FAQ
Domande frequenti, risposte oneste.
Tempi, prezzi, differenze tra standard e “è roba vera?”. Te lo diciamo in chiaro, anche quando la risposta è “dipende” o “no”.
È roba vera?
È roba vera o compliance di facciata?
Vera. Non vendiamo il bollino: ti rendiamo davvero sicuro con pentest e hardening reali, e la certificazione arriva di conseguenza. Vuoi una prova? Guarda il nostro report di esempio anonimizzato e il nostro Trust Center: usiamo su noi stessi ciò che vendiamo.
Chi rilascia la certificazione? La firmate voi?
No, ed è un bene. Per ISO ti accompagniamo fino all'audit di un ente accreditato, che valuta e rilascia. Per SOC 2 il report lo firma una CPA indipendente. Questa indipendenza è ciò che rende la tua certificazione valida davanti a investitori, clienti e auditor.
Differenze tra standard
ISO 27001 e SOC 2 sono la stessa cosa?
No. ISO 27001 è una certificazione (rilasciata da un ente accreditato) riconosciuta in Europa e nel mondo. SOC 2 è un'attestazione (un report firmato da una CPA), richiesta soprattutto dai clienti enterprise USA. Spesso servono entrambe: scrivici e lo vediamo insieme.
SOC 2 Type I o Type II?
Type I valuta il design dei controlli in un momento preciso. Type II valuta anche il loro funzionamento nel tempo e richiede un periodo di osservazione (tipicamente 3-12 mesi). I clienti enterprise di solito chiedono il Type II.
Qual è la differenza tra vulnerability assessment, penetration test e red team?
Il VA trova le vulnerabilità (scansione ampia). Il pentest le sfrutta in modo controllato per dimostrare l'impatto reale. Il red team simula un attaccante vero, per obiettivi, testando anche persone e processi. Per la maggior parte dei casi serve un pentest.
ISO 42001 è la stessa cosa dell'EU AI Act?
No, ma sono sinergici. ISO 42001 è un sistema di gestione per l'AI (AIMS) volontario e certificabile; l'EU AI Act è una legge UE. Avere la ISO 42001 ti aiuta a dimostrare governance dell'AI e ad affrontare meglio l'AI Act.
Tempi
Quanto ci vuole davvero?
Dipende dallo standard e da quanto sei già pronto, e te lo diciamo subito con una gap analysis. Indicativamente: ISO 27001 preparazione 3-6 mesi, poi audit dell'ente e ciclo di 3 anni (sorveglianza annuale, ricertificazione al 3° anno). SOC 2 Type II richiede un periodo di osservazione (3-12 mesi). ISO 42001 è simile a ISO 27001. Diffida di chi promette “3 mesi” a scatola chiusa.
Quanto dura una certificazione ISO?
Il ciclo ISO dura 3 anni: sorveglianza annuale e ricertificazione al terzo anno. Per questo la sicurezza non è un evento ma uno stato da mantenere, ed è ciò che facciamo col retainer.
Prezzi
Quanto costa?
Diamo prezzi graduati: “a partire da” e range per ogni percorso, SOC 2 ed enterprise su richiesta. Il numero esatto dipende da quanto sei già pronto, e te lo diamo dopo un primo confronto. Vedi la pagina prezzi.
Siete più economici delle piattaforme di automation?
Non puntiamo a essere i più economici, ma i più efficienti: l'AI ci fa lavorare più veloci, e quel risparmio lo vedi nel prezzo. La differenza vera è un'altra: il software ti lascia fare il lavoro; noi facciamo il lavoro con te, pentest reale incluso.
Vale per me?
Ho un deal enterprise bloccato dalla SOC 2 (o ISO 27001). Mi sbloccate?
È il nostro caso più frequente. Ti portiamo pronto nel minor tempo possibile, con qualcosa che passa davvero davanti al CISO del tuo cliente, non un teatrino. Inizia dal percorso “deal enterprise bloccato”.
Sono un'azienda estera che vuole entrare in Italia/UE. Mi aiutate?
Sì: siamo il tuo partner locale. Parliamo la tua lingua, conosciamo le regole qui (GDPR, NIS2, eventuale AI Act, ISO 27001) e ti mettiamo in regola davvero. La tua SOC 2 USA spesso non basta in UE: te lo diciamo onestamente.
Sono una startup pre-fundraise. Mi serve davvero adesso?
A volte basta poco per essere credibili in due diligence, e te lo diciamo onestamente dopo un primo confronto. Parti dall'essenziale, cresci quando serve.
Su di noi e metodo
Cosa c'entra l'AI? I miei dati sono al sicuro?
L'AI accelera la parte ripetitiva (documentazione, raccolta evidenze, prima analisi); le persone fanno il lavoro di sostanza e validano ogni deliverable. I tuoi dati restano protetti: è il nostro mestiere. Non esistono “agenti AI che ti certificano”.
Mi rifate il test dopo che ho sistemato i problemi?
Sì: il retest è parte del lavoro. Un report non si chiude finché non verifichiamo che il rischio è davvero ridotto.
Approfondisci
Report di esempio
Un report di pentest reale, anonimizzato: la prova più verificabile.
Guarda il reportTrust Center
Pratichiamo ciò che vendiamo: stato di compliance e policy, in pubblico.
Visita il Trust CenterDeal enterprise bloccato
SOC 2 o ISO 27001 per sbloccare un contratto: il nostro caso più frequente.
Vai al percorsoEntrare in Italia/UE
Azienda estera che deve mettersi in regola in Europa, con partner locale.
Vai al percorsoStartup pre-fundraise
L'essenziale per essere credibili in due diligence, senza svuotare la cassa.
Vai al percorsoHai un'altra domanda?
Scrivici nella tua lingua: ti rispondiamo con un punto di vista onesto.