comprova
Prodotto · Evidenze

Il vault dove vivono le tue prove.

Schede tipizzate, hash SHA-256 di integrità, scansione antivirus, mapping al controllo NIS2 o ISO, retention configurabile, audit trail su ogni accesso. Tutto su server in UE — i tuoi documenti non escono dall'Europa.

§01 · Cos'è il Vaultil modulo Evidenze

Una cassaforte specializzata, non un Drive in più.

In tante PMI italiane le prove di compliance vivono in tre posti diversi: una cartella SharePoint (le policy adottate), una casella email (i DPA firmati con i fornitori), una stampa in ufficio (il verbale del comitato sicurezza). Quando arriva l'audit, qualcuno passa una settimana a metterle in ordine — e spesso ne manca la metà.

Il Vault Evidenze risolve questo problema in modo specifico: ogni prova ha una scheda dedicata, con tipo (documento vigente o report periodico), retention, mapping al controllo NIS2/ISO che copre, e firma di integrità. Niente cartelle libere, niente file omonimi che si sovrascrivono, niente perdite per turn-over.

Alla prima attivazione di Comprova, il Vault arriva già pre-configurato con 24 schede evidenza che coprono i controlli NIS2 Art. 21 più frequenti. Tu carichi i tuoi documenti dove ti chiedono di metterli — il sistema sa cosa farne.

§02 · Due tipi di schedadocumento vigente · report periodico

Documento vigente o report periodico — il Vault le tratta diversamente.

La scelta del tipo di scheda non è cosmetica. Cambia come il sistema tratta versioni, scadenze e cronologia, e cambia cosa l'auditor vede quando apre la scheda in revisione.

Documento vigente con versioni

Per documenti che esistono in una sola copia 'attualmente in vigore' ma cambiano nel tempo. Il sistema tiene la versione corrente e tutto lo storico delle precedenti.

Esempio: la Policy di sicurezza informatica. C'è la versione 2.4 attiva, le precedenti 2.3, 2.2, 2.1, 2.0 nello storico. L'auditor vede subito quale è in vigore oggi e quando è stata l'ultima revisione.

Snapshot immutabile a ogni adozione/revisione.

Report periodici con timeline

Per evidenze che si ripetono nel tempo, ognuna autonoma e datata: test, esercitazioni, scansioni, audit. Non c'è 'la versione corrente' — c'è una timeline.

Esempio: i rapporti di test backup trimestrale. Ne esistono uno per ogni trimestre, ognuno con la sua data, il suo esito, le sue azioni correttive. L'auditor scorre la timeline e vede la cronologia degli esercizi.

Aggiunta cronologica con cadenza configurabile (mensile, trimestrale, annuale).

§03 · Cosa metti dentroesempi reali

Le prove che già produci, ordinate per categoria.

Non devi creare nulla di nuovo: i documenti che già firmi, generi e ricevi entrano nel Vault sotto la scheda corretta. Quattro macro-categorie coprono il 90% di quello che un auditor NIS2 ti chiede.

Tecniche operative

  • · Log abilitazione MFA degli account amministrativi
  • · Configurazioni firewall e VPN aziendale
  • · Report scansioni di vulnerabilità trimestrali
  • · Rapporti test backup e ripristino
  • · Inventory degli asset critici

Contrattuali e legali

  • · DPA firmati con i fornitori critici
  • · Clausole NIS2 nei contratti di outsourcing
  • · Polizze assicurative cibernetiche
  • · Privacy policy e cookie policy pubblicate
  • · Codici di condotta del personale

Persone e formazione

  • · Attestati Formazione mensile (auto-archiviati)
  • · Registri presenze a sessioni formative esterne
  • · Verbali nomina DPO e CISO
  • · Acknowledgment policy con timestamp
  • · Onboarding/offboarding sicurezza nuovi assunti

Governance e processo

  • · Verbali riunioni del comitato sicurezza
  • · Approvazioni di policy con firma digitale
  • · Risk Register esportato per snapshot
  • · Report incidenti chiusi con post-mortem
  • · Esercitazioni di Business Continuity annuali
§04 · Il viaggio di un filedall'upload all'audit

Dal drag&drop alla prova firmata, in pochi secondi.

Sei passi automatici. Tu fai il primo: trascini il file. Il resto avviene in background, e l'evidenza è pronta per l'audit prima ancora che tu chiuda la scheda.

  1. Step 1

    Caricamento nella scheda giusta

    Drag&drop nel Vault. Scegli la scheda evidenza (es. EV-101 'Log abilitazione MFA'), il sistema sa già a quale controllo NIS2 mappare e quale retention applicare. Tipi accettati: PDF, DOCX, XLSX, immagini, log testuali. Cap per file 50 MB.

  2. Step 2

    Scansione antivirus ClamAV

    Il file resta in quarantena finché la scansione non lo dichiara CLEAN. Se INFECTED viene bloccato e l'amministratore notificato. Niente upload silenziosi di malware nel Vault.

  3. Step 3

    Hash SHA-256 calcolato

    L'hash di integrità viene calcolato e firmato. Da quel momento qualsiasi modifica al file produce un hash diverso, e quindi è rilevabile. È quello che porti in audit per dire 'questo documento è esattamente quello che abbiamo caricato il giorno X'.

  4. Step 4

    Mapping al controllo

    L'evidenza è collegata al controllo NIS2 (Art. 21 a-j) o ISO Annex A che copre. Il Cruscotto aggiorna lo score di copertura. Se la scheda copre più controlli — es. un piano BC che copre Art. 21.c e Annex A.5.30 — il mapping è multiplo.

  5. Step 5

    Retention monitorata

    Ogni scheda ha una scadenza naturale (es. test backup ogni 90 giorni, polizza annuale, DPA biennale). Il sistema notifica chi è responsabile prima della scadenza. Niente evidenze che invecchiano in silenzio.

  6. Step 6

    Audit trail di ogni accesso

    Chi ha caricato, modificato, scaricato, aperto in preview — tutto entra nell'audit trail concatenato (hash chain), tracciabile per data e utente. È quello che chiede un Lead Auditor quando vuole capire la tenuta del processo, non solo dei documenti.

§05 · Mappa ai controlliNIS2 Art. 21 · ISO Annex A

Una prova, uno o più controlli coperti.

Ogni scheda evidenza dichiara quale controllo NIS2 (Art. 21 a-j) o ISO 27001 (Annex A) copre. Quando carichi il file, la copertura sale: il Cruscotto mostra in tempo reale quale percentuale dell'Art. 21 è coperta, quali controlli sono ancora scoperti, quali evidenze stanno per scadere.

Il sovrapposto è gestito: una stessa evidenza — per esempio la policy di Business Continuity — può coprire Art. 21.c (gestione della continuità) e ISO Annex A.5.30 (ICT readiness for business continuity) contemporaneamente. Non duplichi il file: lo carichi una volta, copre due norme.

Quando attivi un secondo framework (oggi NIS2, domani ISO 27001), la copertura ereditata salta da subito al 70-80% senza ricaricare nulla. È il vero senso del Vault: archivio condiviso, mapping multipli.

§06 · Domande frequenti

Quello che ci chiedono di solito.

Posso usare il Vault come archivio generale aziendale?
No, e non vorresti. Il Vault è specializzato per evidenze di compliance: schede tipizzate, retention configurata, audit trail su ogni accesso, mapping al controllo. Per documentazione operativa generale (cataloghi, procedure interne non normate, materiale marketing) ti convengono SharePoint o Drive aziendali. Comprova è la cassaforte delle prove, non il file server.
Cosa succede se un documento esiste in versione cartacea?
Lo digitalizzi (scansione) e lo carichi come PDF. Nella scheda evidenza è previsto un campo 'origine' dove specifichi che il documento esiste anche in originale firmato in archivio fisico. Per l'auditor questa traccia è sufficiente.
L'hash SHA-256 ha valore probatorio?
Sì, in coppia con il timestamp di caricamento e l'audit trail. Ti permette di dimostrare che il file 'X' era esattamente quello al momento 'Y'. Per documenti che richiedono certificazione di marca temporale legalmente qualificata (RFC 3161) — es. firme digitali — abbiamo nel piano una integrazione con TSA accreditate europee, in arrivo nei prossimi sprint.
Quanto spazio ho a disposizione?
Spazio adeguato all'uso compliance. Cap per singolo file 50 MB, sufficiente per qualsiasi policy, procedura, vulnerability scan, attestato. Se hai necessità diverse — log di sistema voluminosi, registrazioni video — ne parliamo. Non vendiamo megabyte: vendiamo prove.
Posso caricare file in bulk?
Sì. Il bulk import drag&drop con auto-tag suggerito è in arrivo nel prossimo sprint. Al momento si caricano file uno alla volta, scegliendo la scheda — è l'esperienza che fa l'80% del lavoro: gli utenti veri tipicamente caricano 5-10 evidenze a settimana, non 200 in una sola volta.
Cosa succede se cancello un'evidenza per sbaglio?
Le evidenze non si cancellano: si archiviano. Restano nel Vault con stato 'archiviata', non più rilevanti per il Cruscotto compliance corrente, ma recuperabili e tracciate. L'audit trail registra chi e quando ha archiviato, e perché. La cancellazione fisica avviene solo a fine retention contrattuale.

Il Vault Evidenze è il cuore della Piattaforma.

Non si compra da solo: viene insieme a Policy, Rischi, Incidenti, Fornitori, Audit Pack e Cruscotto, nella Piattaforma completa. Se stai valutando solo l'obbligo formativo, il prodotto giusto è Comprova Formazione. Se invece hai bisogno di costruire il dossier di compliance completo, parliamone in call.

Chiedi un preventivoTorna agli otto moduli