1. Prima configurazione

  1. Accedi al backoffice. Usa il link applicativo ricevuto con la sottoscrizione. Dopo il login verifica nome tenant, ruolo utente e piano attivo.
  2. Completa il profilo organizzativo. Inserisci ragione sociale, paese, settore, referenti, unita' operative, servizi critici, processi principali e dipendenze.
  3. Invita gli utenti interni. Assegna ruoli coerenti con responsabilita': amministratori, compliance owner, reviewer, business owner e contributor.
  4. Verifica piano e limiti. Apri Billing & Plan, controlla sottoscrizione, utilizzo, limiti, add-on, fatture e documenti firmati.
  5. Controlla DPA e documenti. Se sono presenti documenti in attesa di firma, completa la firma prima di usare il tenant per workflow operativi completi.

2. Cosa fare nel primo giorno

L'obiettivo del primo giorno e' costruire una baseline credibile, non completare tutta la compliance. Concentrati su perimetro, owner, framework applicabili e prime evidenze ad alto riuso.

  • Definisci quali servizi vendi o eroghi a clienti regolati.
  • Segna i servizi critici e le dipendenze esterne principali.
  • Attiva i verticali pertinenti al piano acquistato.
  • Carica le evidenze gia' mature: policy sicurezza, incident response, BC/DR, access management, certificazioni.
  • Assegna owner ai controlli piu' critici e crea remediation per i gap noti.

3. Eseguire un assessment dei controlli

  1. Apri Control Library. Filtra per framework, verticale, priorita' o servizio. Inizia dai controlli critici e da quelli richiesti dai clienti.
  2. Valuta lo stato. Usa stati coerenti: implementato, parziale, non implementato, non applicabile o da verificare. Evita valutazioni positive senza evidenza.
  3. Indica maturita' e owner. Assegna un responsabile reale e una data di review. La mancanza di owner e' un rischio operativo.
  4. Collega evidenze. Ogni controllo rilevante deve avere almeno una evidenza o una remediation.
  5. Apri remediation. Per controlli parziali o non conformi crea azioni con priorita', scadenza e descrizione del risultato atteso.
  6. Rivedi readiness score e top gap. Usa la dashboard per capire dove concentrare il lavoro successivo.

4. Gestire le evidenze

L'evidence repository e' il punto centrale per documenti e allegati. Una buona gestione delle evidenze riduce duplicazioni e rende piu' veloce ogni richiesta cliente.

  1. Carica il documento. Usa nomi chiari e versioni riconoscibili.
  2. Classifica. Indica framework, controllo, owner, validita' e sensibilita'.
  3. Collega. Associa l'evidenza a controlli, questionari, clienti o report.
  4. Revisiona. Approva, respingi o richiedi integrazione con note operative.
  5. Aggiorna. Sostituisci evidenze scadute mantenendo storico e tracciabilita'.

Non caricare password, private key, segreti, dump di database o dati personali non necessari. Se un'evidenza contiene informazioni sensibili, limita il perimetro di condivisione e valuta una versione redatta.

5. Usare il portale esterno

  1. Crea una richiesta. Dal backoffice seleziona cliente, fornitore o subfornitore e definisci scopo, scadenza e template questionario.
  2. Invia il link scoped. Il destinatario vede solo la richiesta assegnata e non accede al resto del tenant.
  3. Monitora avanzamento. Controlla sezioni completate, risposte mancanti e upload richiesti.
  4. Revisiona la submission. Accetta risposte ed evidenze oppure richiedi integrazioni mirate.
  5. Riusa il materiale. Le risposte validate possono supportare controlli, report o future richieste.

6. Generare report e submission pack

  1. Scegli il template. Usa report generale, NIS2/DORA, verticale o richiesta cliente.
  2. Controlla perimetro e dati. Verifica servizi, controlli, evidenze, gap e remediation incluse.
  3. Risolvi incoerenze. Un report non deve dichiarare readiness alta se evidenze o owner sono mancanti.
  4. Genera il pack. Produci il documento e allega solo materiale approvato.
  5. Approva internamente. Fai review con compliance, security e business owner prima dell'invio.

7. Routine operative consigliate

Ogni giorno

Controlla richieste esterne aperte, remediation urgenti, evidenze caricate e notifiche di billing/documenti.

Ogni settimana

Rivedi readiness score, top gap, questionari bloccati, owner inattivi e richieste cliente in scadenza.

Ogni mese

Aggiorna profilo organizzativo, servizi critici, terze parti, evidenze scadute e report direzionali.

Prima di un audit

Congela il perimetro, genera submission pack, verifica audit trail e completa approvazione interna.

8. Indicazioni per sottoscrittori Agency

Se usi un piano Agency, gestisci piu' managed-client. Ogni cliente deve avere perimetro, evidenze, report e audit separati. Usa il context switch solo per operare nel tenant corretto e verifica sempre il cliente attivo prima di modificare controlli, evidenze o report.

  • Crea managed-client solo se il piano ha capacita' disponibile.
  • Usa branding e custom domain solo se inclusi negli entitlement.
  • Controlla dashboard cross-client per priorita' e workload.
  • Usa report di re-billing per separare attivita' e costi per cliente.
  • Per graduation o delegation, mantieni audit e consenso delle parti.

9. Troubleshooting

Non vedo dati nel tenant.
Verifica tenant attivo, ruolo utente, piano, DPA firmato e stato del profilo organizzativo.
Un verticale non compare.
Controlla che il plugin sia incluso nel piano e attivato per il tenant.
Un'evidenza non e' scaricabile.
Verifica permessi, stato review, scadenza, storage e link firmato.
Il portale esterno non apre la richiesta.
Controlla token, scadenza, stato richiesta e corretto destinatario.
Il report sembra incompleto.
Rivedi controlli senza evidenza, filtri selezionati, remediation aperte e template scelto.
Il piano blocca nuove risorse.
Apri Billing & Plan, verifica limiti, add-on e stato subscription.

10. Quando chiedere supporto

Apri una richiesta di supporto quando devi trasferire un managed-client, recuperare eventi webhook falliti, chiarire stati di fatturazione, sbloccare un documento firmato, correggere configurazioni SDI o investigare un comportamento anomalo. Includi tenant, ruolo, schermata, orario dell'evento e risultato atteso.