WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

SOC 2 e un framework di audit sviluppato dall'AICPA che valuta come le organizzazioni di servizi proteggono i dati dei clienti. A differenza di ISO 27001, SOC 2 e specificamente progettato per fornitori di tecnologia e servizi cloud.

Qual e la differenza tra SOC 2 Type I e Type II?

SOC 2 Type I valuta il design dei controlli in un momento specifico. SOC 2 Type II valuta l'efficacia operativa dei controlli nel tempo (tipicamente 6-12 mesi). Il Type II ha piu peso perche dimostra le prestazioni effettive.

Quali sono i cinque Trust Service Criteria?

I cinque TSC sono: Sicurezza (sempre incluso), Disponibilita (uptime e prestazioni), Integrita del trattamento (elaborazione accurata), Riservatezza (protezione dati riservati) e Privacy (protezione dati personali).

Quanto tempo richiede la certificazione SOC 2?

Type I: 3-6 mesi. Type II: 6-12 mesi (incluso il periodo di osservazione). La maggior parte delle aziende inizia con Type I e passa a Type II entro un anno.

Come si relaziona SOC 2 con ISO 27001 e NIS2?

SOC 2 e centrato sugli USA e specifico del servizio. ISO 27001 e internazionale e multi-settore. NIS2 e la regolamentazione cybersecurity dell'UE. Si completano: i controlli ISO 27001 forniscono la base, SOC 2 si concentra sui criteri di fiducia specifici del servizio.

Cosa puo automatizzare WarDek per SOC 2?

WarDek valuta automaticamente 8 controlli Trust Service Criteria tramite scansione di sicurezza: verifica della cifratura, analisi TLS, valutazione degli header, rilevamento vulnerabilita e altro.

SOC 2 Type II Compliance Guide — Trust Service Criteria

Cos'è SOC 2 e perché è importante

SOC 2(System and Organization Controls 2) è un framework di audit creato dall'AICPA (American Institute of Certified Public Accountants). Definisce i criteri per la gestione dei dati dei clienti basandosi su cinque Criteri dei Servizi di Fiducia(Trust Service Criteria, TSC): Sicurezza, Disponibilità, Integrità dell'elaborazione, Riservatezza e Privacy.

A differenza delle certificazioni come ISO 27001, SOC 2 produce un rapporto di attestazioneemesso da una società di revisione indipendente. Questo rapporto è sempre più richiesto dagli acquirenti aziendali durante i processi di approvvigionamento, in particolare negli Stati Uniti e nel Regno Unito. Per le aziende SaaS, un rapporto SOC 2 Type II è diventato il segnale di fiducia di riferimento — senza di esso, i contratti aziendali si bloccano o scompaiono del tutto.

Il contesto di mercato è chiaro: secondo la Cloud Security Alliance, oltre l'80 % delle gare d'appalto aziendali richiede ormai SOC 2 o una prova di conformità equivalente. Le organizzazioni che perseguono proattivamente SOC 2 chiudono i contratti il 40 % più velocemente rispetto a quelle che producono evidenze su richiesta.

SOC 2 Type I vs Type II

SOC 2 si declina in due tipi di rapporto, ciascuno con uno scopo diverso nel vostro percorso di conformità:

Aspetto	Type I	Type II
Ambito	Progettazione dei controlli in un momento specifico	Progettazione + efficacia operativa su un periodo
Durata	Data singola (istantanea)	Finestra di osservazione di 6–12 mesi
Costo	20.000–60.000 $	30.000–100.000 $+
Tempistica	3–6 mesi di preparazione	9–18 mesi in totale
Accettazione aziendale	Accettabile come evidenza provvisoria	Preferito e spesso richiesto
Rinnovo	Non ricorrente	Re-audit annuale obbligatorio

La maggior parte delle organizzazioni inizia con il Type I per dimostrare che i controlli esistono, per poi passare al Type IIper provare che questi controlli funzionano in modo coerente. Alcune aziende saltano direttamente il Type I se la loro maturità in materia di controlli è già elevata.

I cinque Criteri dei Servizi di Fiducia

SOC 2 valuta le organizzazioni sulla base di cinque Criteri dei Servizi di Fiducia. Sicurezza (Common Criteria)è obbligatorio per tutti i rapporti SOC 2. Gli altri quattro sono opzionali ma comunemente inclusi in base al contesto aziendale:

1. Sicurezza (Serie CC) — Obbligatorio

Il criterio di Sicurezza, detto anche Common Criteria, costituisce le fondamenta di ogni rapporto SOC 2. Copre la protezione delle informazioni e dei sistemi contro l'accesso non autorizzato, la divulgazione non autorizzata di informazioni e i danni ai sistemi. La serie CC si estende su 9 categorie (da CC1 a CC9) con oltre 30 punti di controllo individuali che coprono governance, valutazione dei rischi, monitoraggio, accesso logico, operazioni di sistema e gestione delle modifiche.

2. Disponibilità (Serie A)

Il criterio di Disponibilità riguarda il fatto che i sistemi siano operativi e utilizzabili come concordato. Copre la pianificazione del disaster recovery, la continuità operativa, la risposta agli incidenti e il monitoraggio dei sistemi. I controlli chiave includono A1.1 (pianificazione della capacità), A1.2 (protezioni ambientali e ripristino) e A1.3 (test di ripristino). Questo criterio è essenziale per le aziende SaaS con SLA di disponibilità.

3. Integrità dell'elaborazione (Serie PI)

L'Integrità dell'elaborazione garantisce che l'elaborazione del sistema sia completa, valida, accurata, tempestiva e autorizzata. È particolarmente rilevante per fintech, healthtech e qualsiasi servizio che elabora transazioni o calcoli sensibili. I controlli includono PI1.1 (obiettivi di elaborazione definiti), PI1.2 (validazione degli input), PI1.3 (accuratezza dell'elaborazione), PI1.4 (revisione degli output) e PI1.5 (gestione degli errori).

4. Riservatezza (Serie C)

Il criterio di Riservatezza protegge le informazioni designate come riservate (segreti commerciali, piani aziendali, proprietà intellettuale, dati personali regolati da contratto). I controlli includono C1.1 (identificazione delle informazioni riservate), C1.2 (eliminazione delle informazioni riservate) e requisiti di crittografia per i dati a riposo e in transito.

5. Privacy (Serie P)

Il criterio di Privacy riguarda la raccolta, l'uso, la conservazione, la divulgazione e l'eliminazione delle informazioni personali. Si allinea strettamente con le normative sulla protezione dei dati come il GDPR e il CCPA. La serie P comprende 8 categorie che coprono notifica, scelta e consenso, raccolta, uso/conservazione/eliminazione, accesso, divulgazione, qualità e monitoraggio. Includere questo criterio rafforza significativamente la vostra narrativa di conformità al GDPR.

8 controlli chiave automatizzati da WarDek

La scansione di sicurezza automatizzata di WarDek si mappa direttamente sui controlli dei Criteri dei Servizi di Fiducia di SOC 2. Una singola scansione valuta 8 aree di controllo critiche, generando evidenze che potete presentare al vostro revisore:

Riferimento del controllo	Nome del controllo	Cosa verifica WarDek
CC6.1	Controlli di accesso logico	Meccanismi di autenticazione, gestione delle sessioni, flag di sicurezza dei cookie (Secure, HttpOnly, SameSite), intestazioni di controllo accesso
CC6.6	Confini del sistema	Intestazioni di sicurezza (CSP, X-Frame-Options, X-Content-Type-Options), configurazione CORS, isolamento delle risorse, protezione dal clickjacking
CC6.7	Sicurezza della trasmissione	Configurazione TLS (versione del protocollo, suite di cifratura, validità del certificato), applicazione HSTS, rilevamento di contenuti misti, validazione della catena di certificati
CC7.1	Monitoraggio e rilevamento	Presenza di intestazioni di sicurezza come indicatore di capacità di monitoraggio, configurazione della gestione degli errori, prevenzione della divulgazione di informazioni, esposizione della versione del server
CC7.2	Rilevamento delle anomalie	Intestazioni di limitazione della frequenza, indicatori di protezione dai bot, meccanismi di prevenzione degli abusi, capacità di rilevamento di modelli sospetti
CC8.1	Gestione delle modifiche	Subresource Integrity (SRI) su script e fogli di stile, evidenze di blocco versione, indicatori di configurazione del deployment, verifica dell'integrità degli asset
A1.2	Controlli di disponibilità	Configurazione CDN e caching, indicatori di ridondanza, configurazione DNS (nameserver multipli, DNSSEC), misurazione di riferimento del tempo di risposta
C1.1	Postura di riservatezza	Esposizione dei dati nel codice sorgente HTML, informazioni sensibili nelle intestazioni, prevenzione del listing delle directory, esposizione di file di backup, rilevamento di fughe di chiavi API

Dopo la scansione, WarDek genera una valutazione dei Criteri dei Servizi di Fiduciache mappa ogni risultato al corrispondente controllo SOC 2. Questo serve come base di preparazione — aiutandovi a identificare le lacune prima di coinvolgere un revisore e fornendo evidenze continue durante la finestra di osservazione Type II.

Roadmap SOC 2 per aziende SaaS

Il raggiungimento della conformità SOC 2 è un processo strutturato. Ecco una roadmap pratica pensata per le organizzazioni SaaS:

Fase 1: Definizione dell'ambito e analisi delle lacune (Settimane 1–4)

Definire quali Criteri dei Servizi di Fiducia si applicano (la Sicurezza è obbligatoria; la maggior parte dei SaaS include Disponibilità e Riservatezza)
Identificare i confini del sistema — quali infrastrutture, applicazioni e servizi di terze parti rientrano nell'ambito
Eseguire una scansione di riferimento automatizzata (WarDek) per identificare le lacune tecniche rispetto ai controlli SOC 2
Documentare l'attuale ambiente di controllo e identificare le policy mancanti

Fase 2: Rimedio e implementazione dei controlli (Settimane 5–16)

Implementare i controlli tecnici mancanti (crittografia, gestione degli accessi, monitoraggio, logging)
Redigere le policy necessarie: Policy di sicurezza delle informazioni, Policy di controllo accessi, Piano di risposta agli incidenti, Policy di gestione delle modifiche, Piano di continuità operativa, Metodologia di valutazione dei rischi
Implementare sistemi di monitoraggio e allerta per la raccolta continua di evidenze
Configurare scansioni automatizzate delle vulnerabilità con cadenza ricorrente
Formare i dipendenti sulla consapevolezza della sicurezza e sulla segnalazione degli incidenti

Fase 3: Audit Type I (Settimane 17–24)

Coinvolgere una società di revisione con esperienza in SOC 2 per aziende tecnologiche
Fornire evidenze della progettazione dei controlli (policy, configurazioni, diagrammi di architettura)
Il revisore valuta se i controlli sono adeguatamente progettati per soddisfare i criteri TSC
Affrontare le osservazioni o eccezioni identificate nel rapporto preliminare
Ricevere il vostro rapporto SOC 2 Type I — immediatamente condivisibile con i prospect

Fase 4: Periodo di osservazione e Type II (Mesi 7–18)

Gestire i controlli in modo coerente per 6–12 mesi raccogliendo evidenze
Eseguire scansioni WarDek regolari per generare evidenze di conformità continue
Documentare gli incidenti e la loro risoluzione (anche i periodi senza incidenti necessitano di documentazione)
Condurre audit interni e revisioni della direzione almeno trimestralmente
Il revisore testa l'efficacia operativa attraverso campionamento e indagini
Ricevere il vostro rapporto SOC 2 Type II — il gold standard per la fiducia aziendale

Relazione con ISO 27001, NIS2 e GDPR

SOC 2 non esiste in modo isolato. I programmi di conformità moderni coinvolgono tipicamente più framework, e comprendere le loro sovrapposizioni riduce lo sforzo duplicato:

Framework	Origine	Focus	Sovrapposizione con SOC 2
ISO 27001	Internazionale (ISO)	Sistema di gestione della sicurezza delle informazioni (SGSI)	~60–70 % di sovrapposizione dei controlli. L'Allegato A di ISO 27001 si mappa bene sui controlli della serie CC.
NIS2	Unione Europea	Sicurezza delle reti e delle informazioni per settori critici	~50 % di sovrapposizione sulle misure tecniche (l'Articolo 21 corrisponde ai controlli CC6, CC7, A1).
GDPR	Unione Europea	Protezione dei dati personali e diritti alla privacy	~40 % di sovrapposizione. Il criterio Privacy di SOC 2 (serie P) supporta direttamente la conformità all'Articolo 32 del GDPR.
OWASP Top 10	Fondazione OWASP	Rischi critici per la sicurezza delle applicazioni web	Supporta direttamente la raccolta di evidenze per CC6 (controllo accessi) e CC7 (monitoraggio).

L'insegnamento chiave: costruire un programma di conformità accelera tutti gli altri. Un'organizzazione certificata ISO 27001 può ottenere SOC 2 in circa la metà del tempo, perché il sistema di gestione, le policy e molti controlli tecnici sono già in essere. Analogamente, le evidenze SOC 2 supportano direttamente i requisiti dell'Articolo 21 della NIS2 sulle misure tecniche e operative.

L'approccio multi-framework di scansione di WarDek riconosce questa realtà. Una singola scansione genera risultati mappati contemporaneamente su SOC 2, NIS2 e OWASP — eliminando la necessità di eseguire valutazioni separate per ciascun framework e fornendo una dashboard di conformità unificata.

Errori comuni di SOC 2 da evitare

Iniziare troppo tardi:i prospect aziendali si aspettano evidenze SOC 2 durante la valutazione. Iniziare dopo che un contratto è in gioco significa 6–18 mesi di ritardo.
Definire un ambito troppo ampio: includete solo i sistemi che elaborano, archiviano o trasmettono dati dei clienti. Un ambito eccessivo aumenta costi e tempistiche senza beneficio proporzionale.
Trattarlo come una casella da spuntare:SOC 2 è un programma continuo, non un progetto una tantum. I controlli devono operare continuamente, non solo durante le finestre di audit.
Ignorare la gestione dei fornitori: il vostro ambito SOC 2 include le organizzazioni sub-appaltanti critiche (fornitori di hosting, processori di pagamento). Assicuratevi che dispongano dei propri rapporti SOC 2.
Raccolta manuale delle evidenze:raccogliere manualmente screenshot e log per oltre 100 controlli non è sostenibile. Automatizzate la raccolta delle evidenze fin dal primo giorno utilizzando strumenti come WarDek.
Scegliere il revisore sbagliato:selezionate una società di revisione con esperienza in tecnologia e SaaS. La competenza settoriale riduce significativamente gli attriti e i botta e risposta durante l'audit.

SOC 2 Type II — Complete Guide for SaaS Companies