidenti significativi?

Sì. Per ogni incidente classificato "major" (impatto >1h o coinvolgimento dati di multiple compagnie) pubblichiamo sulla status page un post-mortem entro 5 giorni lavorativi: timeline, root cause, impact, mitigation immediata, remediation a lungo termine. I clienti vigilati ricevono inoltre un report tecnico dettagliato per le proprie submission regolatorie DORA.

Posso contattare direttamente il vostro CISO?

Sì per questioni significative. Email [email protected] è monitorata dal team di sicurezza con SLA risposta 24h. Per emergenze sicurezza (data breach sospetto, vulnerability disclosure) c'è un PGP key pubblicato + telefono diretto del Security Lead in finestra h12 (Mon-Fri 9-21 CET, weekends best-effort). Coordinated disclosure benvenuta — abbiamo bug bounty informale.

Quanti sub-processor critici avete?

Numero contenuto e trasparente: data center primario IT, data center secondario IT, cloud storage cifrato (configurabile per cliente), TSP per firma qualificata (Actalis primary, altri secondary), email transactional (TurboSMTP/AWS SES come backup), telemetria e monitoring (provider self-hostable). Lista completa nel sub-processors.json pubblico nel Trust Center + notifica scritta 30 giorni prima di qualsiasi cambio.

Contact security

Hai domande di sicurezza specifiche?

Scrivi a [email protected] per coordinated disclosure, due diligence requests, audit programmati. SLA risposta 24h dal team Security. Per emergenze (data breach sospetto, security incident in corso) il PGP key e il telefono diretto del Security Lead sono pubblicati sul Trust Center.

Email security team Contatti generali