Menu

Gestione dei contratti sicura: 15 domande da porre al tuo fornitore

I contratti svolgono un ruolo fondamentale nelle attività di un’azienda, in quanto rappresentano un patrimonio inestimabile. Nell’era digitale di oggi, l’importanza della sicurezza nella gestione del ciclo di vita dei contratti non può essere sottovalutata.

Per questo motivo è essenziale assicurarsi di alcune cose prima di scegliere una soluzione di gestione dei contratti. Innanzitutto, l’azienda che sviluppa la soluzione deve essere ben consapevole dei problemi e dei rischi legati alla sicurezza e, soprattutto, deve essere in grado di garantire la sicurezza dei vostri dati contrattuali.

In questo articolo elenchiamo le 15 domande che dovresti porre ai tuoi fornitori prima di scegliere una soluzione di gestione dei contratti.

15 Questions to Ask Your Contract Lifecycle Management Provider About Security

#1 – Perché dovrei preoccuparmi della sicurezza dei miei contratti?

Sembra una domanda piuttosto ovvia, ma un buon fornitore di gestione del ciclo di vita dei contratti dovrebbe essere in grado di rispondere alla vostra domanda. In poche parole: i contratti contengono informazioni sugli obblighi della vostra organizzazione e dei vostri dipendenti. Tra questi, i nomi, gli obblighi, i prezzi, le scadenze, le penali e così via. Questi dati sono fondamentali per la vostra attività e dovete proteggerli. Per questo motivo avete bisogno di una cassaforte digitale.

#2 – Quali sono oggi le principali minacce relative alla sicurezza informatica?

Secondo il quotidiano francese Les Echos, le autorità francesi prevedono circa 400.000 cyberattacchi durante i Giochi Olimpici del 2024 a Parigi. Al giorno d’oggi, le aziende sono sempre più bersagliate dai cyberattacchi, ecco i 3 più comuni:

Spear Phishing

Si tratta di e-mail che impersonano un’azienda privata o una persona e sono rivolte a una persona o a un’organizzazione specifica.

Ecco alcuni consigli su come proteggersi da queste minacce alla sicurezza:

  • Diffidate sempre degli allegati che potrebbero essere infetti.
  • Passate il mouse sui link per vedere la destinazione d’origine e fate attenzione all’ortografia.
  • Se avete dubbi sul mittente di un’e-mail, contattatelo attraverso un altro canale (ad esempio, il telefono).

Ransomware

Il ransomware si verifica quando i dati di un’azienda vengono presi in ostaggio da un hacker e viene chiesto un riscatto. Perché ciò avvenga, un programma dannoso è solitamente nascosto nell’allegato di un’e-mail e, una volta aperto, attacca il dispositivo. Secondo Sophos, il prezzo del recupero dei dati rubati ha raggiunto una media di 130.000 euro nel 2020.

Hacking o fughe di dati

Possono essere interni o esterni, intenzionali o accidentali. Una fuga di dati può essere causata da un hacker che si infiltra nella rete informatica, ma anche da un dipendente.

#3 – La vostra azienda è certificata? Se sì, in che misura?

Il modo più semplice per sapere se i vostri contratti sono al sicuro è scegliere un fornitore di servizi certificato. Molti fornitori certificano solo alcuni aspetti della loro attività, ma si pubblicizzano come completamente certificati.

Lo standard ISO/IEC 27001:2013 è una certificazione internazionale nel campo della sicurezza informatica, insieme alla ISO 27701:2019 che si estende alla privacy.

Per ottenere questa certificazione, un’azienda deve, tra le altre cose, fare un inventario chiaro e dettagliato di ciò che viene fatto in azienda in termini di sicurezza e predisporre un piano in caso di attacco informatico.

Inoltre, una volta ottenuta la certificazione, vengono effettuati tre audit nell’arco di tre anni. Al termine dei tre audit, la certificazione può essere rinnovata o meno, se tutti gli standard sono rispettati.

✨ DiliTrust è certificata ISO/IEC 27001:2013 e ISO 27701:2019, per saperne di più leggi questo comunicato stampa: Privacy e sicurezza dei dati: DiliTrust certificata ISO 27001 e ISO 27701

#4 – Quali sono i vostri standard di conformità per i dati sensibili?

Se la sicurezza è fondamentale per voi, dovrebbe esserlo anche per il fornitore di servizi di gestione dei contratti che utilizzate. Per fare un esempio, la certificazione ISO ottenuta da DiliTrust è la prova che la nostra azienda ha implementato i migliori metodi per proteggere i dati dei nostri clienti e partner commerciali. DiliTrust segue una procedura rigorosa quando lavora con un nuovo subappaltatore e vengono controllate alcune informazioni, come ad esempio:

  • Sono certificati ISO/IEC 27701:2019 o SOC 1-2-3 (Service Organization Control)?
  • Sono conformi alle linee guida sulla privacy? Memorizzano i dati nell’Unione Europea?
  • Quali sono i processi e i metodi dell’azienda per il trattamento dei dati personali?
  • Questo tipo di procedura consente un monitoraggio rigoroso dei dati personali?

#5 – Dove saranno conservati i dati dei miei contratti?

È sempre meglio se i dati sono ospitati nell’Unione Europea, in quanto gli stati membri dell’UE sono soggetti al GDPR, che regolamenta il trattamento dei dati personali e i cittadini hanno un maggiore controllo su come vengono utilizzati i loro dati.

DiliTrust è presente anche in Canada, dove i dati sono ospitati localmente in server altamente sicuri e conformi alle norme ISO.

Anche nei MEA i nostri server rispettano i più elevati standard di sicurezza e si trovano in diverse località del Medio Oriente e dell’Africa, tra cui il Marocco. I dati non sono inoltre soggetti al Cloud Act.

#6 – Come vengono protetti i dati dei miei contratti?

Il vostro fornitore di gestione del ciclo di vita del contratto cripta i dati dei suoi clienti, e se sì come? Cripta tutti i documenti con una chiave monouso per ogni documento, un sistema KMS in outsourcing e la decodifica sulle postazioni di lavoro dei nostri clienti per evitare trasferimenti decodificati.

#7- L’infrastruttura della vostra azienda è certificata?

Non è raro che le legaltech possiedano una o più delle seguenti certificazioni: ISO/IEC 27001:2013, SSAE16 SOC1, SOC2, SOC3.

#8 – Siete conformi al GDPR?

Il GDPR è obbligatorio e applicabile a tutti gli Stati membri dell’UE o a tutte le aziende che trattano o conservano informazioni personali di cittadini dell’UE.

💡Non esitare a chiedere al fornitore scelto di inviare la sua politica sulla privacy e sul trattamento dei dati personali, nonché un elenco dei fornitori autorizzati con cui collabora.

#9 – I vostri dipendenti sono formati sulla sicurezza delle informazioni e sulla gestione dei rischi?

Ogni dipendente deve essere formato su questi argomenti, perché la sicurezza è una problematica di team. La certificazione ISO/IEC 27001:2013 significa che i membri del team devono conoscere la politica e gli obiettivi di sicurezza delle informazioni dell’azienda, nonché i ruoli e le responsabilità di ciascuno.

#10 – Esiste un backup dei miei dati?

È fondamentale che i backup di sicurezza dei dati vengano eseguiti regolarmente. Questo è importante perché è necessario essere in grado di recuperare i dati nello stato in cui si trovavano prima di essere danneggiati o persi, ed è anche un ulteriore livello di protezione.

#11 – In caso di attacco informatico, quali misure di sicurezza adottate e a quale livello?

L’infrastruttura è la struttura portante dei sistemi informatici, costituita da server, reti, software e dati. È il punto di partenza della sicurezza; chiedete al vostro fornitore di servizi quali misure ha implementato a livello di infrastruttura.

Le tre domande successive sono alcune domande specifiche che potete porre sulla sicurezza dell’infrastruttura.

#12 – L’architettura è multilivello?

Si tratta di un’applicazione suddivisa in più livelli, in modo da poterla modificare più facilmente invece di interrompere l’intera operazione, dato che i livelli sono indipendenti l’uno dall’altro. Si potrebbe visualizzare come una stanza separata da porte antincendio per impedire la propagazione di un incendio in caso di incendio (il fuoco rappresenta un attacco in questa visualizzazione).

#13 – Avete predisposto misure di flooding?

Il flooding si verifica quando grandi quantità di dati obsoleti vengono inviate per inondare una rete e renderla instabile. Il vostro fornitore di servizi dovrebbe disporre di misure per evitare questo fenomeno.

#14 – Esiste un sistema di prevenzione delle intrusione?

Intrusion prevention system (IPS) è un sistema che analizza reti o sistemi e rileva potenziali incidenti, come gli attacchi informatici, e contribuisce a bloccarli.

#15 – Quali contraenti utilizza il vostro fornitore di gestione del ciclo di vita del contratto?

Il CLM scelto dovrebbe essere in grado di fornirvi un elenco completo di tutti i contraenti con cui lavora.

💡 Buono a sapersi: Per ottenere la certificazione ISO/IEC 27001:2013, anche gli appaltatori dell’azienda vengono sottoposti ad audit a livello di sicurezza.

Vuoi scoprire di più sul nostro modulo per la gestione del ciclo di vita dei contratti? Scarica la brochure!

Scopri la piattaforma all-in-one creata per portare efficienza, sicurezza e collaborazione nella Direzione Affari Legali e Societari della tua azienda