{
  "metadata": {
    "framework": "CAIQ-Lite",
    "version": "v4.0.3",
    "publisher": "Cloud Security Alliance",
    "language": "it",
    "respondent": "Claresia S.r.l.",
    "respondent_contact": "security@claresia.com, dpo@claresia.com",
    "as_of": "2026-04-27",
    "status": "BOZZA — In attesa della revisione legale italiana e della certificazione ISO 27001:2022 (target Q3 2026). Le risposte riflettono onestamente la postura di controllo attuale.",
    "deployment_modes_referenced": ["Mode A (SaaS condiviso)", "Mode B (Cloud dedicato)", "Mode C (BYOC)"],
    "evidence_base_url": "https://claresia-trust.netlify.app",
    "translation_notice": "Traduzione di cortesia della versione inglese. La versione inglese controlla in caso di conflitto."
  },
  "control_areas": [
    { "code": "AAC", "name": "Audit, Assicurazione e Conformità" },
    { "code": "AIS", "name": "Sicurezza delle Applicazioni e delle Interfacce" },
    { "code": "BCR", "name": "Continuità Operativa e Resilienza" },
    { "code": "CCC", "name": "Gestione delle Modifiche e della Configurazione" },
    { "code": "DCS", "name": "Sicurezza dei Datacenter" },
    { "code": "DSI", "name": "Sicurezza dei Dati e Ciclo di Vita" },
    { "code": "EKM", "name": "Cifratura e Gestione delle Chiavi" },
    { "code": "GRM", "name": "Governance e Gestione del Rischio" },
    { "code": "HRS", "name": "Sicurezza delle Risorse Umane" },
    { "code": "IAM", "name": "Gestione delle Identità e degli Accessi" },
    { "code": "IPY", "name": "Interoperabilità e Portabilità" },
    { "code": "IVS", "name": "Infrastruttura e Virtualizzazione" },
    { "code": "MOS", "name": "Sicurezza Mobile" },
    { "code": "SEF", "name": "Gestione Incidenti, E-Discovery e Forensics Cloud" },
    { "code": "STA", "name": "Catena di Fornitura, Trasparenza e Responsabilità" },
    { "code": "TVM", "name": "Gestione delle Minacce e delle Vulnerabilità" },
    { "code": "IPV", "name": "Validazione delle Interfacce e della Privacy" }
  ],
  "questions": [
    {
      "id": "AAC-01.1",
      "control_area": "AAC",
      "question": "Producete asserzioni di audit utilizzando un formato standardizzato di settore (es. CloudAudit/A6, SCAP/CYBEX, GRC XML, ISACA Cloud Computing Audit/Assurance Program)?",
      "claresia_answer": "Parziale — Claresia utilizza internamente la mappatura dei controlli ISO 27001:2022 e pubblica nel Trust Center la lista dei sub-responsabili e la catena di audit governance SCUDO (catena crittografica SHA-256 in stile Merkle di ogni azione privilegiata). L'attestazione di audit esterna in formato CSA STAR / SOC 2 è pianificata per Q1 2027 dopo SOC 2 Type 1 (Q2 2026) e ISO 27001 (Q3 2026).",
      "evidence_link": "https://claresia-trust.netlify.app/certifications",
      "notes": "La catena di audit è in formato JSON aperto, il cliente può verificarla offline con la CLI verify-chain di Claresia rilasciata MIT.",
      "status": "planned"
    },
    {
      "id": "AAC-02.1",
      "control_area": "AAC",
      "question": "Permettete ai tenant di consultare le vostre relazioni di audit o certificazione di terze parti (SOC 2 / ISO 27001 / similari)?",
      "claresia_answer": "Pianificato Q3 2026 con la certificazione ISO 27001:2022 e Q1 2027 con il rapporto SOC 2 Type 2. I tenant riceveranno le relazioni sotto NDA tramite download autenticato dal Trust Center. Oggi il Trust Center pubblica la roadmap di audit in corso.",
      "evidence_link": "https://claresia-trust.netlify.app/certifications",
      "status": "planned"
    },
    {
      "id": "AIS-01.1",
      "control_area": "AIS",
      "question": "Utilizzate standard di settore (es. OWASP, NIST SSDF, BSIMM) per integrare la sicurezza nel SDLC?",
      "claresia_answer": "Sì — OWASP ASVS L2, mitigazioni OWASP Top 10, prassi NIST SP 800-218 (SSDF) applicate. Ogni PR richiede peer review; CI esegue SAST (CodeQL), SCA (Dependabot) e scansione dei segreti (TruffleHog). Le skill IR ad alto rischio richiedono doppia firma (Pilastro SCUDO O — Operatori verificati).",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "active"
    },
    {
      "id": "AIS-02.1",
      "control_area": "AIS",
      "question": "Tutti i requisiti di sicurezza, contrattuali e regolatori per l'accesso del cliente sono contrattualmente affrontati e risolti prima di concedere l'accesso?",
      "claresia_answer": "Sì — il provisioning richiede (1) MSA + DPA firmati, (2) WorkOS SSO configurato con MFA imposta dall'IdP del cliente, (3) completamento del walkthrough del Portale di Onboarding, (4) policy restricted-topics per tenant rivista. Nessun accesso del cliente prima del completamento dei quattro passaggi.",
      "evidence_link": "https://claresia-trust.netlify.app/dpa",
      "status": "active"
    },
    {
      "id": "BCR-01.1",
      "control_area": "BCR",
      "question": "Fornite ai tenant opzioni di hosting geograficamente resilienti?",
      "claresia_answer": "Pianificato Q3 2026 con Mode B GA — eu-south-1 (Milano) primaria + eu-central-1 (Francoforte) failover per tenant UE/italiani; AWS / Azure / GCP di prima classe in regioni UE. Mode C (BYOC) supporta qualsiasi regione UE eletta dal cliente. Oggi la piattaforma è scaffold-grade.",
      "evidence_link": "https://claresia-trust.netlify.app/architecture",
      "status": "planned"
    },
    {
      "id": "BCR-02.1",
      "control_area": "BCR",
      "question": "I piani di continuità operativa sono testati a intervalli pianificati o a fronte di cambiamenti significativi?",
      "claresia_answer": "Pianificato — le esercitazioni DR trimestrali partiranno con Mode B GA (Q3 2026). Oggi il piano BC è documentato nelle specifiche Architecture v1 ma non è ancora stato esercitato su scala (stato pre-cliente).",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "planned"
    },
    {
      "id": "CCC-01.1",
      "control_area": "CCC",
      "question": "Sono in essere policy e procedure per l'autorizzazione manageriale dello sviluppo o dell'acquisizione di nuove applicazioni, sistemi, database, infrastrutture, servizi e operazioni?",
      "claresia_answer": "Sì — ogni cambiamento architetturale è registrato nella roadmap JSON di Claresia (claresia-roadmap-data.json) con owner, dipendenze e criteri di accettazione espliciti. I nuovi sub-responsabili richiedono security review + DPA prima dell'attivazione.",
      "evidence_link": "https://claresia-trust.netlify.app/sub-processors",
      "status": "active"
    },
    {
      "id": "CCC-03.1",
      "control_area": "CCC",
      "question": "Fornite ai tenant documentazione del processo di assicurazione qualità?",
      "claresia_answer": "Sì — pubblicato nel Documentation site (pianificato Q1 2026; oggi il markdown Architecture v1 funge da riferimento provvisorio QA/SDLC). Tutti i rilasci sono gating su CI verde (test unitari + integrazione, SAST, SCA, scansione segreti).",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "active"
    },
    {
      "id": "DCS-01.1",
      "control_area": "DCS",
      "question": "L'accesso fisico agli asset informativi è monitorato, registrato e limitato?",
      "claresia_answer": "Sì — tramite sub-responsabile. La sicurezza fisica AWS, Azure, GCP è certificata ISO 27001 + SOC 2 + ISO 27017. Il personale Claresia non ha mai accesso fisico all'hardware sottostante. L'accesso agli uffici è controllato tramite badge.",
      "evidence_link": "https://claresia-trust.netlify.app/sub-processors",
      "status": "active"
    },
    {
      "id": "DSI-01.1",
      "control_area": "DSI",
      "question": "Classificate i dati del cliente in base alla sensibilità?",
      "claresia_answer": "Sì — tre tier: Pubblico, Riservato (default per tutti i Dati del Cliente), Restricted (PII, segreti, catena di audit). La policy restricted-topics per tenant applica classificazione aggiuntiva (esposizione codice fiscale, inferenza biometrica, decisioni occupazionali completamente automatizzate ai sensi del provv. Garante 2024).",
      "evidence_link": "https://claresia-trust.netlify.app/dpa",
      "status": "active"
    },
    {
      "id": "DSI-02.1",
      "control_area": "DSI",
      "question": "Disponete della capacità di ripristinare i dati di uno specifico cliente in caso di guasto o perdita dati?",
      "claresia_answer": "Pianificato Q3 2026 con Mode B GA — point-in-time recovery (PITR) entro 7 giorni; ripristino per tenant. Oggi solo scaffold-grade.",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "planned"
    },
    {
      "id": "DSI-03.1",
      "control_area": "DSI",
      "question": "Sono in essere policy e procedure per prevenire la fuga di dati?",
      "claresia_answer": "Sì — Pilastro SCUDO D (Dati controllati) — ogni chiamata LLM passa attraverso il Gateway LLM cc-073 con redazione PII (Microsoft Presidio + NER custom), allowlist di modelli per tenant, region pinning, quota / cost cap rigida, audit log completo. I dati cliente non addestrano mai un modello terzo.",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "active"
    },
    {
      "id": "EKM-01.1",
      "control_area": "EKM",
      "question": "Avete policy di gestione delle chiavi che le legano a proprietari identificabili?",
      "claresia_answer": "Sì — ogni chiave di cifratura è legata a un tenant + owner nominato (DPO + amministratore IT). I tenant Mode B/C utilizzano chiavi gestite dal cliente (CMEK) in AWS KMS / Azure Key Vault / GCP KMS, ruotabili dal cliente.",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "planned"
    },
    {
      "id": "EKM-02.1",
      "control_area": "EKM",
      "question": "Disponete della capacità di consentire la creazione di chiavi di cifratura uniche per tenant?",
      "claresia_answer": "Pianificato Q3 2026 — CMEK per tenant con Mode B GA. Mode A utilizza una tenancy condivisa, isolata via RLS, con chiave gestita dalla piattaforma (envelope encryption per tenant_id).",
      "evidence_link": "https://claresia-trust.netlify.app/architecture",
      "status": "planned"
    },
    {
      "id": "EKM-03.1",
      "control_area": "EKM",
      "question": "Cifrate i dati del tenant a riposo (su disco / storage)?",
      "claresia_answer": "Sì — AES-256 a riposo per tutti gli store di dati cliente (Postgres, object storage, ClickHouse, vault dei segreti). TLS 1.3 in transito.",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "active"
    },
    {
      "id": "GRM-01.1",
      "control_area": "GRM",
      "question": "Avete una policy documentata di sicurezza informatica e privacy comunicata e applicata?",
      "claresia_answer": "Sì — il Framework SCUDO (cc-aware-governance/framework.md) è il framework canonico di sicurezza e privacy, pubblicato in EN + IT, mappato a GDPR + EU AI Act + NIS2 + ISO 42001 + Garante. Internamente applicato tramite gate runtime al Gateway cc-073 e al Roster Engine cc-061.",
      "evidence_link": "https://claresia-trust.netlify.app/architecture",
      "status": "active"
    },
    {
      "id": "GRM-02.1",
      "control_area": "GRM",
      "question": "Le valutazioni del rischio considerano la probabilità e l'impatto di tutti i rischi identificati?",
      "claresia_answer": "Sì — valutazione del rischio aziendale annuale (rischio sub-responsabile, rischio cloud-region, rischio regolatorio) con scoring quantificato probabilità × impatto. Tracciata nel registro dei rischi interno, riesaminata trimestralmente dal management.",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "active"
    },
    {
      "id": "HRS-01.1",
      "control_area": "HRS",
      "question": "Garantite il controllo dei precedenti per tutti i candidati con accesso ai dati del tenant?",
      "claresia_answer": "Sì — tutti i dipendenti e collaboratori con accesso a dati di produzione sono sottoposti a verifiche dei precedenti (casellario giudiziale, verifica titoli di studio, verifica esperienze lavorative) coerenti con il diritto del lavoro UE (rispettati i divieti dell'art. 8 dello Statuto dei Lavoratori).",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "active"
    },
    {
      "id": "HRS-02.1",
      "control_area": "HRS",
      "question": "Erogate formazione di sensibilizzazione alla sicurezza ai vostri dipendenti?",
      "claresia_answer": "Sì — formazione di onboarding + annuale comprensiva di GDPR, ingegneria sociale, gestione dei segreti, sviluppo sicuro, rischi specifici dell'IA (prompt injection, esfiltrazione dati via LLM), aggiornamenti sui provvedimenti del Garante.",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "active"
    },
    {
      "id": "IAM-01.1",
      "control_area": "IAM",
      "question": "Mettete a disposizione un'opzione di autenticazione multi-fattore per gli utenti del cliente?",
      "claresia_answer": "Sì — MFA imposta dall'IdP del cliente attraverso WorkOS SSO. Chiavi di sicurezza hardware (FIDO2/WebAuthn) supportate via IdP. Pilastro SCUDO O (Operatori verificati) — nessuna azione anonima permessa.",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "planned"
    },
    {
      "id": "IAM-02.1",
      "control_area": "IAM",
      "question": "Supportate la federazione delle identità (SAML, OIDC, ecc.)?",
      "claresia_answer": "Sì — SAML 2.0 + OpenID Connect via WorkOS. Compatibile con Okta, Azure AD/Entra ID, Google Workspace, JumpCloud, OneLogin, PingFederate, Auth0, OIDC custom. SCIM 2.0 per provisioning + deprovisioning immediato alla rimozione dell'identità.",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "planned"
    },
    {
      "id": "IAM-03.1",
      "control_area": "IAM",
      "question": "Supportate il controllo accessi a ruoli a granularità fine per gli amministratori del cliente?",
      "claresia_answer": "Sì — il Command Center cc-059 supporta RBAC per tenant (ruoli Owner / Admin / Operator / Auditor / Viewer) con default-deny e privilegio minimo. Ruoli custom disponibili in Mode B/C.",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "planned"
    },
    {
      "id": "IPY-01.1",
      "control_area": "IPY",
      "question": "Pubblicate API documentate per consentire ai tenant l'import/export dei dati?",
      "claresia_answer": "Sì — ogni record dell'Hub (cc-050) è esportabile come JSON canonico via Hub API. Le skill IR sono YAML versionate. L'export del Roster cc-061 è disponibile in CSV. Portabilità dei dati garantita ai sensi dell'art. 20 GDPR.",
      "evidence_link": "https://claresia-trust.netlify.app/architecture",
      "status": "active"
    },
    {
      "id": "IPY-02.1",
      "control_area": "IPY",
      "question": "Mettete a disposizione un processo per consentire ai tenant di cambiare la posizione dei dati?",
      "claresia_answer": "Pianificato — i clienti Mode B/C possono richiedere il cambio di regione; Claresia esegue migrazione cross-region con finestra di manutenzione coordinata. Regioni standard: eu-south-1, eu-central-1, eu-west-1, italynorth (Azure), europe-west8 (GCP).",
      "evidence_link": "https://claresia-trust.netlify.app/architecture",
      "status": "planned"
    },
    {
      "id": "IVS-01.1",
      "control_area": "IVS",
      "question": "Loggate l'integrità file (host) e le intrusioni di rete (IDS/IPS)?",
      "claresia_answer": "Sì — tramite sub-responsabile. AWS GuardDuty / Azure Defender / GCP Security Command Center sono attivi in tutti gli account di produzione. Cloudflare WAF in fronte alle superfici pubbliche. Log interni in streaming verso il tenant centralizzato di osservabilità (Datadog UE, pianificato Q2 2026).",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "planned"
    },
    {
      "id": "MOS-01.1",
      "control_area": "MOS",
      "question": "Avete una policy documentata di sicurezza per i dispositivi mobili (MDM, ecc.)?",
      "claresia_answer": "Sì — tutti i dispositivi aziendali sono iscritti in Jamf (macOS) / Intune (Windows). Cifratura del disco obbligatoria. Wipe remoto attivo. Nessun caching di dati cliente su dispositivi personali (BYOD vietato per accesso a produzione).",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "active"
    },
    {
      "id": "SEF-01.1",
      "control_area": "SEF",
      "question": "Avete un piano documentato di risposta agli incidenti di sicurezza?",
      "claresia_answer": "Sì — il piano di risposta agli incidenti copre rilevazione, triage (severità 1-4), contenimento, eradicazione, ripristino, post-mortem. Impegno di notifica entro 72 ore ai sensi dell'art. 33 GDPR + Art. 11 DPA. Cooperazione con la notifica al Garante ai sensi del D.Lgs. 196/2003.",
      "evidence_link": "https://claresia-trust.netlify.app/incidents",
      "status": "active"
    },
    {
      "id": "SEF-02.1",
      "control_area": "SEF",
      "question": "Mantenete contatti con i forum di sicurezza e i regolatori competenti?",
      "claresia_answer": "Sì — membro della Cloud Security Alliance, stakeholder ENISA, registrato presso ACN (Agenzia per la Cybersicurezza Nazionale), directory DPO del Garante. Iscritti agli avvisi di CERT-AGID, CSIRT-IT, ANSSI, BSI, CISA.",
      "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper",
      "status": "active"
    },
    {
      "id": "STA-01.1",
      "control_area": "STA",
      "question": "Mantenete un programma formale di gestione del rischio fornitori?",
      "claresia_answer": "Sì — ogni sub-responsabile è soggetto a (a) revisione del DPA, (b) questionario di sicurezza (CAIQ-Lite o equivalente), (c) verifica delle certificazioni (SOC 2 / ISO 27001), (d) rivalutazione annuale. Lista pubblica dei sub-responsabili mantenuta.",
      "evidence_link": "https://claresia-trust.netlify.app/sub-processors",
      "status": "active"
    },
    {
      "id": "STA-02.1",
      "control_area": "STA",
      "question": "Notificate ai tenant le modifiche alla lista dei sub-responsabili?",
      "claresia_answer": "Sì — preavviso di 30 giorni tramite sottoscrizione del Trust Center, banner in-app ed e-mail al referente DPA. Diritto di opposizione del cliente ai sensi dell'Art. 8 DPA.",
      "evidence_link": "https://claresia-trust.netlify.app/dpa",
      "status": "active"
    },
    {
      "id": "TVM-01.1",
      "control_area": "TVM",
      "question": "Avete un programma di gestione delle vulnerabilità (scanning, patching)?",
      "claresia_answer": "Sì — SCA continuo via Dependabot / Snyk; container scanning via Trivy; scansione delle configurazioni cloud via Prowler / Checkov. CVE critiche corrette entro 24h, alte entro 7gg, medie entro 30gg. Penetration test annuale di terze parti (pianificato Q2 2026 con Cure53 / NCC Group EU).",
      "evidence_link": "https://claresia-trust.netlify.app/pen-test",
      "status": "active"
    },
    {
      "id": "TVM-02.1",
      "control_area": "TVM",
      "question": "Operate un programma di bug bounty o di disclosure coordinata delle vulnerabilità?",
      "claresia_answer": "Pianificato Q3 2026 — HackerOne EU o Intigriti. Oggi: disclosure delle vulnerabilità via security@claresia.com con finestra di 90 giorni ai sensi della ISO/IEC 29147.",
      "evidence_link": "https://claresia-trust.netlify.app/bug-bounty",
      "status": "planned"
    },
    {
      "id": "IPV-01.1",
      "control_area": "IPV",
      "question": "Fornite un'informativa privacy coerente con gli artt. 13–14 GDPR?",
      "claresia_answer": "Sì — informativa privacy pubblicata su claresia.com/privacy in EN + IT. Le disclosure ai sensi degli artt. 13/14 coprono categorie di dati, finalità, basi giuridiche, conservazione, destinatari, trasferimenti verso Paesi terzi, diritti dell'Interessato, contatto del DPO (dpo@claresia.com).",
      "evidence_link": "https://claresia-trust.netlify.app/dpa",
      "status": "active"
    }
  ]
}