Certificazioni e audit

Attestazione puntuale che i controlli Claresia (Sicurezza, Disponibilità, Riservatezza) sono progettati in modo adeguato.

Ambito

Control plane di Claresia Cloud (Identity, Command Center, Hub, Distribution Plane, Telemetria).

Ultima valutazione

Non ancora valutata

Prossima milestone

Q1 2026 — apertura della finestra di audit con Vanta + 3PA

Auditor

Schellman & Co. (planned)

La finestra di audit apre nel Q1 2026. Claresia ha incaricato Vanta per la raccolta continua delle evidenze e Schellman come assessor terzo. La lettera di Type 1 sarà disponibile sotto NDA dalla chiusura del Q1.

Efficacia operativa dei controlli in una finestra di osservazione di 12 mesi.

Ambito

Tutti i workload di produzione di Claresia Cloud, su tutti e sei i layer logici.

Ultima valutazione

Non ancora valutata

Prossima milestone

Q4 2026 — consegna del report (osservazione di 12 mesi a partire dal Q1 2026)

Auditor

Schellman & Co. (planned)

La finestra di audit Type 1 apre nel Q1 2026 e si converte in periodo di osservazione Type 2 fino al Q4 2026. La lettera Type 2 sarà disponibile sotto NDA a partire dal Q1 2027.

Penetration test esterno annuale, modalità black-box e grey-box, sugli endpoint di produzione di Claresia Cloud, sulla console admin e sul portale di provisioning.

Ambito

Tutte le superfici pubbliche di Claresia Cloud + Portale di Onboarding + API Hub + Distribution Plane.

Ultima valutazione

Non ancora valutata

Prossima milestone

Q2 2026 — primo incarico firmato nel Q1, risultati nel Q2

Auditor

Trail of Bits or Bishop Fox (RFP open)

Primo incarico annuale calendarizzato per il Q2 2026. L'executive summary sarà reso pubblico; il report integrale sarà disponibile sotto NDA. Cadenza minima annuale, con ulteriori engagement mirati ad ogni modifica architetturale rilevante.

Certificazione del Sistema di Gestione della Sicurezza delle Informazioni (SGSI / ISMS).

Ambito

Ambiente di produzione Claresia Cloud, controlli di accesso del personale, gestione dei fornitori.

Ultima valutazione

Non ancora valutata

Prossima milestone

Q2 2027 — audit di Fase 1 (perimetro ISMS definito nel Q3 2026)

Auditor

TBD (RFP Q3 2026)

I lavori per ISO 27001 partono dopo la chiusura di SOC 2 Type 1. Claresia ha scelto di lavorare in sequenza anziché in parallelo perché gran parte dei controlli dell'Annex A è riutilizzabile dal corpo evidenze SOC 2, riducendo lo sforzo ISO 27001 di circa il 40%.

Primo standard internazionale per i Sistemi di Gestione dell'Intelligenza Artificiale (AIMS): copre sviluppo, deployment e controlli di ciclo di vita dell'IA in modo responsabile.

Ambito

Pipeline Skill IR di Claresia, pubblicazione tramite il Distribution Plane, controlli di allineamento del modello, framework di governance degli agenti.

Ultima valutazione

Non ancora valutata

Prossima milestone

Q3 2027 (dopo il baseline ISO 27001)

Auditor

TBD

ISO 42001 è il differenziale che eleva Claresia rispetto al SaaS generico: i fornitori di IA in grado di attestare un sistema di gestione dell'IA vinceranno gli RFP nei settori regolamentati dal 2027 in poi.

Postura di conformità al Regolamento Generale sulla Protezione dei Dati (GDPR), obblighi titolare/responsabile del trattamento, salvaguardie Schrems II.

Ambito

Tutti i dati personali di residenti UE trattati da Claresia Cloud, flow-down ai sub-responsabili, SCC + UK IDTA in essere.

Ultima valutazione

2026-04-15

Prossima milestone

Revisione trimestrale (prossima: 15-07-2026)

Claresia Cloud è conforme al GDPR by design: residenza UE disponibile (eu-central-1), DPA pubblicato, Clausole Contrattuali Standard (SCC) e UK International Data Transfer Addendum (IDTA) sottoscritti con tutti i sub-responsabili che trasferiscono dati al di fuori dell'UE.

Modello di DPA per i Clienti già firmato da Claresia, con flow-down ai sub-responsabili, moduli SCC 2 e 3 selezionabili e Annex di sicurezza allineato ai controlli ISO 27001.

Ambito

Ogni Cliente Claresia, indipendentemente dalla regione o dalla modalità di deployment.

Ultima valutazione

2026-03-20

Prossima milestone

Revisione annuale (prossima: 20-03-2027)

DPA v1.2 pubblicato il 20-03-2026. Compatibile con EU-US Data Privacy Framework, Schrems II e UK IDTA. Il Cliente può controfirmare il modello as-is oppure richiedere redline bilaterali; tempi standard di risposta: 5 giorni lavorativi.

Pacchetto di risposta a due diligence fornitori per Clienti classificati come soggetti "essenziali" o "importanti" ai sensi della NIS2. Copre evidenze di sicurezza della supply chain, cooperazione nella notifica di incidenti e flow-down contrattuale dei controlli NIS2.

Ambito

Clienti italiani e UE classificati come soggetti essenziali/importanti (manifatturieri tipo Dainese con ≥250 FTE in settori a impatto medio).

Ultima valutazione

Non ancora valutata

Prossima milestone

Q2 2026

Il pacchetto di readiness NIS2 includerà: modello di MoU di cooperazione per la notifica di incidenti, evidenze di risk-assessment della supply chain, allegato contrattuale con flow-down dei controlli NIS2 e mappatura dei controlli Claresia ai requisiti dell'art. 21 NIS2. Realizzato insieme a consulenza legale italiana esterna.

Obblighi di trasparenza di cui all'art. 50 + obblighi del fornitore GPAI di cui all'art. 53 + documentazione tecnica di cui all'art. 11 e Allegato IV. Applicazione graduale 2025-2027.

Ambito

Tutti gli output Claresia nelle giurisdizioni dell'UE. Obbligatorio.

Ultima valutazione

Non ancora valutata

Prossima milestone

Q3 2026 (programma di conformità pienamente operativo)

Claresia è downstream deployer di modelli GPAI (Claude / GPT / Gemini) e fornitore di "sistemi di IA ad alto impatto" ai sensi dell'art. 6 e dell'Allegato III quando impiegati in decisioni in ambito occupazionale. Il programma di conformità include: marcatura di trasparenza ex art. 50 sugli output IA, flow-down degli obblighi GPAI ex art. 53, documentazione tecnica ex art. 11 e Allegato IV mantenuta per ciascuna Skill, e note di allineamento al Garante per la Protezione dei Dati Personali.