Il vostro stack è davvero sovrano? Un'autoverifica in 12 punti

«Sovrano» è diventata una parola di marketing, il che la rende inutile per decidere qualsiasi cosa. Ecco allora un test concreto. Passate la vostra configurazione attuale attraverso queste dodici verifiche. Richiedono cinque minuti, non serve alcuna e-mail, e vi diranno con onestà quanta parte del vostro stack è davvero sotto il vostro controllo — anziché semplicemente ospitata nel posto giusto.

L'autoverifica in 12 punti

Per ogni punto, un «sì» convinto è un buon segno. Un «no» o un «non sono sicuro» è dove vive la vostra esposizione.

• 1. Giurisdizione del fornitore — ogni fornitore che detiene i vostri dati è costituito sotto una legge di cui vi fidate, anziché essere una controllata di una straniera?
• 2. Esposizione al CLOUD Act — potete dire, per ogni sistema, che nessun fornitore con sede negli USA controlla i dati, anche in una regione UE?
• 3. Collocazione dei dati — sapete davvero in quale paese è archiviato ciascun insieme di dati, e potete dimostrarlo?
• 4. Chiavi di cifratura — detenete le vostre chiavi, così l'accesso è una vostra decisione anziché un'impostazione predefinita del fornitore?
• 5. Portabilità del fornitore — potreste passare a un altro fornitore senza una ricostruzione, ed esiste un percorso di uscita scritto?
• 6. Controllo della posta — la vostra posta è su un'infrastruttura che controllate o su un fornitore europeo, con SPF, DKIM e DMARC applicati?
• 7. Backup — i backup sono custoditi in un posto che controllate, ripristinabili senza il fornitore originale, e davvero testati?
• 8. Flusso dei dati verso l'IA — quando la vostra squadra usa l'IA, sapete se i vostri documenti lasciano il vostro perimetro, e dove vanno?
• 9. Identità & accessi — gestite la vostra identità (account, MFA, ingressi/uscite) anziché dipendere da un'unica piattaforma straniera?
• 10. Vincolo — i vostri sistemi centrali sono open source o basati su standard aperti, così non siete ostaggi della roadmap e dei prezzi di un unico fornitore?
• 11. Documentazione — un nuovo partner potrebbe prendere in mano il vostro stack a partire da una documentazione scritta che possedete, senza il fornitore attuale nella stanza?
• 12. Sub-responsabili — avete un elenco aggiornato di chi tocca davvero i vostri dati, e sotto quale legge opera?

Che punteggio avete fatto?

Nessuno fa dodici su dodici, e non ce n'è bisogno. Il punto non è un punteggio perfetto — è sapere dov'è la vostra reale esposizione, e decidere quali lacune valga la pena chiudere. Il profilo di rischio di una banca è diverso da quello di uno studio di design.

In maggioranza «sì»

Siete messi davvero bene — più sovrani della media. Vale una riverifica periodica man mano che aggiungete strumenti, perché ogni nuovo SaaS aggiunge in silenzio sub-responsabili e flussi di dati.

Una manciata di «no» o «non sono sicuro»

Normale, e risolvibile. Le risposte «non sono sicuro» sono quelle da inseguire per prime — l'incertezza di solito nasconde l'esposizione maggiore. Scegliete le due o tre più importanti per il vostro settore e chiudetele deliberatamente.

Se vi serve un secondo paio d'occhi, è esattamente ciò che fa il nostro audit gratuito di sovranità e IA: passiamo il vostro stack attraverso tutto questo in profondità e vi consegniamo una serie scritta e prioritizzata di passi successivi — nessun impegno.