Perché Varify non ha la certificazione ISO 27001 - e perché questo non è un problema
Indice dei contenuti
Scopo dell'articolo
Questo documento fornisce al team di Varify una linea di argomentazione chiara e basata sui fatti quando i clienti o i potenziali clienti chiedono perché Varify non dispone della certificazione ISO 27001 (o equivalente). Spiega le ragioni architettoniche per cui tale certificazione sarebbe sproporzionata, descrive le misure di sicurezza effettivamente implementate da Varify e fornisce moduli di testo pronti per le vendite, il successo dei clienti e le discussioni sugli acquisti.
La risposta breve
Varify non memorizza né elabora alcun dato personale. La norma ISO 27001 è stata concepita per gestire i rischi relativi alle risorse informative, in particolare i dati sensibili o personali. Poiché Varify si astiene deliberatamente dall'archiviare tali dati a livello architettonico, i rischi affrontati dalla ISO 27001 non si applicano a Varify. Varify si affida invece a misure proporzionate e conformi al GDPR e a principi di privacy-by-design che corrispondono al profilo di rischio effettivo.
Come l'architettura di Varify elimina i rischi legati ai dati
Varify separa la consegna dell'esperimento dalla misurazione del risultato. Questa decisione architettonica centrale determina l'intera posizione dei dati di Varify.
Cosa fa Varify
- Fornisce uno snippet JavaScript leggero (11,5 KB) che applica modifiche visive o basate sul codice a un sito web.
- Assegna le varianti dell'esperimento ai visitatori tramite localStorage/sessionStorage (non tramite i cookie).
- Invia i segnali di partecipazione all'esperimento allo strumento di analisi del cliente (GA4, BigQuery, PostHog, Matomo ecc.).
Cosa NON fa Varify
- Non raccoglie, memorizza o elabora informazioni di identificazione personale (PII).
- Non imposta cookie e non utilizza identificatori persistenti
- Non crea profili utente e non traccia le persone tra le varie sessioni.
- Non gestisce un proprio database di analisi o un datawarehouse.
- Non riceve, memorizza o ha accesso ai dati di conversione, ai dati di vendita o ai dati dei clienti.
Tutte le operazioni di tracciamento, misurazione e archiviazione dei dati avvengono esclusivamente nell'ambiente di analisi del cliente. Varify non vede, tocca o memorizza questi dati in nessun momento.
Perché l'ISO 27001 è sproporzionata per Varify
La norma ISO 27001 è un quadro di riferimento per la creazione, l'implementazione e il mantenimento di un sistema di gestione della sicurezza delle informazioni (ISMS). Si rivolge alle organizzazioni che conservano, elaborano o trasferiscono informazioni sensibili, in particolare dati personali, dati finanziari, dati sanitari o proprietà intellettuale.
I controlli fondamentali della ISO 27001 affrontano rischi quali:
- Accesso non autorizzato ai dati memorizzati
- Violazione e perdita di dati
- Pipeline di elaborazione dati non sicure
- Controlli di accesso insufficienti ai sistemi sensibili
- Risposta inadeguata agli incidenti legati ai dati
Questi rischi presuppongono che il fornitore detenga dati degni di essere protetti. Se l'architettura di un provider è progettata in modo tale da non memorizzare o elaborare dati personali, il modello di minaccia che la ISO 27001 protegge è fondamentalmente ridotto.
Questo non è un argomento a favore dell'assenza di misure di sicurezza, ma a favore dell'adozione di misure adeguate al rischio effettivo. Il GDPR stesso sancisce questo principio all'articolo 32, che richiede misure di sicurezza „proporzionate al rischio”.
Che cosa ha Varify in realtà
Varify adotta misure di sicurezza e di conformità adeguate al suo ruolo di strumento di consegna lato client senza memorizzazione di dati personali.
Conformità al GDPR per progettazione
- Architettura senza cookie: non è necessario il consenso per i cookie specifici per Varify.
- Nessun dato personale memorizzato da Varify
- Nessun identificativo personale per i partecipanti all'esperimento
- Privacy-by-design e privacy-by-default come principi architettonici
Contratto di elaborazione degli ordini (AVV)
- DPA completa ai sensi dell'art. 28 GDPR, obbligatoria per tutti i clienti
- Misure tecniche e organizzative documentate (TOM) come allegato al GCU
- Elenco dei subprocessori con notifica anticipata delle modifiche
- Procedura definita per sostenere i diritti degli interessati
- Diritti di ispezione concessi alla persona responsabile
Sicurezza dell'infrastruttura (controlli ereditati)
L'infrastruttura di Varify si appoggia a fornitori che dispongono a loro volta di ampie certificazioni:
| Fornitore | Ruolo | Certificazioni |
|---|---|---|
| AWS (Francoforte, eu-centrale-1) | Hosting, calcolo, storage | ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, C5, PCI DSS |
| Cloudflare | CDN, protezione DDoS, consegna edge | ISO 27001, SOC 2 Tipo II, PCI DSS |
Tutti i trattamenti dei dati avvengono all'interno dell'UE (Francoforte). Per le operazioni principali, nessun dato viene trasferito al di fuori dello Spazio Economico Europeo.
Sicurezza a livello di applicazione
- Crittografia TLS per tutti i dati in transito (HTTPS obbligatorio)
- Controllo degli accessi basato sui ruoli all'interno della piattaforma Varify
- Pratiche di sviluppo software sicure
- Monitoraggio regolare delle dipendenze e delle vulnerabilità
- Procedura di risposta agli incidenti documentata nella GCU
Stato di conformità
- Conformità al GDPR (trattamento dei dati nell'UE, nessuna memorizzazione di PII, DPA con TOM)
- Compatibile con CCPA
- Compatibile con gli ambienti regolamentati da HIPAA (non vengono elaborati dati personali).
- Conforme alla revDSG svizzera (hosting conforme all'UE)
L'argomento della proporzionalità
Il principio di proporzionalità è centrale sia nel GDPR (articolo 32) che nello stesso standard ISO 27001 (la selezione dei controlli dell'allegato A è basata sul rischio). Richiedere la ISO 27001 a un fornitore che non detiene dati personali crea un disallineamento di conformità:
- La certificazione coprirebbe rischi che non esistono. Il valore della ISO 27001 risiede nella protezione delle risorse informative. Se non ci sono asset di dati personali, la certificazione si rivolge a un modello di minaccia vuoto.
- I dati vengono memorizzati nello strumento di analisi del cliente. L'istanza GA4, BigQuery o Matomo del cliente, e non Varify, è il sistema che archivia i risultati degli esperimenti e i dati degli utenti. Le valutazioni di sicurezza devono concentrarsi su questi sistemi.
- La ISO 27001 non è una garanzia di sicurezza. La certificazione conferma l'esistenza di un sistema di gestione, non l'assenza di vulnerabilità. Un fornitore con ISO 27001 può comunque essere colpito da violazioni dei dati. Un fornitore che ne è sprovvisto può comunque disporre di misure di sicurezza forti e adeguate.
- Le misure proporzionate sono più oneste. Invece di puntare a una certificazione che consisterebbe in gran parte in controlli „non applicabili”, Varify investe in misure effettivamente rilevanti per la sua architettura: infrastruttura di consegna sicura, hosting UE, contratti di elaborazione degli ordini conformi al GDPR e gestione trasparente dei subprocessori.
Confronto: dove la ISO 27001 ha senso e dove no
| Scenario | La ISO 27001 è appropriata? | Perché |
|---|---|---|
| Fornitore di CRM con archiviazione dei dati dei clienti | Sì | Memorizza ed elabora le PII su larga scala. |
| Fornitore di storage in cloud | Sì | Archivia documenti e file sensibili |
| Fornitore di servizi di pagamento | Sì | Elabora i dati finanziari |
| Piattaforma di analisi con un proprio data warehouse | Sì | Memorizza dati comportamentali, potenzialmente PII |
| Strumento di test A/B lato client senza memorizzazione dei dati | Sproporzionato | Nessuna PII memorizzata, nessun data warehouse, puro ruolo di consegna |
Domande frequenti (FAQ)
D: Varify si impegnerà per ottenere la ISO 27001 in futuro? R: Valutiamo regolarmente la nostra pianificazione della certificazione. Se la nostra architettura dovesse evolvere verso la memorizzazione di dati personali, la certificazione diventerebbe una priorità. Per la nostra architettura attuale, ci concentriamo su misure che corrispondono al nostro profilo di rischio effettivo.
D: Potete compilare il nostro questionario sulla sicurezza senza ISO 27001? R: Sì. Rispondiamo regolarmente alle valutazioni di sicurezza dei fornitori e possiamo fornire informazioni dettagliate sulla nostra infrastruttura, sul trattamento dei dati e sull'impostazione della conformità. A molte delle domande relative alla ISO 27001 rispondiamo con un „non applicabile - non vengono conservati dati personali” o con un riferimento alle certificazioni dei nostri fornitori di infrastrutture.
D: E il SOC 2? R: Si applica lo stesso argomento di proporzionalità. Gli audit SOC 2 di tipo II sono progettati per i fornitori di servizi che memorizzano ed elaborano i dati dei clienti. I nostri fornitori di infrastrutture (AWS, Cloudflare) dispongono di certificazioni SOC 2. Per le operazioni di Varify, in cui non vengono archiviati i dati dei clienti, il SOC 2 verificherebbe un ambiente di dati che non esiste.
D: La nostra politica interna richiede la ISO 27001 a tutti i fornitori, senza eccezioni. R: Lo capiamo. In pratica, molte organizzazioni applicano esenzioni basate sul rischio per i fornitori che non memorizzano dati personali. Consigliamo di discutere con il vostro team di sicurezza delle informazioni se l'architettura di Varify (nessuna archiviazione di dati, hosting nell'UE, fornitori di infrastrutture certificati, AVV completo con TOM) si qualifica per tale esenzione. Saremo lieti di supportare questa discussione con la documentazione e un'analisi tecnica.
Ultimo aggiornamento: Aprile 2026 Responsabile: Varify Software GmbH