L’hosting riveste un ruolo fondamentale per la sicurezza, le prestazioni e l’affidabilità di un sito web. Per questo, la scelta del provider di hosting non è da lasciare al caso.

Oltre a questo, l’hosting può anche avere un ruolo nel rispetto della normativa, contribuendo al rispetto di requisiti e linee guida come GDPR, CCPA, SOC 2, HIPAA, PCI-DSS e altre specifiche del settore.

Dato che la valutazione di un provider di hosting è legata a tanti aspetti, una verifica sistematica del provider può aiutare a fare la scelta giusta per un’organizzazione.

In questo articolo spiegheremo come condurre un audit per un provider di hosting per garantire la sicurezza e la conformità, ma anche altri ambiti importanti come il supporto, l’attività e le prestazioni, nonché le insidie più comuni e gli elementi critici da tenere d’occhio.

Principali ambiti da valutare nell’audit di un profider di hosting

Per iniziare, diamo un primo sguardo ad alcune delle aree più importanti da valutare nell’audit di un provider di hosting.

Anche se ci sono molte domande specifiche da porre a un provider durante un audit, in generale bisognerebbe concentrarsi sulle seguenti cinque aree:

  1. Sicurezza. È importante verificare la sicurezza generale dell’infrastruttura del provider di hosting, con certificazioni, crittografia, firewall, protezione DDoS, backup, ecc. Bisogna anche considerare il modo in cui le caratteristiche dei sistemi di sicurezza del provider possano allinearsi con le politiche interne dell’organizzazione.
  2. Conformità. Bisogna valutare se il fornitore può aiutare ad ottenere la conformità con leggi e quadri di riferimento importanti, come GDPR, SOC 2, HIPAA e qualsiasi requisito di conformità specifico del settore.
  3. Prestazioni e affidabilità. È opportuno controllare l’ubicazione dei data center, la scalabilità, le garanzie di operatività, gli accordi sul livello di servizio e altri dettagli sulle prestazioni e l’affidabilità del provider.
  4. Assistenza e trasparenza. È bene valutare i canali attraverso cui viene fornito il supporto, gli orari, i tempi di risposta (tempi di risposta medi e tempi di risposta minimi garantiti dagli accordi sui livelli di servizio), la chiarezza del contratto, ecc.
  5. Costi e contratti. Bisogna guardare al di là dei prezzi di base e considerare altri elementi, come le spese nascoste (costi aggiuntivi, componenti aggiuntivi, ecc.), la flessibilità del contratto e le clausole di uscita.

Qui di seguito spieghiamo come valutare questi diversi ambiti esaminando i seguenti aspetti:

  • Sicurezza e conformità
  • Accordi sul livello di servizio per l’operatività, le prestazioni e il supporto
  • Le politiche dell’organizzazione e come allinearle con quelle di un fornitore
  • Bandiere rosse e possibili insidie, come i costi nascosti
  • Alcuni consigli generali per l’audit dei provider di hosting

Per ogni sezione, forniremo una checklist di domande per ogni provider di hosting nell’ambito del proprio audit.

Sicurezza e conformità: Cosa controllare

Sicurezza e conformità dovrebbero essere tra le aree più importanti nell’audit di un fornitore, perché eventuali problemi potrebbero compromettere seriamente l’attività e le relazioni con i clienti.

Quando si valuta la sicurezza di un provider di hosting, bisognerebbe verificare il possesso certificazioni riconosciute dal settore come SOC 2 e ISO 27001, misure proattive come firewall, protezione DDoS di livello enterprise e backup automatici. Alcuni provider, come Kinsta, offrono anche un’infrastruttura isolata basata su container che migliora la sicurezza e le prestazioni.

Si può utilizzare questa checklist della sicurezza dei sito web per approfondire i principali elementi della sicurezza si un sito.

Kinsta's security infrastructure explained
L’infrastruttura basata su container di Kinsta.

Si può anche verificare se un’azienda ha avuto problemi di sicurezza in passato. Se c’è stato un problema di sicurezza, bisogna valutare il modo in cui l’azienda ha risposto e quali prassi ha messo in atto per evitare il ripetersi degli stessi problemi.

Checklist per la sicurezza e la conformità

  • Infrastruttura di sicurezza. L’host offre un’infrastruttura di sicurezza solida con crittografia, firewall, protezione DDoS, backup e così via?
  • Certificazioni di sicurezza generali. Quali certificazioni di sicurezza possiede il provider? È conforme alle certificazioni o agli attestati standard del settore, come SOC 2 e ISO 27001?
  • Normative sulla privacy. L’host può contribuire al rispetto delle normative sulla privacy come il GDPR, il CCPA, ecc.?
  • Requisiti di conformità specifici del settore. Se il settore di interesse ha dei requisiti particolari, il fornitore è in grado di soddisfarli?
  • Conformità continua. Quali sono le politiche del fornitore in atto per garantire la costante conformità alle norme?
  • Protezioni di sicurezza proattive. Quali sono le politiche e le prassi del fornitore per affrontare gli exploit zero-day e altre minacce?
  • Politica sulle violazioni della sicurezza. Cosa succede in caso di incidenti? Il fornitore ha dei protocolli specifici per affrontare i problemi e informare i clienti?

Gli accordi sul livello di servizio (SLA) e le garanzie sulle prestazioni

La maggior parte dei provider di web hosting di alto livello offre almeno alcune garanzie in termini di operatività, prestazioni e supporto. Tuttavia, possono esserci molte differenze in merito a quali siano queste garanzie e a quanto vengano rispettate.

Ecco alcune aree su cui focalizzarsi nella verifica delle garanzie di un fornitore:

  • Accordo sul livello di servizio (SLA). Una “garanzia” non ha molto significato se non ci sono requisiti e rimedi specifici a supporto di tale garanzia. Nel settore dell’hosting, uno SLA è un accordo tra il proprietario del sito e il provider che definisce le responsabilità specifiche, gli indici e i rimedi. Se un fornitore non offre SLA chiari e trasparenti, questo può essere un segnale di allarme.
  • Garanzie di operatività. Cercare il “99,9% di operatività” nei testi di marketing non è sufficiente. È anche importante capire a cosa si applica la garanzia, come viene calcolato l'”uptime”, quali sono i rimedi se la garanzia non viene rispettata, ecc.
  • Prestazioni in scala. È importante capire come le prestazioni dichiarate da un host funzionano in condizioni di scala e come l’host risponde ai picchi di traffico. L’host offre un qualche tipo di scalabilità automatica oppure il sito rallenterà o diventerà poco reattivo in caso di picchi di traffico elevati?
  • Limitazioni nascoste. Sarà bene verificare se ci sono limitazioni degne di nota che potrebbero non essere immediatamente visibili. Ad esempio, strozzatura delle prestazioni, costi di sovraconsumo elevati, tempi di inattività imprevisti (ad esempio, se l’host non scala), ecc.
  • Reattività del supporto. Oltre alla disponibilità del supporto 24/7 (un must), è anche necessario verificare quali sono i tempi medi di risposta e se questi sono garantiti da uno SLA. Se ci sono più livelli di supporto, sarà anche necessario anche capire come cambiano i tempi di risposta effettivi tra un livello e l’altro.

In generale, è consigliabile cercare fornitori che offrano SLA trasparenti con chiare garanzie di operatività e una risposta proattiva agli incidenti. Un provider di hosting solido garantirà anche il monitoraggio in tempo reale, il ridimensionamento automatico e una rete globale per ridurre la latenza, caratteristiche che piattaforme come Kinsta considerano prioritarie.

Per dare un’idea di come dovrebbe essere uno SLA, ecco un esempio delle garanzie di Kinsta, supportate da SLA, per un uptime del 99,9% e del 99,99%, entrambe comprensive di rimedi specifici per diverse situazioni.

SLA di Kinsta sull'uptime ad aprile 2025.
SLA di Kinsta sull’uptime ad aprile 2025.

Checklist su SLA e garanzie di performance

  • Garanzie di uptime e prestazioni. Quali sono le garanzie specifiche in termini di operatività e prestazioni?
  • 99,9% contro 99,99%. Quale livello di operatività può garantire l’host? Si limita al 99,9% oppure offre anche una garanzia più elevata (come il 99,99%)?
  • Picchi di traffico. Come gestisce il provider i picchi di traffico? Quali sono le garanzie di performance per i periodi di traffico elevato?
  • Rimedi. Quali sono i rimedi nel caso in cui le garanzie non vengano rispettate? Se si tratta di un rimborso, qual è la politica di rimborso e come viene calcolato?
  • Garanzie di risposta del supporto. Quali sono i tempi di risposta garantiti dagli SLA per i diversi livelli di supporto?
  • Chiarezza del contratto. Gli SLA e gli altri obblighi contrattuali sono chiari e specifici? Oppure includono ampie esclusioni di responsabilità in un linguaggio vago?

Allineare le capacità del fornitore con le politiche dell’organizzazione

Oltre a verificare che il provider sia conforme alle normative vigenti, bisogna anche assicurarsi che sia in linea con le politiche e gli standard interni dell’organizzazione.

L’organizzazione potrebbe avere dei requisiti specifici, ma ecco alcuni aspetti che bisogna prendere in considerazione:

  • Politiche interne di sicurezza e IT. Bisogna assicurarsi che il provider sia in grado di soddisfare le politiche e gli standard dell’organizzazione. Ad esempio, si potrebbero richiedere restrizioni di accesso basate sui ruoli, registrazione delle attività, ecc.
  • Requisiti di residenza dei dati. Si potrebbe aver bisogno che i dati vengano archiviati in un determinato luogo fisico (ad esempio, all’interno dell’Unione Europea per essere conformi al GDPR) e/o in un determinato modo. È importante verificare se il provider sia in grado di soddisfare questi requisiti. La maggior parte dei provider di hosting di qualità offre più sedi di data center; ad esempio, Kinsta permette di scegliere tra 37 diverse sedi di data center.
  • Gestione dei rischi da parte di terzi. La maggior parte dei provider di hosting si affida a determinati fornitori di servizi terzi. Bisogna capire come il fornitore gestisce i propri fornitori e se questi rapporti sono conformi agli standard interni dell’organizzazione.

In caso di dubbio, è bene contattare il provider di hosting per ottenere risposte chiare su importanti politiche organizzative.

Checklist per l’allineamento organizzativo

  • Documentazione di conformità. Il servizio di hosting è in grado di fornire una documentazione che dimostri la sua conformità alle certificazioni e alle normative di settore richieste dall’organizzazione?
  • Localizzazione dei dati. Quali strumenti e soluzioni offre il provider di hosting per aiutare a rispettare i requisiti di localizzazione dei dati dell’organizzazione?
  • Integrazioni di terze parti. Con quali servizi di terze parti si integra il provider di hosting? Come vengono gestite queste relazioni e quali misure di sicurezza vengono adottate per le integrazioni di terze parti?
  • Accesso all’account di hosting. Di quali strumenti si dispone per controllare l’accesso all’account di hosting e per implementare restrizioni basate sui ruoli dell’organizzazione?
  • Funzionalità di registrazione. È possibile registrare le azioni degli utenti all’interno dell’account di hosting? Di quali altri strumenti si dispone per monitorare l’accesso all’account di hosting dell’organizzazione?

Insidie frequenti e segnali d’allarme da tenere in considerazione

Sebbene ci siamo concentrati sull’analisi delle “bandiere verdi” di un provider, ci sono anche alcune “bandiere rosse” comuni e problemi a cui bisogna prestare attenzione quando si effettua un audit del fornitore.

Ecco alcuni dei problemi più comuni a cui bisogna prestare attenzione:

  • Accordi sul livello di servizio vaghi o deboli. Abbiamo parlato dell’importanza di avere degli SLA. Tuttavia, è bene diffidare di fornitori con SLA deboli o vaghi che non offrono garanzie e/o rimedi significativi.
  • Costi di sovraconsumo punitivi o altri costi aggiuntivi. Sebbene i costi di sovraconsumo non siano intrinsecamente un problema, possono diventarlo se strutturati in modo eccessivamente punitivo per le situazioni in cui un’organizzazione potrebbe trovarsi. Inoltre, è bene analizzare altri possibili costi, come i costi aggiuntivi, i costi di uscita e qualsiasi altro costo che potrebbe emergere inatteso.
  • Problemi di scalabilità. Se un host non è in grado di scalare le risorse durante i periodi di alto utilizzo, si potrebbe incorrere in problemi di downtime o di rallentamenti durante i picchi di traffico o altri periodi in cui c’è un alto consumo di risorse.
  • Mancanza di trasparenza. Un provider di qualità dovrebbe essere trasparente riguardo alla sua infrastruttura e alla documentazione sulla sicurezza, altrimenti è un segnale di allarme. Ad esempio, Kinsta ha una pagina dedicata alla trasparenza in cui condivide i dettagli della conformità, dell’infrastruttura, della sicurezza, ecc.
Il Trust Center di Kinsta fornisce informazioni trasparenti sull'infrastruttura e sulla conformità.
Il Trust Center di Kinsta fornisce informazioni trasparenti sull’infrastruttura e sulla conformità.

Checklist per le insidie e le bandiere rosse

  • SLA poco chiari. Lo SLA contiene garanzie di operatività vaghe o qualche tipo di esclusione di responsabilità?
  • Costi nascosti punitivi. Quali sono i costi per i sovrapprezzi, i supplementi e le spese di uscita? Sono equi o punitivi?
  • Contratti poco flessibili. Il fornitore prevede clausole di uscita punitive o spese di uscita che rendono difficile l’abbandono del servizio?
  • Scalabilità limitata. Ci sono limiti alla scalabilità delle risorse? Se sì, in che modo questi vincoli potrebbero influenzare l’organizzazione in uno scenario reale?
  • Mancanza di trasparenza. Il fornitore è disposto a condividere dettagli specifici sulla sua infrastruttura o sulla documentazione per la sicurezza?

Confronto tra provider e decisione d’acquisto

Se si stanno valutando più fornitori, può essere utile avere un modo oggettivo per confrontarli. Tuttavia, a volte può essere complicato perché i diversi provider possono essere particolarmente forti o deboli in determinate aree.

Ecco alcuni suggerimenti per restringere il campo e scegliere il provider giusto.

Una scheda di valutazione di audit

Per confrontare in modo oggettivo i provider tenendo conto dei relativi punti di forza e di debolezza, si può creare una scheda di valutazione di audit basata sui criteri più importanti per l’azienda.

Un buon punto di partenza è quello di classificare i provider in base ai seguenti criteri:

  1. Sicurezza
  2. Conformità
  3. Supporto
  4. Prestazioni e scalabilità
  5. Costi

Se ci sono altre aree importanti da considerare, basta aggiungere un’altra categoria alla scheda di valutazione.

A seconda delle esigenze specifiche, si potrebbe anche dare un peso maggiore ad alcune aree rispetto ad altre. Ad esempio, se si ha assolutamente bisogno di un tipo di conformità normativa specifica per il settore, si dovrebbe enfatizzare tale conformità nella scheda di valutazione.

Sfruttare i periodi di prova per valutare le prestazioni in scenari reali

Una volta ristretta la lista a pochi candidati, si possono utilizzare i periodi di prova per testare le prestazioni e il supporto prima di prendere una decisione definitiva.

Sebbene non tutti i provider offrano prove gratuite, la maggior parte offre almeno un tipo di garanzia di rimborso. Kinsta offre entrambe le cose: un mese di prova gratuita per i piani Single 35k e WP 2 e una garanzia di rimborso di 30 giorni valida per tutti i piani.

Questi periodi di prova sono utili per eseguire test per verificare se le prestazioni reali del provider corrispondono a quelle dichiarate. Si può anche interagire con il supporto per farsi un’idea dei tempi di risposta e della qualità.

Gli standard di conformità e sicurezza da Kinsta

Kinsta offre un servizio di hosting per WordPress e applicazioni web che soddisfa i principali standard di sicurezza e conformità.

I piani di Kinsta includono caratteristiche di sicurezza essenziali come container isolati, crittografia, firewall, protezione DDoS, protezione da malware, backup automatici, ecc. Kinsta dispone inoltre di certificazioni fondamentali come ISO 27001 e SOC 2.

Per dare informazioni sulla sicurezza, sulla conformità e altro, Kinsta dispone di un Trust Center dettagliato con informazioni trasparenti sull’infrastruttura e sulla conformità. Si può inoltre beneficiare di supporto a livello singolo, con un tempo di risposta iniziale medio inferiore ai due minuti, nonché di uno SLA chiaro e preciso.

Molte organizzazioni hanno avuto successo con Kinsta, anche quelle con requisiti di conformità molto rigidi. Si possono leggere le loro storie nei numerosi casi di studio di Kinsta, ma ecco alcune esperienze di clienti degne di nota:

Riepilogo

Condurre un audit approfondito dei provider di hosting è fondamentale per garantire sicurezza, conformità e prestazioni al proprio sito.

Valutando i provider in base a questi criteri, l’azienda può ridurre al minimo i rischi e ottimizzare l’utilizzo del servizio di hosting. Inoltre, è possibile utilizzare questa procedura come riferimento per effettuare revisioni periodiche del provider di hosting in base all’evoluzione della normativa in vigore e delle minacce in atto.

Se si sta cercando una soluzione di hosting gestito che dia priorità alla sicurezza, alla conformità e con un’infrastruttura ad alte prestazioni, Kinsta è un ottimo esempio di provider che soddisfa questi standard.

Jeremy Holcombe Kinsta

Content & Marketing Editor presso Kinsta, web developer di WordPress e content writer. Al di fuori di tutto ciò che riguarda WordPress, mi piacciono la spiaggia, il golf e il cinema. Ho anche i problemi di tutte le persone più alte della media ;).