Che cos'è la Vendor Due Diligence nel SaaS? 

Nel SaaS, la due diligence del fornitore è il processo di esame attento dei potenziali fornitori SaaS prima di collaborare con essi. Ciò include l'analisi di diverse aree come:

• situazione legale dell'azienda
• stabilità finanziaria
• prestazioni del prodotto
• gestione delle informazioni sensibili dei clienti

Queste verifiche hanno lo scopo di proteggere le aziende contro eventi dannosi come il furto di dati, interruzioni del servizio e problemi di conformità. 

Ecco i passaggi del processo di due diligence del fornitore: 

1. Considerare la situazione finanziaria del fornitore, se è abbastanza solida da fornire servizi per un periodo di tempo prolungato. 
2. Concentrarsi sulla loro efficienza operativa e sull'efficacia tecnica, incluse le tempistiche, le politiche di sicurezza e i piani di ripristino d'emergenza. 
3. Analizzare le questioni legali e la conformità alle normative per evitare potenziali problemi legali.

Nel caso di software tradizionale, on-premise, l'azienda possiede l'infrastruttura.

Nel caso del SaaS, il cliente rinuncia al controllo della sicurezza dei dati, delle applicazioni e dell'infrastruttura a favore del fornitore. Tuttavia, il monitoraggio della deriva delle variazioni (VDD) si rivela utile per garantire che vi sia responsabilità da parte del fornitore per quanto riguarda la gestione degli asset.

Il processo di due diligence si concentra tipicamente su quattro aree critiche:

• Sicurezza & Tecnica: Valutare la protezione dei dati del fornitore, la crittografia, la sicurezza della rete, i controlli degli accessi e il piano di risposta agli incidenti.
• Conformità & Legale: Verifica della conformità alle normative come GDPR, HIPAA, SOC 2, certificazioni ISO, e assicurando che i contratti includano clausole appropriate di responsabilità e proprietà dei dati.
• Finanziario & Operativo: Valutazione della stabilità finanziaria del fornitore (per evitare interruzioni o cessazioni del servizio), disponibilità dell'infrastruttura, piani di ripristino di emergenza e accordi sul livello del servizio (SLA).
• Gestione dei dati: Esaminare dove e come i dati sono archiviati, elaborati e potenzialmente trasferiti oltre confine, e la politica di cancellazione dei dati alla cessazione del contratto.

Un solido processo VDD si basa fortemente su prove verificabili. La documentazione chiave richiesta include:

Si consiglia di valutare attentamente i fornitori che:

• decidono di non condividere la documentazione sulla sicurezza (ad es., report SOC 2, risultati di pen test), il che potrebbe essere rilevante.
• hanno un insufficiente o assente Disaster Recovery (DR) piano che potrebbe essere associato a metriche RTO/RPO meno desiderabili.
• hanno termini ambigui o eccessivamente restrittivi riguardo alla proprietà dei dati o alla portabilità dei dati (recupero dei propri dati).
• utilizzano metodi di crittografia per i dati, sia quando archiviati che durante il trasferimento, che potrebbero essere vulnerabili a compromissioni.
• potrebbero subire instabilità finanziaria o mostrare una storia di difficoltà nell'aderire a SLA.

Il VDD è uno sforzo interfunzionale che richiede il contributo di diversi reparti:

• Sicurezza delle informazioni/IT: Monitora controlli tecnici, architettura e sicurezza di rete. 
• Legale/Conformità: Esamina contratti, DPA e la conformità alle normative.
• Finanza/Approvvigionamento: Valuta costi, stabilità finanziaria e termini contrattuali.
• Unità aziendale/Utente: Verifica l'adeguatezza operativa e le capacità funzionali della soluzione.