Un metodo in sette fasi. L'AI accelera la parte ripetitiva; le persone fanno l'analisi e validano tutto. E un ente accreditato, indipendente da noi, è quello che certifica. Questa indipendenza non è un limite: è ciò che rende valida la tua certificazione.
Il processo
Lo stesso scheletro per ogni standard; cambiano i contenuti e i tempi (vedi più sotto).
Fotografiamo dove sei rispetto allo standard: ti diciamo onestamente cosa ti manca e cosa no.
Definiamo il perimetro (sistemi, dati, sedi) e valutiamo i rischi. Qui si decide cosa serve davvero e cosa no.
Costruiamo policy, procedure e Statement of Applicability. L'AI accelera la stesura; un esperto rivede e valida ogni documento.
Mettiamo in pratica i controlli: identity, accessi, Zero Trust, governance, hardening. Non solo carta: la sicurezza reale.
Verifichiamo internamente prima dell'esame esterno, così non arrivi all'audit con sorprese.
Ti accompagniamo all'audit di un ente accreditato (ISO) o al lavoro della CPA (SOC 2). Loro valutano in modo indipendente: noi non siamo l'ente.
Ottieni la certificazione (ISO) o l'attestazione (SOC 2). Poi la teniamo viva: sorveglianza annuale, pentest periodici, Trust Center mantenuto, ricertificazione al 3° anno.
Trasparenza sui ruoli
Prepariamo, implementiamo e ti portiamo all'audit. Ma la certificazione la rilascia un ente accreditato (ISO) e l'attestazione la firma una CPA (SOC 2), non noi. Se chi ti prepara fosse anche chi certifica, il certificato varrebbe poco davanti a un investitore o a un auditor. La separazione dei ruoli è ciò che lo rende credibile.
Human-Led, AI-Powered
L'AI fa la parte ripetitiva (produzione documentale, raccolta evidenze, prima analisi) e ci fa lavorare più veloci. Le persone fanno il lavoro di sostanza: analisi, pentest, decisioni. Ogni deliverable passa per la revisione di un esperto prima di arrivare a te.
Vedi i serviziL'efficienza viene dall'AI sulla parte ripetitiva, non da scorciatoie sulla qualità.
È il nostro mestiere, e lo applichiamo a ciò che ci affidi.
Governiamo l'AI internamente, coerenti con ciò che predichiamo (vedi ISO 42001).
Niente '~3 mesi' buttato lì. Ti diamo i tempi reali per standard, e li quantifichiamo sul tuo caso con la gap analysis.
Preparazione : tipicamente 3-6 mesi
a fronte di readiness adeguata
Esame / rilascio : audit Stage 1 + Stage 2 di un ente accreditato
Ciclo / mantenimento : certificato valido 3 anni
sorveglianza annuale, ricertificazione al 3° anno
Preparazione : dopo la readiness (design dei controlli, point-in-time)
Esame / rilascio : report della CPA
Ciclo / mantenimento : refresh ciclico
Readiness + periodo di osservazione : tipico 3-12 mesi
il periodo di osservazione è ciò che distingue il Type II
Esame / rilascio : report della CPA dopo il periodo
Ciclo / mantenimento : refresh ciclico
Preparazione : simile a ISO 27001
AI Management System
Esame / rilascio : audit di un ente accreditato
Ciclo / mantenimento : ciclo analogo a 27001
Questi sono ordini di grandezza onesti, non promesse. Il tempo reale dipende da quanto sei già pronto: te lo diciamo subito con la gap analysis.
Per un compratore tecnico, chi dice cosa non fa è più affidabile di chi promette tutto.
No, ed è un punto di forza. La certificazione ISO la rilascia un ente accreditato; l'attestazione SOC 2 la firma una CPA. Noi ti prepariamo e ti accompagniamo. La loro indipendenza è ciò che rende il tuo certificato valido davanti a clienti e investitori.
Gap analysis, policy e documentazione, implementazione reale dei controlli, internal audit e accompagnamento all'esame esterno. In più, dopo: mantenimento, pentest periodici e Trust Center. Tutto il lavoro che porta allo standard, tranne firmarlo, che spetta a un terzo indipendente.
La velocità viene dall'AI sulla parte ripetitiva (documentazione, raccolta evidenze, prima analisi), non da scorciatoie. Le persone fanno l'analisi e validano ogni deliverable. Più veloce e più economico, sì; di facciata, no.
Dipende dallo standard e dalla tua readiness. ISO 27001: tipicamente 3-6 mesi di preparazione, poi audit dell'ente e ciclo di 3 anni con sorveglianza annuale. SOC 2 Type I dopo la readiness; Type II richiede un periodo di osservazione (in genere 3-12 mesi). Te lo quantifichiamo con la gap analysis: niente date inventate.
Sì. Proteggere i dati è il nostro mestiere e lo applichiamo ai tuoi: accessi controllati, principi Zero Trust, e, sulla parte AI, i deliverable sono rivisti da esperti, senza esporre i tuoi dati a usi impropri. Lo facciamo anche su noi stessi (vedi Trust Center).
Per questo c'è l'internal audit e la management review prima dell'esame esterno: arrivi senza sorprese. Se emergono rilievi, li chiudiamo insieme. Non possiamo garantire l'esito, sarebbe falso e minerebbe l'indipendenza, ma ti prepariamo per passare davvero.
Iniziamo dal primo step del metodo: la gap analysis. Ti diciamo onestamente cosa ti serve e quanto ci vuole. Gap analysis → proposta su misura → kickoff.