{
  "metadata": {
    "framework": "SIG-Lite",
    "version": "2026.1",
    "publisher": "Shared Assessments",
    "language": "it",
    "respondent": "Claresia S.r.l.",
    "respondent_contact": "security@claresia.com, dpo@claresia.com",
    "as_of": "2026-04-27",
    "status": "BOZZA — 60 di ~140 domande SIG-Lite pre-compilate, mappate a GDPR + ISO 27001:2022 + EU NIS2. Risposte oneste sull'attuale postura di controllo; risposte 'Pianificato Q* 2026' indicano controlli in costruzione.",
    "evidence_base_url": "https://claresia-trust.netlify.app",
    "translation_notice": "Traduzione di cortesia della versione inglese. La versione inglese controlla in caso di conflitto."
  },
  "questions": [
    {"id": "A.1", "domain": "Valutazione del Rischio", "question": "È istituito e mantenuto un processo formale di valutazione del rischio di sicurezza informatica?", "claresia_answer": "Sì — valutazione annuale del rischio aziendale + revisione del rischio per ogni cambiamento di sub-responsabili e per modifiche architetturali. Registro dei rischi rivisto trimestralmente dal management.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "A.2", "domain": "Valutazione del Rischio", "question": "I rischi specifici dell'IA (model abuse, prompt injection, esfiltrazione dati via LLM) sono inclusi nel registro dei rischi?", "claresia_answer": "Sì — il Pilastro SCUDO D (Dati controllati) cataloga i rischi di egress specifici IA; il Pilastro SCUDO S (Scansione) cataloga i rischi di prompt-injection e azioni non sicure. Mitigazioni applicate a runtime tramite il Gateway LLM cc-073.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "A.3", "domain": "Valutazione del Rischio", "question": "I rischi delle terze parti / sub-responsabili sono formalmente tracciati?", "claresia_answer": "Sì — ogni sub-responsabile nella lista pubblica (https://claresia-trust.netlify.app/sub-processors) reca categoria, regione, categorie di dati, stato contratto, data dell'ultimo riesame.", "evidence_link": "https://claresia-trust.netlify.app/sub-processors", "status": "active"},
    {"id": "B.1", "domain": "Policy di Sicurezza", "question": "Esiste una policy di sicurezza informatica documentata e approvata dal management?", "claresia_answer": "Sì — Framework SCUDO v1.0 (cc-aware-governance/framework.md) approvato dal management Claresia. Riesame annuale; versione controllata in Git.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "active"},
    {"id": "B.2", "domain": "Policy di Sicurezza", "question": "La policy è comunicata a tutti i dipendenti e collaboratori?", "claresia_answer": "Sì — formazione di onboarding obbligatoria, refresher annuale, aggiornamenti annunciati via Slack interno + ricevuta firmata.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "B.3", "domain": "Policy di Sicurezza", "question": "La policy è rivista a intervalli pianificati o a fronte di modifiche significative?", "claresia_answer": "Sì — riesame annuale + ad-hoc su (a) nuova normativa (es. recepimento NIS2, applicazione fasi EU AI Act), (b) cambio architetturale rilevante, (c) incidente di sicurezza.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "C.1", "domain": "Sicurezza Organizzativa", "question": "È formalmente designato un CISO o ruolo equivalente?", "claresia_answer": "Parziale — le responsabilità di sicurezza sono in carico al CTO fondatore con supporto del DPO. Hire dedicato di CISO pianificato Q3 2026 prima dell'audit ISO 27001.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "C.2", "domain": "Sicurezza Organizzativa", "question": "È designato un Data Protection Officer (DPO) ove richiesto dal GDPR?", "claresia_answer": "Sì — dpo@claresia.com, registrato nella directory DPO del Garante. Il DPO è indipendente dalla linea di reporting ingegneristica.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "C.3", "domain": "Sicurezza Organizzativa", "question": "I ruoli e le responsabilità di sicurezza sono documentati nelle descrizioni dei ruoli?", "claresia_answer": "Sì — ogni job description include le pertinenti responsabilità di sicurezza; i ruoli con accesso a dati di produzione includono clausole esplicite di riservatezza + secure handling.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "D.1", "domain": "Gestione degli Asset", "question": "È mantenuto un inventario degli asset (hardware, software, dati)?", "claresia_answer": "Sì — software bill of materials (SBOM) generato per ogni rilascio; inventario hardware in Jamf/Intune; inventario dati nello schema canonico Hub (cc-050).", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "D.2", "domain": "Gestione degli Asset", "question": "Gli asset di dati sono classificati per sensibilità?", "claresia_answer": "Sì — Pubblico / Riservato / Restricted. La policy restricted-topics aggiunge classificazione tenant-specific (codice fiscale, inferenza biometrica, decisioni occupazionali automatizzate ai sensi del provv. Garante 2024).", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "D.3", "domain": "Gestione degli Asset", "question": "Sono in essere policy di uso accettabile per endpoint e dati?", "claresia_answer": "Sì — Acceptable Use Policy firmata all'onboarding, copre configurazione endpoint, uso GenAI, gestione segreti, divieto installazione software terzo su dispositivi con accesso a produzione.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "E.1", "domain": "Sicurezza HR", "question": "Sono effettuate verifiche dei precedenti per il personale con accesso a dati sensibili?", "claresia_answer": "Sì — casellario giudiziale, verifica esperienze lavorative, verifica titoli di studio — entro i limiti dell'art. 8 dello Statuto dei Lavoratori (no screening politico/religioso/sindacale).", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "E.2", "domain": "Sicurezza HR", "question": "Gli obblighi di riservatezza / NDA sono inclusi nei contratti di lavoro?", "claresia_answer": "Sì — NDA + cessione IP in ogni contratto di lavoro e di collaborazione, regolati dal diritto italiano per il personale residente in Italia.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "E.3", "domain": "Sicurezza HR", "question": "L'accesso è revocato prontamente alla cessazione?", "claresia_answer": "Sì — il deprovisioning SCIM 2.0 è immediato alla rimozione dall'IdP; override manuale via ruolo Owner; audit-loggato. Checklist di off-boarding completata entro 4 ore lavorative.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "E.4", "domain": "Sicurezza HR", "question": "La formazione annuale di sicurezza è obbligatoria?", "claresia_answer": "Sì — copre phishing, GDPR, gestione segreti, rischi specifici IA (prompt injection, esfiltrazione dati), aggiornamenti del Garante.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "F.1", "domain": "Sicurezza Fisica", "question": "Sono in essere controlli di accesso fisico nelle facility di trattamento?", "claresia_answer": "Sì — tramite sub-responsabile (AWS, Azure, GCP — certificati ISO 27001 / SOC 2 / ISO 27017). Ufficio Claresia: accesso a badge, CCTV, registrazione visitatori.", "evidence_link": "https://claresia-trust.netlify.app/sub-processors", "status": "active"},
    {"id": "F.2", "domain": "Sicurezza Fisica", "question": "Sono in essere controlli ambientali (incendio, allagamento, alimentazione)?", "claresia_answer": "Sì — gestiti dai sub-responsabili cloud al livello del data center.", "evidence_link": "https://claresia-trust.netlify.app/sub-processors", "status": "active"},
    {"id": "G.1", "domain": "Sicurezza Operativa", "question": "Le procedure di gestione delle modifiche sono documentate ed applicate?", "claresia_answer": "Sì — ogni modifica via PR + peer review + CI verde. Deploy in produzione via pipeline CI/CD approvata; accesso manuale a produzione richiede elevazione just-in-time.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "G.2", "domain": "Sicurezza Operativa", "question": "La protezione anti-malware è installata su endpoint e server?", "claresia_answer": "Sì — protezione endpoint su tutti i dispositivi aziendali via XDR gestito (Jamf/Intune); immagini container scansionate con Trivy in CI; protezione runtime pianificata Q3 2026 con Mode B GA.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "G.3", "domain": "Sicurezza Operativa", "question": "Le procedure di backup sono istituite e testate?", "claresia_answer": "Pianificato Q3 2026 con Mode B GA — backup giornalieri cifrati, rotazione 90 giorni, replica cross-region, esercitazioni di restore trimestrali. Oggi: solo scaffold-grade.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "G.4", "domain": "Sicurezza Operativa", "question": "I log sono conservati ai sensi della legge applicabile?", "claresia_answer": "Sì — catena di audit SCUDO conservata 7 anni ai sensi dell'art. 12 EU AI Act. Telemetria conservata 13 mesi default. Log di accesso conservati 12 mesi. Conservazione per tenant configurabile in Mode B/C.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "G.5", "domain": "Sicurezza Operativa", "question": "La sincronizzazione del tempo è imposta su tutti i sistemi?", "claresia_answer": "Sì — NTP da fonti di tempo del cloud provider (AWS Time Sync Service / Azure Time / GCP). Timestamp della catena di audit in UTC.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "H.1", "domain": "Controllo Accessi", "question": "L'accesso è concesso secondo il principio del privilegio minimo?", "claresia_answer": "Sì — RBAC con default-deny; ruoli Owner / Admin / Operator / Auditor / Viewer. Accesso a produzione richiede elevazione just-in-time con approvazione di un peer.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "H.2", "domain": "Controllo Accessi", "question": "Gli accessi sono riesaminati periodicamente?", "claresia_answer": "Sì — riesame mensile degli accessi privilegiati; riesame trimestrale di tutti gli accessi; evidenze di deprovisioning conservate.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "H.3", "domain": "Controllo Accessi", "question": "L'MFA è imposta per gli account privilegiati?", "claresia_answer": "Sì — MFA imposta via WorkOS + IdP del cliente. Token hardware (FIDO2) supportati. Pilastro SCUDO O — nessuna azione anonima permessa.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "H.4", "domain": "Controllo Accessi", "question": "L'attività degli accessi privilegiati è loggata e riesaminata?", "claresia_answer": "Sì — ogni azione privilegiata emette un governance_event nella catena di audit SCUDO (SHA-256 in stile Merkle). Il cliente può streamare al proprio SIEM in tempo reale.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "active"},
    {"id": "H.5", "domain": "Controllo Accessi", "question": "Gli account condivisi / generici sono vietati?", "claresia_answer": "Sì — ogni accesso è legato a un'identità individuale via SSO. Gli account di servizio sono legati a un owner nominato e audit-loggati.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "I.1", "domain": "Crittografia", "question": "I dati sono cifrati a riposo con algoritmi standard di settore?", "claresia_answer": "Sì — AES-256 a riposo, AES-256-GCM ove applicabile. Tutti gli store di dati cliente cifrati.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "I.2", "domain": "Crittografia", "question": "I dati sono cifrati in transito con TLS 1.2 o superiore?", "claresia_answer": "Sì — TLS 1.3 imposto; TLS 1.2 supportato solo per client legacy con cifrari forti. HSTS imposto su tutte le superfici pubbliche.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "I.3", "domain": "Crittografia", "question": "Le chiavi crittografiche sono gestite in un sistema sicuro di gestione delle chiavi?", "claresia_answer": "Sì — AWS KMS / Azure Key Vault / GCP KMS in funzione della regione di deployment del tenant. CMEK ruotabile dal cliente in Mode B/C.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "I.4", "domain": "Crittografia", "question": "È documentata e applicata una policy di rotazione delle chiavi?", "claresia_answer": "Sì — rotazione automatica annuale per chiavi di piattaforma; rotazione on-demand per CMEK avviata dal cliente; rotazione immediata in caso di sospetto compromesso.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "J.1", "domain": "Sicurezza Applicativa", "question": "È seguito un SDLC sicuro (OWASP, NIST SSDF)?", "claresia_answer": "Sì — peer review per ogni PR, SAST (CodeQL), SCA (Dependabot), scansione segreti (TruffleHog), scansione container (Trivy). Modifiche ad alto rischio richiedono firma di due persone.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "J.2", "domain": "Sicurezza Applicativa", "question": "I penetration test sono effettuati almeno annualmente?", "claresia_answer": "Pianificato Q2 2026 — incarico con Cure53 / NCC Group EU. Oggi: scaffold-grade pre-cliente.", "evidence_link": "https://claresia-trust.netlify.app/pen-test", "status": "planned"},
    {"id": "J.3", "domain": "Sicurezza Applicativa", "question": "È in essere un programma di disclosure delle vulnerabilità?", "claresia_answer": "Sì — security@claresia.com con finestra di 90 giorni ai sensi della ISO/IEC 29147. Bug bounty (HackerOne EU / Intigriti) pianificato Q3 2026.", "evidence_link": "https://claresia-trust.netlify.app/bug-bounty", "status": "planned"},
    {"id": "J.4", "domain": "Sicurezza Applicativa", "question": "L'autenticazione API è imposta via token o richieste firmate?", "claresia_answer": "Sì — OAuth 2.0 + mTLS per service-to-service; chiavi API per cliente custodite nel suo KMS, ruotabili. Rate limiting e quote applicati per tenant.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "J.5", "domain": "Sicurezza Applicativa", "question": "Gli input sono validati e gli output codificati contro attacchi di injection?", "claresia_answer": "Sì — validazione input al confine API; output encoding nell'UI; header CSP imposti. AI-specific: scan pre-execution Pilastro SCUDO S + redazione PII al Gateway cc-073.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "J.6", "domain": "Sicurezza Applicativa", "question": "Le dipendenze sono mantenute aggiornate con tempistiche di remediation per CVE note?", "claresia_answer": "Sì — Critiche 24h, Alte 7gg, Medie 30gg, Basse 90gg per SLA di vulnerabilità interno.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "K.1", "domain": "Gestione Incidenti", "question": "È documentato un piano di risposta agli incidenti?", "claresia_answer": "Sì — incident-response.md copre rilevazione (alert burn-rate SLO, segnalazione cliente, threat intel), triage (severità 1-4), contenimento, eradicazione, ripristino, post-mortem.", "evidence_link": "https://claresia-trust.netlify.app/incidents", "status": "active"},
    {"id": "K.2", "domain": "Gestione Incidenti", "question": "Le notifiche di incidente sono erogate entro 72 ore ai sensi del GDPR?", "claresia_answer": "Sì — Art. 11 DPA impegna alla notifica entro 72 ore di Violazione di Dati Personali. Cooperazione con la notifica al Garante ai sensi del D.Lgs. 196/2003.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "K.3", "domain": "Gestione Incidenti", "question": "Le lessons-learned di incidente sono tracciate ed agite?", "claresia_answer": "Sì — ogni incidente Sev-1/Sev-2 attiva un post-mortem blameless entro 5 giorni lavorativi; action items tracciati a chiusura nel backlog di ingegneria; metriche aggregate pubblicate trimestralmente nel Trust Center.", "evidence_link": "https://claresia-trust.netlify.app/incidents", "status": "active"},
    {"id": "K.4", "domain": "Gestione Incidenti", "question": "È operativa una status page per gli incidenti di produzione?", "claresia_answer": "Sì — status.claresia.com (subscriber backend pianificato Q1 2026 via Atlassian Statuspage / Better Stack). Oggi: real-ping driven, senza lista di subscriber.", "evidence_link": "https://claresia-trust.netlify.app/incidents", "status": "planned"},
    {"id": "L.1", "domain": "Continuità Operativa", "question": "È documentato un piano di continuità operativa (BCP)?", "claresia_answer": "Sì — documentato in Architecture v1; esercitazioni DR trimestrali pianificate Q3 2026 con Mode B GA.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "L.2", "domain": "Continuità Operativa", "question": "Sono documentati target RTO e RPO per livello di servizio?", "claresia_answer": "Sì — Mode B: RPO ≤ 1h, RTO ≤ 4h. Mode A: RPO ≤ 4h, RTO ≤ 8h. Mode C: definito dal cliente per modulo Terraform.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "planned"},
    {"id": "L.3", "domain": "Continuità Operativa", "question": "I piani BCP / DR sono testati a intervalli pianificati?", "claresia_answer": "Esercitazioni DR trimestrali pianificate Q3 2026 con Mode B GA. Oggi scaffold-grade.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "M.1", "domain": "Conformità", "question": "È in essere un programma di gestione della conformità?", "claresia_answer": "Sì — il framework SCUDO mappa GDPR, EU AI Act, NIS2 (D.Lgs. 138/2024), provvedimenti del Garante, ISO 27001:2022, ISO 42001:2023. Vanta / Drata continuous compliance pianificato Q1 2026.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "active"},
    {"id": "M.2", "domain": "Conformità", "question": "I diritti di proprietà intellettuale sono tutelati (licenze, attribuzioni)?", "claresia_answer": "Sì — ogni dipendenza con licenza registrata in SBOM; compatibilità delle licenze verificata in CI; note di copyright preservate in source.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "M.3", "domain": "Conformità", "question": "La conformità GDPR è documentata (DPA, ROPA, supporto DPIA)?", "claresia_answer": "Sì — DPA pubblicato, ROPA mantenuto, supporto DPIA ai sensi dell'Art. 10 DPA. Addendum specifico Statuto dei Lavoratori art. 4 incluso (Art. 16.1 DPA).", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "M.4", "domain": "Conformità", "question": "La conformità EU AI Act è affrontata?", "claresia_answer": "Parziale — Pilastro SCUDO U (Uso conforme) implementa lo stamp di trasparenza dell'art. 50 + l'auto-generazione della documentazione tecnica art. 11/Allegato IV. Programma di conformità completo target operativo Q3 2026.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "planned"},
    {"id": "M.5", "domain": "Conformità", "question": "La conformità NIS2 è affrontata per i clienti in scope?", "claresia_answer": "Sì — pacchetto di vendor due-diligence NIS2 disponibile (questo set di documenti). Recepimento italiano (D.Lgs. 138/2024) coperto. Controlli art. 21 mappati ai pilastri SCUDO; cooperazione di reporting incidenti art. 23 nell'Art. 11 DPA.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "M.6", "domain": "Conformità", "question": "La conformità DORA è affrontata per i clienti finanziari?", "claresia_answer": "Pianificato Q3 2026 — pacchetto di readiness DORA da rilasciare quando il primo cliente di servizi finanziari firma. La catena di audit supporta già la timeline degli incidenti DORA Art. 11-12.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "N.1", "domain": "Privacy", "question": "È documentato un programma di privacy gestito da un DPO?", "claresia_answer": "Sì — DPO designato, registrato presso il Garante, programma di privacy documentato in DPA + framework SCUDO.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "N.2", "domain": "Privacy", "question": "I diritti dell'Interessato (accesso, rettifica, cancellazione, portabilità) sono supportati?", "claresia_answer": "Sì — Art. 9 DPA; strumenti self-service nel Command Center cc-059.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "N.3", "domain": "Privacy", "question": "I trasferimenti di dati transfrontalieri sono protetti via CCT + misure supplementari (Schrems II)?", "claresia_answer": "Sì — CCT Modulo 2 + Modulo 3 + UK IDTA in DPA Allegato IV. TIA documentata per ciascun sub-responsabile in Paese terzo. Pilastro SCUDO D applica region pinning.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "N.4", "domain": "Privacy", "question": "Il controllo dei lavoratori è conforme alla normativa del lavoro applicabile?", "claresia_answer": "Sì — Art. 16.1 DPA affronta esplicitamente lo Statuto dei Lavoratori art. 4 con una modalità di Soppressione Telemetria per metriche solo di coorte.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "O.1", "domain": "Sicurezza Cloud", "question": "I tenant sono logicamente isolati?", "claresia_answer": "Sì — Mode A: Postgres RLS legata a app.tenant_id + prefisso object-storage per tenant. Mode B/C: Postgres dedicato + chiave KMS dedicata per tenant.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "planned"},
    {"id": "O.2", "domain": "Sicurezza Cloud", "question": "Sono offerte opzioni di cloud-region ai clienti?", "claresia_answer": "Sì — eu-south-1 (Milano) default, eu-central-1 (Francoforte), eu-west-1 (Irlanda), italynorth (Azure), europe-west8 (GCP). Nessun dato lascia il SEE senza addendum DPA + sign-off cliente.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "planned"},
    {"id": "O.3", "domain": "Sicurezza Cloud", "question": "Sono supportati endpoint di rete privati?", "claresia_answer": "Pianificato — AWS PrivateLink / Azure Private Link / GCP Private Service Connect con Mode B/C. Oggi scaffold-grade.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "planned"},
    {"id": "P.1", "domain": "Mobile / Endpoint", "question": "La gestione dei dispositivi mobili (MDM) è imposta?", "claresia_answer": "Sì — Jamf (macOS) / Intune (Windows). Cifratura del disco obbligatoria. Wipe remoto attivo. BYOD vietato per accesso a produzione.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "P.2", "domain": "Mobile / Endpoint", "question": "Gli endpoint sono scansionati per conformità prima di concedere accesso a produzione?", "claresia_answer": "Sì — controllo della device posture al momento dello SSO (cifratura disco, livello di patch OS, EDR attivo) gating accesso a produzione via WorkOS + risk policy IdP.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"}
  ]
}