Genera in pochi secondi il dossier completo per l'audit: PDF indice + ZIP evidenze + manifest firmato. Sharing con link a tempo, watermark del nome auditor, tracciamento accessi. Verifica off-line con uno script — l'auditor non ha bisogno di entrare nel Vault.
Un Audit Pack è un singolo download, ma dentro contiene quattro cose che lavorano insieme: un PDF leggibile, un ZIP delle evidenze, un manifest in JSON e un hash di integrità. L'auditor li trova tutti, già compatibili con i suoi strumenti.
Indice dei controlli applicabili (per default Art. 21 NIS2), per ogni controllo l'elenco delle evidenze allegate con riferimento, data, hash. È il documento che l'auditor legge per primo: cosa hai coperto, cosa manca, dove cercare.
Tutti i file caricati nel Vault e collegati ai controlli, in struttura cartelle per controllo, con i nomi originali. L'auditor decompatta l'archivio e i file sono dove li ha citati il PDF master.
File JSON con la lista esatta dei file inclusi, hash SHA-256 di ciascuno, hash del PDF master, timestamp di generazione, snapshotHash complessivo. È quello che l'auditor verifica dopo aver scaricato.
Hash SHA-256 del manifest, calcolato al momento della generazione e immodificabile. Se uno dei file viene alterato dopo, l'hash non torna. È la prova di integrità del pacchetto nel tempo.
Niente compilazione manuale del dossier, niente upload separati, niente formattazione di Word. Il sistema costruisce il pacchetto partendo dal Vault popolato e dal mapping già fatto.
Selezioni il framework (NIS2 oggi, ISO 27001 quando attivo) e l'ambito (tutti i controlli applicabili o un sottoinsieme). Niente compilazione manuale, niente upload separati: il sistema sa cosa includere e dove sta.
Genera il PDF master, comprime le evidenze, calcola hash SHA-256 di ogni file e dell'archivio finale, scrive il manifest. Tempo tipico: 30 secondi per un'organizzazione di taglia media (50-100 evidenze, ~200 MB).
Compare nel Vault con stato Pronto. Lo scarichi, lo verifichi internamente prima di mandarlo. Resta nel Vault con tutti i suoi metadata: Audit Pack del 12 ottobre, framework NIS2, snapshotHash X, generato da utente Y.
La differenza tra un Audit Pack Comprova e una cartella zippata qualunque è una sola: il pacchetto include lo snapshotHash SHA-256, calcolato sul manifest al momento della generazione. Quell'hash è la prova matematica che il pacchetto è quello generato il giorno X, ora Y, da utente Z.
L'auditor — chiunque sia, anche il commercialista, anche tu stesso fra due anni — può verificarne l'integrità senza bisogno di accedere a Comprova. Pubblicheremo uno script open source (Python, ~50 righe) che: ricalcola l'hash di ogni file dentro lo ZIP, lo confronta col manifest, ricalcola l'hash del manifest, lo confronta con lo snapshotHash dichiarato.
Se uno qualsiasi di questi passi non torna, l'auditor sa che il pacchetto è stato manomesso dopo l'emissione. Se tornano tutti, sa che il dossier è esattamente quello che hai generato il giorno della consegna. Niente fiducia, solo matematica.
Lo strumento di sharing genera un link a tempo (default 30 giorni, configurabile) per l'Audit Pack specifico. Il link non dà accesso al Vault — solo al pacchetto. L'auditor lo apre, lo scarica, lo verifica off-line, lavora.
Tre dettagli che fanno la differenza all'auditor seriamente esperto: watermark con il suo nome stampato su ogni pagina del PDF master (deterrente naturale alla circolazione del documento fuori scope); tracciamento accessi automatico (vedi quando il link è stato aperto, da che IP, quante volte, se è stato scaricato); revoca immediata (se il rapporto col fornitore esterno cambia, chiudi il link e smette di funzionare al click successivo).
Niente Drive condiviso con permessi che si dimenticano aperti, niente email pesanti che rimbalzano, niente file che girano in chat e finiscono fuori controllo. Un link, una scadenza, un log.
Audit non è una parola sola: dipende da chi te lo chiede e perché. L'Audit Pack si configura sull'ambito di volta in volta — framework, controlli inclusi, scadenza del link, lista destinatari tracciati.
Il founder Lead Auditor BSI viene a fare la gap analysis sotto il tuo brand Comprova. Generi un Audit Pack completo, glielo passi tramite link a tempo. L'auditor verifica integrità, lavora off-line, restituisce il report.
Per chi · PMI che vogliono prepararsi seriamente prima della certificazione.
Arriva l'ente accreditato (DNV, BSI, RINA) per la certificazione ISO 27001. L'auditor ti chiede l'evidenza per ogni controllo Annex A. Generi un Audit Pack con framework ISO, lo condividi via link firmato.
Per chi · Aziende già strutturate, vicine alla certificazione.
L'autorità ti chiede di documentare l'adempimento NIS2. Generi un Audit Pack ambito Art. 21+23, lo invii via PEC. La firma SHA-256 dimostra che il dossier è stato costruito al momento dell'ispezione, non rimaneggiato dopo.
Per chi · Soggetti essenziali e importanti NIS2 sotto vigilanza ACN.
Un cliente importante chiede ai suoi sub-fornitori di dimostrare il loro stato di compliance NIS2. Tu generi un Audit Pack ridotto (solo i controlli che il cliente ha indicato), glielo passi col link firmato.
Per chi · Sub-fornitori sotto pressione di filiera.
Tutto quello che fai negli altri moduli — caricare evidenze, adottare policy, registrare incidenti, formare i dipendenti — converge qui. Quando arriva l'ispettore, l'auditor o il cliente importante, l'Audit Pack è già pronto.