← Blog

Una guida pratica al questionario di due diligence

Pubblicato: 2026-03-09
due diligence questionnaire third-party risk management vendor due diligence compliance audit DORA
Una guida pratica al questionario di due diligence

Un questionario di due diligence (DDQ) è un processo formale per verificare i controlli e le capacità dichiarati da un fornitore terzo. È un metodo strutturato per esaminare se le sue pratiche di sicurezza, operative e di conformità siano allineate ai suoi impegni contrattuali e alla tua tolleranza al rischio.

Perché il Questionario di Due Diligence è un Sistema Critico di Gestione del Rischio

Uno scudo DDQ con segni di spunta collegati a icone di sicurezza, operazioni e conformità.

In un moderno framework di governance, risk e compliance (GRC), il DDQ è più di una checklist per fornitori. È un processo sistematico per esaminare i controlli di una terza parte e garantire che soddisfino i requisiti specificati. Questo è un componente fondamentale di qualsiasi programma maturo di gestione del rischio di terze parti.

La funzione principale di un DDQ è creare un registro verificabile della postura di sicurezza di un fornitore. Per le organizzazioni che operano in settori regolamentati, si tratta di un'attività obbligatoria. Regolamenti come DORA e GDPR richiedono una supervisione dimostrabile della supply chain, in particolare per i fornitori terzi critici.

Stabilire una Posizione Difendibile

Un processo DDQ eseguito bene stabilisce una posizione difendibile per audit e incidenti di sicurezza. Trasforma la relazione con il fornitore da una basata sulla fiducia presunta a una basata sulla conformità verificata. Ponendo domande specifiche e richiedendo evidenze—come documenti di policy, registri di configurazione o recenti report di penetration test—si stabilisce una chiara linea di responsabilità.

Un questionario di due diligence trasforma la gestione del rischio da esercizio teorico a disciplina basata sulle evidenze. Il suo valore non risiede nelle domande poste, ma nella prova auditabile ricevuta in risposta.

Questo focus sulle evidenze è ciò che distingue un DDQ da un sondaggio informale sulla sicurezza. Un sondaggio potrebbe chiedere della fiducia di un fornitore nei propri controlli di sicurezza, mentre un DDQ richiede di dimostrare che i controlli siano implementati e funzionino efficacemente. Questo approccio basato sulle evidenze conferisce autorità al processo e rende i risultati affidabili per le valutazioni del rischio.

Uno Strumento di Verifica per Entrambe le Parti

Per l'organizzazione che invia il DDQ, esso funziona come un controllo critico. Aiuta a identificare le carenze nell'ambiente del fornitore prima che possano tradursi in danni operativi, finanziari o reputazionali. Le risposte informano direttamente la valutazione del rischio e la decisione di ingaggiare il fornitore.

Per il fornitore che risponde, un DDQ è un'opportunità per dimostrare maturità ed eccellenza operativa. Una risposta completa, supportata da evidenze verificabili, rappresenta un fattore competitivo distintivo. Segnala affidabilità e un approccio sistematico alla sicurezza e alla governance. Risposte vaghe o non supportate sono indicatori di rischio potenziale. Puoi leggere di più su questo nel nostro articolo su risk management and compliance.

In definitiva, il DDQ formalizza le responsabilità di tutte le parti. Stabilisce una baseline documentata per la sicurezza e la resilienza operativa, rendendolo un sistema essenziale all'interno di qualsiasi solido programma GRC.

L'Anatomia di un DDQ Moderno

Anatomia dei livelli del DDQ, inclusi information security, business continuity, corporate governance, e AI & supply chain.

Sebbene non esistano due questionari di due diligence identici, non sono più una raccolta arbitraria di domande sulla sicurezza. Un DDQ moderno è strutturato in modo logico, con ogni sezione progettata per testare un aspetto specifico della resilienza operativa e di sicurezza di un fornitore.

Un DDQ dovrebbe essere considerato un sistema stratificato di verifica, non un elenco piatto di domande. Il suo scopo è collegare le affermazioni di un fornitore a evidenze tangibili e auditabili. I domini che copre sono un riflesso diretto dei rischi che un'organizzazione eredita quando integra una terza parte nel proprio ambiente operativo.

Domini Fondamentali di Sicurezza e Resilienza

La maggior parte dei DDQ inizia con una valutazione dei controlli di sicurezza di base. Qui si verifica l'implementazione e l'efficacia della cyber hygiene di base del fornitore. L'indagine non riguarda se esistono misure di sicurezza, ma come vengono implementate, gestite e convalidate.

Questo dominio include costantemente:

  • Information Security e Cybersecurity: Questa è la sezione più ampia, che esamina controlli che vanno dalla gestione degli accessi e dalla crittografia dei dati alla gestione delle vulnerabilità e ai penetration test. L'obiettivo è confermare che il fornitore adotti una strategia di difesa in profondità per proteggere gli asset dati.
  • Business Continuity e Disaster Recovery (BCDR): Qui l'attenzione passa dalla prevenzione alla resilienza. Le domande esaminano la capacità documentata del fornitore di mantenere i livelli di servizio durante un evento di interruzione. Richiederai piani BCDR, risultati dei test e metriche specifiche come Recovery Time Objectives (RTOs) e Recovery Point Objectives (RPOs).

Un DDQ non è costruito per raccogliere risposte "sì" o "no". È progettato per costringere il fornitore a fornire evidenze che i suoi controlli operino come descritto. Un documento di policy senza prova di implementazione è un artefatto, non la prova di un controllo funzionante.

Governance e Integrità Operativa

I controlli tecnici sono inefficaci senza un framework di governance che li faccia rispettare. Un DDQ moderno va oltre le configurazioni di sistema per indagare i processi organizzativi e le strutture di responsabilità che sostengono la sicurezza.

I principali domini di governance includono:

  • Data Governance e Privacy: Questa sezione si concentra sul ciclo di vita dei dati. Chiede come un fornitore classifica, gestisce e smaltisce le informazioni sensibili. È qui che verifichi la conformità a regolamenti come GDPR e assicuri che i dati siano gestiti in base agli obblighi contrattuali.
  • Corporate e Organisational Governance: Quest'area valuta la stabilità e la maturità operativa del fornitore. Le domande possono riguardare la solidità finanziaria, la copertura assicurativa, i controlli sui precedenti dei dipendenti e la formazione sulla consapevolezza della sicurezza. L'obiettivo è determinare se il fornitore sia un partner a lungo termine solido e affidabile.

Aree Emergenti di Indagine

I panorami di rischio non sono statici. I DDQ si stanno evolvendo per affrontare i nuovi rischi associati alle tecnologie emergenti e alle supply chain sempre più complesse. Queste sezioni più recenti dimostrano un approccio lungimirante alla gestione del rischio.

Questionari standardizzati di organismi di settore come l'Association for Financial Markets in Europe (AFME) stanno stabilendo standard elevati. Il questionario AFME dedica oltre 50 domande al disaster recovery IT e al BCP, richiedendo metriche specifiche. Nonostante ciò, i report indicano che il 65% dei fornitori finanziari inizialmente fallisce i controlli DDQ su controlli fondamentali come la crittografia.

I nuovi domini che stanno diventando standard includono:

  • AI Systems Governance: Man mano che l'AI viene integrata nelle offerte di servizio, i DDQ includono domande sulla sua governance. Qual è la provenienza dei dati di addestramento? Come viene garantita la trasparenza del modello? È previsto un human-in-the-loop per le decisioni critiche? Queste domande si allineano a framework emergenti come l'EU AI Act.
  • Supply Chain Security (Fourth-Party Risk): Questo affronta il problema del "fornitore del fornitore". I valutatori richiedono ora evidenze su come un fornitore gestisce il rischio con le proprie terze parti. Si aspettano di vedere un processo documentato per la valutazione dei sub-processors, garantendo che il rischio sia gestito e non semplicemente trasferito lungo la supply chain.

Navigare le Sfide Comuni della Due Diligence di Terze Parti

Un questionario di due diligence dovrebbe essere uno strumento fondamentale di gestione del rischio, ma nella pratica il processo è spesso costellato di attriti operativi e rischi di compliance nascosti. Sia per l'organizzazione che invia il DDQ sia per il fornitore che risponde, il processo può diventare un collo di bottiglia che ritarda i progetti e mette sotto pressione le risorse.

Uno dei problemi più significativi è l'affidamento sulla self-attestation non verificata. Un fornitore può affermare che un controllo è in atto, ma senza evidenze a supporto—come una policy, un registro di configurazione o un recente report di audit—la risposta ha un valore limitato. Questo crea un divario critico tra sicurezza dichiarata e controllo dimostrabile.

Un altro ostacolo importante è l'inefficienza della raccolta delle evidenze. I team di risposta spesso faticano a localizzare i documenti, a rispondere a domande ridondanti per clienti diversi e a trasmettere file sensibili tramite canali non sicuri come l'email. Questo processo manuale non è solo lento, ma introduce anche errori e lascia una traccia delle evidenze frammentata e non tracciabile.

L'Ampiezza del Problema nei Settori Regolamentati

Queste sfide si amplificano nei settori regolamentati. Un recente sondaggio Deloitte sulla readiness DORA ha identificato un divario significativo nella gestione del rischio di terze parti nell'industria finanziaria europea.

Tra tutte le entità intervistate in 28 paesi, solo l'8% aveva raggiunto la piena conformità nella gestione dei propri rischi di terze parti. Il Deloitte DORA European Survey ha anche rivelato che il 17% delle organizzazioni considera la due diligence e la compliance di terze parti come una delle sfide più impegnative.

La sfida centrale del processo di due diligence non è porre le domande giuste. È raccogliere e verificare sistematicamente le evidenze che dimostrano che le risposte sono corrette. Senza questo, l'intero esercizio è una formalità amministrativa.

Questi dati evidenziano un punto critico: anche con budget di compliance significativi—con il 64% delle aziende che prevede di spendere tra €2 e 5 milioni—l'esecuzione operativa della due diligence rimane un punto di fallimento primario. Il divario tra investimento e maturità indica che le sole risorse finanziarie non sono sufficienti senza sistemi e processi efficaci.

Affrontare i Gap di Compliance e l'Attrito Operativo

Quando i risultati di un DDQ non vengono tracciati e rimediati correttamente, creano significativi gap di compliance. Un rilievo, ad esempio, che indica che un fornitore critico non dispone di un adeguato piano di incident response deve essere registrato, monitorato e risolto. Se viene semplicemente annotato in un foglio di calcolo e dimenticato, l'organizzazione ha mancato di svolgere la propria due diligence e rimane esposta.

Per superare queste sfide, le organizzazioni devono trattare il questionario di due diligence come una disciplina di ingegneria e governance, non come un compito amministrativo. Questo implica:

  • Centralizzare le Evidenze: Stabilire un repository sicuro, con controllo delle versioni, delle evidenze che possa essere riutilizzato in più DDQ.
  • Mappare i Controlli alle Evidenze: Collegare direttamente le risposte del questionario a prove specifiche, datate e validate.
  • Automatizzare i Workflow: Utilizzare sistemi per gestire l'assegnazione delle domande, tracciare i progressi e gestire in modo sicuro le sottomissioni.

Implementando un sistema strutturato, basato sulle evidenze, sia chi invia sia chi risponde può trasformare il DDQ da fonte di attrito operativo a processo di verifica prezioso ed efficiente.

Un Approccio Sistematico per Rispondere a un DDQ

Ricevere un questionario di due diligence spesso avvia uno sforzo reattivo e scoordinato che coinvolge catene di email, evidenze raccolte in fretta e scadenze imminenti. Questo approccio ad hoc crea attrito interno e porta a risposte incoerenti e poco supportate, che possono trasmettere un'immagine di immaturità organizzativa.

La risposta a un DDQ non è semplicemente un compito amministrativo; è una dimostrazione del contesto di controllo e della maturità di governance della tua organizzazione. L'obiettivo è passare da una corsa reattiva a un processo strutturato, basato sulle evidenze, che costruisca fiducia. Questo richiede di fornire risposte precise, ciascuna collegata a prove verificabili. Le rassicurazioni vaghe non sono sufficienti.

Scomporre il DDQ e Assegnare la Responsabilità

Nessun singolo individuo possiede tutte le informazioni necessarie per completare un DDQ, poiché le sue domande spaziano tra più domini, tra cui IT, cybersecurity, HR e legal.

Il primo passo è gestire la risposta come un progetto formale. Scomponi il questionario e assegna una chiara responsabilità per ogni domanda. Una semplice ownership matrix è uno strumento efficace per questo, mappando ogni sezione o domanda del DDQ a uno specifico subject matter expert (SME) o team. Questo stabilisce una responsabilità immediata e garantisce che le domande siano indirizzate alle persone giuste fin dall'inizio. Questa matrice funge da piano di progetto, prevenendo omissioni e fornendo al coordinatore—tipicamente un CISO o un compliance manager—una chiara visibilità sul progresso.

Mappare le Domande ai Controlli e alle Policy

Con i responsabili assegnati, il passo successivo è mappare ogni domanda ai controlli interni, alle policy e alle procedure. Questo è il nucleo di una risposta basata sulle evidenze. L'obiettivo non è semplicemente rispondere "sì", ma dimostrare come il requisito venga soddisfatto.

Ad esempio, una domanda come: "Applicate l'autenticazione multi-fattore per tutti gli accessi amministrativi?" richiede più di una semplice risposta affermativa. Una risposta robusta si collega direttamente a:

  • La specifica policy interna che impone l'MFA.
  • Uno screenshot di configurazione dall'identity provider che mostra che la policy MFA è attiva per il gruppo amministrativo rilevante.
  • Un estratto da un audit log che dimostra un accesso riuscito protetto da MFA.

Una forte risposta a un questionario di due diligence si basa su una fondazione di tracciabilità. Il revisore dovrebbe poter seguire una linea chiara dalla sua domanda, alla tua risposta, fino allo specifico elemento di evidenza che dimostra che il controllo è operativo.

Questo processo collega il linguaggio astratto della policy alla realtà concreta dell'implementazione del sistema. È anche una parte critica della gestione efficace delle evidenze, come discusso nella nostra guida all'uso di un virtual data room for due diligence.

Costruire un Workflow di Evidenze Ripetibile

Una volta mappate le domande ai controlli, devi raccogliere le evidenze di livello audit. Molte organizzazioni falliscono in questa fase, trattandola come un'attività di raccolta dati una tantum. È invece necessario un processo strutturato per raccogliere, gestire e presentare le evidenze.

La tabella seguente delinea le fasi chiave di un processo ripetibile di risposta a un DDQ, chiarendo l'obiettivo e i ruoli responsabili in ogni passaggio.

DDQ Response Process Key Stages and Responsibilities

Stage Objective Primary Responsible Role(s) Key Action
1. Intake & Triage Understand scope and assign a project lead. CISO, Compliance Manager Review the DDQ, establish deadlines, and assign a single coordinator.
2. Deconstruction Assign ownership for every question. DDQ Coordinator Create an ownership matrix mapping questions to specific SMEs.
3. Evidence Mapping Connect questions to internal controls and policies. SMEs, Control Owners Identify the exact policy, procedure, or configuration that answers the question.
4. Evidence Collection Gather and centralise all required proof. SMEs, System Owners Upload screenshots, logs, reports, and policy documents to a central location.
5. Review & Approval Ensure all answers are accurate, consistent, and backed by evidence. DDQ Coordinator, CISO Review the complete DDQ response for quality and consistency before submission.
6. Secure Submission Deliver the response and evidence securely to the requesting party. DDQ Coordinator Use a secure portal or data room to transmit sensitive information.

Questo workflow strutturato trasforma un esercizio caotico in un sistema governabile.

Una evidence library centrale è un componente non negoziabile di un processo maturo. Invece di cercare ripetutamente lo stesso report di penetration test, gli SME possono recuperare la versione approvata più recente da un repository sicuro. Questa libreria deve incorporare un rigoroso controllo delle versioni. Quando una policy viene aggiornata o viene completato un nuovo audit, le vecchie evidenze vengono archiviate e sostituite con nuove prove datate. Questo garantisce che ogni risposta si basi su informazioni attuali e accurate.

L'uso di piattaforme dedicate per gestire l'intero workflow distingue le organizzazioni mature. Questi strumenti automatizzano le assegnazioni, forniscono un portale sicuro per le evidenze e creano una traccia di audit completa. Questo approccio elimina la pratica rischiosa di inviare file sensibili via email e stabilisce un processo difendibile per ogni DDQ.

Come la Due Diligence Affronta la Governance dell'AI

Man mano che l'intelligenza artificiale passa da tecnologia innovativa a componente standard dei sistemi, il questionario di due diligence si sta evolvendo. L'attenzione si sta espandendo oltre la tradizionale sicurezza IT per includere un esame rigoroso di come i fornitori costruiscono, gestiscono e governano i loro sistemi di AI. Questo è ora un aspetto fondamentale della moderna gestione del rischio di terze parti.

Regolatori e clienti non trattano più l'AI come una black box indecifrabile. La considerano un sistema software complesso con limiti operativi definiti e chiara responsabilità umana. Un moderno questionario di due diligence ora indaga il framework di governance che circonda questi sistemi, assicurando che l'uso dell'AI da parte di un fornitore sia trasparente, controllato e allineato agli standard legali ed etici emergenti.

Esaminare i Sistemi di AI e la Loro Governance

In pratica, ciò significa che i fornitori devono essere pronti a rispondere a domande che analizzano l'intero ciclo di vita di un modello di AI. Queste domande sono progettate per verificare l'integrità del sistema e la robustezza della sua supervisione. L'obiettivo è ottenere evidenze che il fornitore disponga di un framework operativo di governance dell'AI, non solo di una nuova funzionalità tecnologica.

Le principali aree di indagine includono ora:

  • Data Provenance e Qualità: Qual è stata la fonte dei dati di addestramento? Quali processi sono stati utilizzati per garantire che siano accurati, imparziali ed eticamente reperiti? I fornitori devono fornire prove delle loro procedure di acquisizione e pulizia dei dati.
  • Trasparenza e Spiegabilità del Modello: Il fornitore può spiegare come il suo modello di AI arriva a una decisione? I valutatori richiederanno documentazione sull'architettura del modello, sui suoi limiti e su come vengono interpretati gli output, in particolare per applicazioni ad alto rischio.
  • Supervisione Umana e Intervento: Esiste un processo definito per l'intervento umano? Un questionario di due diligence richiederà evidenze di controlli "human-in-the-loop", incluse le procedure per annullare o correggere decisioni guidate dall'AI.

Il seguente grafico illustra le fasi principali di un workflow strutturato di risposta a un DDQ. Questo processo è essenziale per raccogliere le evidenze specifiche e tracciabili necessarie per rispondere alle domande sulla governance dell'AI.

Un diagramma di flusso in quattro fasi del processo di risposta al DDQ che mostra assegnazione degli utenti, mappatura delle domande, raccolta delle informazioni e invio.

Questo workflow—assegnare le domande, mapparle ai controlli, raccogliere le evidenze e finalizzare le risposte—è ciò che distingue una risposta verificabile, di livello audit, da una superficiale.

Standardizzare la Due Diligence sull'AI

I gruppi di settore stanno sviluppando standard formali e coerenti per l'approvvigionamento di AI. Il lancio del Legal IT Innovators Group (Litig) AI Due diligence Questionnaire il 16 maggio 2024 ne è un esempio rilevante. Rappresentando 90.000 utenti, questo DDQ è suddiviso in sei sezioni e affronta direttamente i rischi associati all'EU AI Act. Questo invia un chiaro segnale al mercato: la verifica standardizzata è ora un'aspettativa. Puoi saperne di più su come gli organismi di settore stanno plasmando le AI vendor assessments on legaltechnology.com.

L'introduzione di questionari di due diligence specifici per l'AI codifica il principio di responsabilità. Costringe i fornitori a trattare l'AI non come una black box, ma come un componente di sistema gestito e soggetto alla stessa rigorosa supervisione di qualsiasi altra infrastruttura critica.

Per i fornitori, ciò significa che la conformità a standard come ISO/IEC 42001 sta rapidamente diventando un requisito di base. Una risposta di successo richiede più dei documenti di policy; esige evidenze tangibili di valutazioni di impatto etico, limitazioni del modello documentate e registri chiari di supervisione umana.

I report suggeriscono che il 70-80% dei fornitori di AI inizialmente non riesce a fornire evidenze adeguate per queste nuove sezioni di governance, evidenziando un divario significativo tra le affermazioni e la realtà dimostrabile. In qualsiasi processo di procurement competitivo, la capacità di rispondere a queste domande con prove concrete non è più un fattore distintivo: è un prerequisito.

Evidenze: Da Dati Non Strutturati a un Sistema Pronto per l'Audit

Un diagramma che illustra una libreria di evidenze sicura con fascicoli impilati, una timeline delle versioni e un portale di upload sicuro.

Le risposte fornite in un questionario di due diligence sono incomplete senza le evidenze che le sostengano. Un'affermazione senza prova è una dichiarazione, non un controllo verificato. Le meccaniche di gestione e invio delle evidenze sono altrettanto critiche quanto le misure di sicurezza stesse, rappresentando il passo finale che trasforma una checklist in una vera dimostrazione, pronta per AuditReady, della postura di sicurezza.

Costruire la Tua Evidence Library

La base di qualsiasi processo robusto di risposta a un DDQ è un repository centrale e sicuro di evidenze. Non si tratta semplicemente di un drive condiviso; è un sistema controllato progettato per corroborare le affermazioni ed eliminare l'inefficienza della ricerca di documenti all'ultimo minuto. Il suo scopo è garantire che ogni elemento di evidenza sia aggiornato, approvato e facilmente accessibile.

I principi fondamentali per costruire una libreria di evidenze efficace includono:

  • Immutabilità e Controllo delle Versioni: Ogni documento, screenshot o policy deve avere una chiara cronologia delle versioni. Quando un controllo viene aggiornato, le vecchie evidenze non vengono eliminate ma archiviate. Questo crea una traccia di audit immutabile, dimostrando lo stato della conformità nel tempo.
  • Crittografia Forte: Le evidenze devono essere protette in tutte le fasi, sia in transito sia a riposo. L'uso di crittografia forte, come AES-256 per i dati a riposo, non è una funzionalità opzionale ma un requisito di base per proteggere i dati interni sensibili.
  • Role-Based Access Control (RBAC): L'accesso alle evidenze deve essere limitato in base ai ruoli funzionali. Controlli di accesso granulari assicurano che gli esperti possano gestire solo le evidenze rilevanti per i loro domini, come la sicurezza di rete o le risorse umane.

Una libreria di evidenze è più di un sistema di archiviazione. È la single source of truth della tua postura di compliance. Il suo design e la sua sicurezza riflettono il reale impegno della tua organizzazione verso la governance.

Invio Sicuro ed Export Pronti per l'Audit

Il metodo utilizzato per trasmettere il DDQ completato è un test finale di professionalità e competenza in materia di sicurezza. Allegare centinaia di file sensibili a un'email è un indicatore immediato di cattive pratiche di gestione dei dati.

L'invio sicuro è fondamentale. L'unico metodo professionale consiste nell'utilizzare un portale dedicato e crittografato, dove la parte richiedente può accedere al questionario e alle evidenze associate. Questo crea un registro pulito e auditabile di ciò che è stato inviato, da chi e quando.

La sicurezza da sola non è sufficiente; l'invio deve anche essere utilizzabile dal revisore. Fornire semplicemente una cartella di file non ordinati crea lavoro inutile per l'auditor e riflette negativamente sui processi della tua organizzazione. L'obiettivo è fornire un audit-ready export pack completo, tipicamente come PDF indicizzato o file ZIP strutturato.

Questo pacchetto dovrebbe contenere:

  • Un indice chiaro che mappi ogni domanda direttamente al relativo file di evidenza.
  • Il questionario completato, con risposte collegate alle evidenze.
  • Tutte le evidenze di supporto, nominate e organizzate in modo logico.
  • Un registro di esportazione che dettagli quando il pacchetto è stato creato e il suo contenuto.

Questo approccio strutturato semplifica il processo di revisione dell'auditor e dimostra l'affidabilità dei tuoi sistemi interni. La nostra guida offre maggiori dettagli sulla preparazione e gestione delle audit evidence per ambienti regolamentari esigenti. Quando la gestione delle evidenze è trattata come disciplina di ingegneria, dimostra che la tua postura di sicurezza è operativa, non solo teorica.

Domande Frequenti sul Processo DDQ

Quando si gestisce il rischio di terze parti, il questionario di due diligence è il punto in cui la teoria incontra la pratica. Di seguito le risposte ad alcune domande pratiche che i professionisti incontrano nel loro lavoro quotidiano.

Con Quale Frequenza Dovremmo Inviare un DDQ a un Fornitore?

La frequenza di un DDQ dipende dal livello di rischio associato al fornitore.

Per i fornitori critici—quelli che gestiscono dati sensibili o forniscono servizi essenziali—una revisione annuale è una baseline standard. Per i fornitori a rischio più basso, un ciclo biennale o triennale può essere sufficiente.

Tuttavia, un calendario fisso rappresenta un modello di governance obsoleto. La gestione del rischio moderna è guidata dagli eventi. Un nuovo DDQ dovrebbe essere attivato ogni volta che si verifica un evento significativo, come:

  • Un incidente di sicurezza presso il fornitore.
  • Cambiamenti importanti nei servizi che forniscono.
  • Una fusione, acquisizione o altro cambiamento significativo nella loro struttura societaria.

Il monitoraggio continuo combinato con valutazioni guidate dagli eventi sta diventando il nuovo standard, garantendo che la tua comprensione della postura di sicurezza di un fornitore rimanga aggiornata.

Qual è la Differenza Tra un DDQ e un Report SOC 2?

Questo è un punto di confusione frequente. Un DDQ e un report SOC 2 sono correlati ma svolgono funzioni diverse e non sono intercambiabili.

Un report SOC 2 è un audit indipendente condotto da un certified public accountant. Convalida i controlli di un fornitore rispetto ai Trust Services Criteria dell'AICPA, fornendo un'opinione standardizzata di terza parte sul loro ambiente di controllo.

Un questionario di due diligence (DDQ), al contrario, è un'indagine diretta della tua organizzazione verso il tuo fornitore. Ti consente di porre domande specifiche e mirate rilevanti per il tuo profilo di rischio e per i servizi esattamente forniti.

Un report SOC 2 è un elemento di evidenza critico che dovresti richiedere come parte del tuo DDQ. Il DDQ stesso ti consente di approfondire aree che un audit generico potrebbe non coprire, come i tuoi specifici requisiti di gestione dei dati o la dipendenza del fornitore dai propri terzi (fourth-party risk).

Possiamo Usare un Solo DDQ Standard per Tutti i Fornitori?

L'uso di un questionario standardizzato, come il CAIQ della Cloud Security Alliance o il SIG di Shared Assessments, è una pratica efficace. Questi framework forniscono una solida baseline e introducono coerenza nel processo di valutazione dei fornitori.

Tuttavia, un approccio uguale per tutti è un errore strategico.

L'approccio ottimale è partire da un set centrale e standardizzato di domande e poi integrarlo con moduli basati sulla classe di rischio del fornitore. Un data processor ad alto rischio merita una revisione molto più dettagliata rispetto a un fornitore a basso rischio di beni di commodity. L'obiettivo non è trattare tutti i fornitori in modo identico, ma garantire che il livello di due diligence sia sempre proporzionato al livello di rischio.