Per una software house che ogni giorno gestisce dati sensibili di aziende e pubbliche amministrazioni, la sicurezza delle informazioni non è un requisito accessorio: è il fondamento su cui si costruisce la fiducia dei clienti. È con questa consapevolezza che GISDATA ha intrapreso, negli scorsi mesi, il percorso di certificazione del proprio sistema di gestione della sicurezza delle informazioni secondo lo standard internazionale ISO/IEC 27001.

Il 23 giugno 2026 questo percorso si è concluso con il rilascio del certificato A.2026.0360 da parte di WCS LTD (Worldwide Certification Standards), organismo di certificazione con sede ad Atene. Il certificato copre le attività di consulenza, gestione di sistemi tecnologici informatici e di comunicazione e progettazione di software svolte da GISDATA nella sede legale di Asti e nella sede operativa di Savona, ed è valido fino al 22 giugno 2029.

Cosa copre la certificazione

La ISO/IEC 27001:2022 è lo standard internazionale di riferimento per i sistemi di gestione della sicurezza delle informazioni: definisce i requisiti per identificare, valutare e trattare i rischi legati a riservatezza, integrità e disponibilità dei dati. GISDATA ha scelto di estendere il perimetro della certificazione con due set di controllo aggiuntivi, particolarmente rilevanti per chi — come GISDATA — progetta soluzioni AI e cloud per i propri clienti.

I tre pilastri della certificazione

  • ISO/IEC 27001:2022: requisiti del sistema di gestione della sicurezza delle informazioni, dal risk assessment ai controlli organizzativi e tecnici.
  • Annex A — ISO/IEC 27017:2015: codice di condotta per i controlli di sicurezza specifici dei servizi cloud, sia lato fornitore che lato cliente.
  • Annex A — ISO/IEC 27018:2019: codice di condotta per la protezione dei dati personali (PII) trattati nei servizi cloud pubblici.

Questa combinazione non è casuale: molte delle soluzioni sviluppate da GISDATA — dalla Suite METIS AI a NextOne — vengono deployate su infrastrutture cloud private dei clienti. Applicare gli stessi standard che chiediamo di rispettare alle architetture che progettiamo era, per GISDATA, un passaggio naturale prima ancora che un obbligo formale.

27001
Standard internazionale ISO/IEC per la sicurezza delle informazioni
2
Annex A aggiuntivi: cloud security (27017) e privacy nel cloud (27018)
2029
Anno di scadenza del certificato, con audit di sorveglianza annuali

L'intervista al CEO

Abbiamo raccolto le impressioni di Giuseppe Suanno, CEO di GISDATA, su cosa significa questo traguardo per l'azienda e per i suoi clienti.

GS
Giuseppe Suanno
CEO, GISDATA S.r.l.
Perché questa certificazione era importante per GISDATA?

«Lavoriamo ogni giorno con dati sensibili di aziende, pubbliche amministrazioni, assicurazioni e, sempre più spesso, con architetture AI che trattano informazioni riservate. La ISO/IEC 27001 non è un adempimento burocratico: è la formalizzazione di processi che, in gran parte, avevamo già interiorizzato nel modo in cui progettiamo i nostri sistemi. Ottenerla ci obbliga a mantenere quella disciplina nel tempo, con audit periodici, e questo è un bene per noi prima ancora che per i nostri clienti.»

Cosa cambia concretamente per chi lavora con GISDATA?

«Per i nostri clienti significa avere una garanzia verificata da un ente terzo indipendente sul modo in cui gestiamo i loro dati: dalla valutazione dei rischi ai controlli di accesso, dalla gestione degli incidenti alla continuità operativa. Chi ci affida un progetto, che sia una PMI o una grande organizzazione, può verificare che la sicurezza non sia una nostra dichiarazione di intenti, ma un sistema certificato e sottoposto a controllo continuo.»

Perché avete scelto di includere anche gli Annex A 27017 e 27018?

«Perché riflettono esattamente il tipo di lavoro che facciamo. Le nostre soluzioni, dalla Suite METIS AI, a NextOne, a RubiX, vivono su infrastrutture cloud. Il 27017 ci impegna sui controlli di sicurezza specifici del cloud, il 27018 sulla protezione dei dati personali trattati in quei contesti. Non avrebbe avuto senso fermarsi alla certificazione base quando il nostro modello di business è così legato al cloud.»

Qual è il prossimo passo per GISDATA?

«Consolidare. La certificazione non è un traguardo statico ma un impegno che rinnoviamo ogni anno con gli audit di sorveglianza. Nel frattempo continuiamo a investire nella sicurezza delle nostre soluzioni AI, perché crediamo che la fiducia dei clienti si costruisca ogni giorno, non una volta sola.»

Questo traguardo si aggiunge al percorso di crescita di GISDATA e conferma un impegno concreto verso la sicurezza e la protezione dei dati, valori che guidano lo sviluppo di ogni soluzione dell'azienda, dalla Suite METIS AI alle piattaforme verticali come NextOne e RubiX.