Rexpondo è il nuovo sistema di ticketing adottato da AIFA, l’Agenzia Italiana del Farmaco.
Siamo felici di dare il benvenuto a bordo ad AIFA (Agenzia Italiana del Farmaco).
A partire dal 1° ottobre 2024, Rexpondo è stato adottato all’interno dell’infrastruttura digitale dell’agenzia, diventando il sistema di ticketing di riferimento per la gestione interna ed esterna delle richieste di assistenza, garantendo supporto e informazioni utili per la risoluzione di eventuali problematiche dell’utente (ulteriori informazioni in questo articolo).
Per gli utenti già registrati ai Servizi Online di AIFA, sarà disponibile un servizio di helpdesk che consentirà di accedere alla gestione dei propri ticket, dove sarà possibile aprire nuove segnalazioni o consultare quelle già esistenti.
Il nuovo Customer Portal di Rexpondo segna un importante progresso nella gestione delle richieste di supporto per i professionisti che collaborano con AIFA, offrendo una piattaforma più intuitiva e accessibile, in continuo aggiornamento.
E-time certificata ISO 27001
Le certificazioni acquisite da E-time
Siamo orgogliosi di annunciare che E-time ha conseguito la certificazione UNI CEI EN ISO/IEC 27001:2024. Questo standard internazionale stabilisce i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (ISMS, Information Security Management System), garantendo un approccio strutturato alla protezione dei dati.
Di seguito riportiamo tutte le certificazioni acquisite da E-time nell’ambito della ISO/IEC 27001:
- Cert. n. 84671 UNI CEI EN ISO/IEC 27001:2024 – Sicurezza delle informazioni, cybersecurity e protezione della privacy – Sistemi di gestione per la sicurezza delle informazioni – Requisiti.
- Cert. n. 84673 ISO/IEC 27018:2019 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.
- Cert. n. 84674 ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services.
Cosa cambia una volta conseguita la certificazione
Le implicazioni derivanti dall’ottenimento della certificazione sono diverse e comportano per l’azienda specifici obblighi operativi, tra cui:
- Identificazione e gestione del rischio, in quanto l’organizzazione deve mitigare il più possibile il rischio inerente la sicurezza delle informazioni, prevenendo e monitorando il rischio.
- Applicazione di un sistema di gestione della sicurezza delle informazioni, introducendo una serie di procedure e controlli per garantire la protezione della riservatezza, l’integrità e la disponibilità delle informazioni.
- Adeguamento ai requisiti legali e regolamentari, rispettando le disposizioni in materia di sicurezza delle informazioni e la disciplina vigente, primo fra tutti il GDPR.
- Implementazione del ciclo PDCA (Plan-Do-Check-Act) per il miglioramento continuo dell’ISMS, che implica controlli e audit interni eseguiti periodicamente, riesami della direzione e aggiornamenti dei controlli.
Cosa comporta per i nostri clienti
L’ottenimento della certificazione offre una garanzia sulla validità dei processi in atto per la sicurezza delle informazioni e protezione dei dati, riducendo così la probabilità di incidenti legati a violazioni di dati o attacchi informatici.
Con questo traguardo, E-time conferma il proprio impegno tangibile per garantire i più alti standard di sicurezza delle informazioni.
Le certificazioni sono consultabili integralmente a questo link.
La direttiva NIS 2: cosa cambia nella gestione della sicurezza per le aziende
È stato ufficialmente pubblicato nella Gazzetta Ufficiale il Decreto Legislativo n. 138, che recepisce la direttiva (UE) 2022/2555, nota come NIS 2 ed entrata ufficialmente in vigore il 16 ottobre 2024.
La Direttiva NIS2 rappresenta un importante cambiamento normativo per la sicurezza informatica delle Aziende Europee. Il suo scopo principale è migliorare la resilienza e la protezione delle reti e dei sistemi informativi e si applica ad aziende ed Enti pubblici o privati che operano nel territorio UE.
La nuova Direttiva aggiorna la precedente Direttiva NIS (Network and Information Security), adottata nel 2016 e che data la crescente complessità degli attacchi informatici andava necessariamente aggiornata.
Che cos'è la Direttiva NIS 2?
La Direttiva NIS2 è una normativa dell’Unione Europea ideata con lo scopo di rafforzare la sicurezza informatica nei Paesi membri. Rispetto alla precedente NIS, la Direttiva NIS2 amplia il campo di applicazione e introduce requisiti più stringenti in termini di gestione del rischio, segnalazione degli incidenti e responsabilità aziendale.
La NIS2 obbliga le aziende a collaborare con le autorità e altre aziende a livello europeo per condividere informazioni e buone pratiche in materia di sicurezza informatica. Ciò mira a garantire una risposta coordinata e più efficace contro le minacce che travalicano i confini nazionali.
L’obiettivo principale è quello di stabilire dei riferimenti comuni all’interno dell’Unione sui temi di sicurezza informatica e opera in maniera sinergica con altre normative, come il GDPR e il Cyber Resilience Act.
NIS2 obbliga le aziende a elevare i propri standard di sicurezza e ad adottare soluzioni avanzate come il Single Sign-On (SSO) e l’Autenticazione a più fattori (MFA), fondamentali per proteggere l’accesso ai sistemi informativi.
In Italia, l’Ente designato dal governo italiano per coordinare le attività di cybersicurezza e l’attuazione della Normativa è ACN (l’Agenzia per la Cybersicurezza Nazionale).
NIS 2: a chi si rivolge
La Direttiva NIS 2 si rivolge a entità essenziali ed entità importanti che vengono distinte in base alla criticità dei servizi che offrono e alle loro dimensioni.
Chi sono le Entità essenziali
Sono considerate essenziali le imprese che operano in uno dei settori ad alta criticità elencati nell’Allegato 1 del Testo e se hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di Euro.
Chi sono le Entità importanti
Imprese di medie dimensioni, cioè con più di 50 dipendenti con un ruolo rilevante in settori strategici o critici (Allegato 1 e Allegato 2).
Tuttavia, viene precisato che anche le entità con meno di 50 dipendenti o fatturato inferiore possono essere classificate come essenziali o importanti se operano in settori critici o se la loro interruzione può avere un forte impatto sulla sicurezza o sull’economia.
Per completezza, il link al testo integrale pubblicato sulla Gazzetta Ufficiale
Gli obblighi della Direttiva NIS 2
Gestione del rischio
Le aziende devono implementare misure di sicurezza adeguate per gestire i rischi legati alla sicurezza delle reti e dei sistemi informatici.
Notifica degli incidenti
È obbligatorio notificare gli incidenti di sicurezza alle autorità competenti comunicando l’allarme preventivo entro 24 ore al CSIRT (Computer Security Incident Response Teams), e facendo pervenire la notifica ufficiale entro 72 ore dal verificarsi dell’incidente informatico.
Valutazione della sicurezza e Business Continuity
Le aziende devono condurre valutazioni regolari dei rischi e adottare le opportune misure di mitigazione, oltre a definire dei piani per garantire la continuità operativa dei servizi critici anche in caso di incidenti significativi.
Formazione e sensibilizzazione
È richiesto che le aziende forniscano formazione continua ai dipendenti sulla sicurezza informatica. Inoltre, viene introdotta una maggiore responsaiblità per i Dirigenti imponendo che i membri dei consigli di amministrazione siano direttamente responsabili della conformità alle normative di sicurezza, rendendoli soggetti a sanzioni in caso di inadempienza.
Chi sono i soggetti obbligati ad adottare la NIS 2
NIS2 si applica obbligatoriamente a un ampio gruppo di imprese sia nel settore pubblico che privato che come già riportato nel paragrafo precedente rientrano nelle categorie di Entità essenziali o Importanti. In particolare, vengono considerati settori ad alta criticità:
- Energia (elettricità, gas, petrolio)
- Trasporti (aereo, ferroviario, marittimo, stradale)
- Sanità (ospedali, laboratori, centri di assistenza sanitaria)
- Pubblica Amministrazione
- Infrastrutture digitali (reti di telecomunicazioni, data center)
- Servizi finanziari (banche, operatori del mercato finanziario)
- Servizi postali
- Servizi di approvvigionamento idrico e gestione delle acque reflue
- Fornitori di servizi digitali (cloud, piattaforme online, motori di ricerca)
- Fornitori di infrastrutture critiche (comprese le imprese che supportano i settori essenziali, come le telecomunicazioni)
Oltre a questi elencati all’interno dell’Allegato 2 sono menzionati anche altri settori critici, come:
- Alimentare (aziende che producono e distribuiscono alimenti, soprattutto quelli coinvolti nella fornitura su larga scala.)
- Gestione dei rifiuti (raccolta, trattamento e smaltimento)
- Manifatturiero (Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici)
- Chimico (produzione e fornitura di prodotti chimici)
- Spazio (operatori satellitari, servizi spaziali)
Anche aziende con meno di 50 dipendenti possono rientrare nell’ambito della Direttiva NIS 2 se rappresentano l’unico fornitore di un servizio essenziale in uno Stato membro o se l’interruzione del loro servizio potrebbe avere un impatto notevole sulla sicurezza o sulla salute pubblica/nazionale.
Inoltre, le Pubbliche amministrazioni sono tutte soggette all’applicazione della Direttiva indipendentemente dalle loro dimensioni, eccezione fatta per quelle coinvolte in attività legate alla sicurezza nazionale, difesa, ordine pubblico e lotta alla criminalità.
Le sanzioni previste dalla Direttiva NIS 2
Le sanzioni specifiche e le procedure di enforcement possono variare a seconda delle normative nazionali adottate dai vari Stati membri in attuazione della Direttiva NIS 2. In linea generale le sanzioni previste possono essere:
- Sanzioni amministrative: con multe di importi variabili a seconda della gravità della violazione e della dimensione dell’azienda.
- Sanzioni pecuniarie: in aggiunta alle sanzioni amministrative, potrebbero essere imposte ulteriori sanzioni pecuniarie.
- Sanzioni specifiche per la non conformità: Se un’azienda non rispetta i requisiti di sicurezza o non comunica le violazioni nei tempi stabiliti, può affrontare sanzioni più severe.
- Sospensione dei servizi: sospensione temporanea dei servizi forniti dall’azienda o Ente che non risulta conforme.
- Pubblicazione delle violazioni: in casi specifici o qualora si ritenesse opportuno, le autorità possono decidere di rendere pubbliche le violazioni.
Single Sign-On (SSO) e Autenticazione a più fattori (MFA)
La NIS2 incoraggia l’utilizzo di sistemi di Single Sign-On (SSO) per semplificare e rafforzare la gestione degli accessi e dell’autenticazione a più fattori (MFA) per garantire che l’accesso ai sistemi aziendali sia protetto da più livelli di sicurezza, riducendo il rischio di accessi non autorizzati tramite furto di credenziali.
L’SSO consente agli utenti di autenticarsi una sola volta per accedere a più servizi, migliorando la sicurezza e l’efficienza operativa.
MFA aggiunge invece un ulteriore livello di sicurezza richiedendo più forme di verifica (ad es. password più codice via telefono o biometria).
Utilizzo combinato di SSO e MFA
L’uso combinato di SSO e MFA, non viene preso in considerazione molto spesso trascurando quanto questa pratica può rafforzare la sicurezza, assicurando che anche in caso di compromissione delle credenziali utilizzate per il Single Sign-On, un attaccante debba comunque superare l’MFA. L’utilizzo combinato dei due sistemi porta con se due vantaggi:
- Comodità dell’Single Sign-On per l’esperienza utente.
- Ulteriore garanzia di sicurezza grazie all’autenticazione a più fattori.
per la gestione di Identità e Accessi
Chatbot & AI: nasce la nuova Partnership tra E-time e Botpress
Annunciamo con grande piacere l’avvio di una nuova collaborazione strategica con Botpress, piattaforma per la creazione e gestione di chatbot, tra le più avanzate sul mercato.
La partnership tra E-Time e Botpress porterà all’integrazione di Botpress nei nostri servizi (già disponibile l’integrazione con Rexpondo), con la possibilità di sfruttare le potenzialità dell’intelligenza artificiale (AI) e dell’elaborazione del linguaggio naturale.
Botpress integra l’intelligenza artificiale (AI) nei suoi chatbot attraverso un’architettura modulare avanzata che permette di sfruttare l’elaborazione del linguaggio naturale (NLP) e il machine learning per creare interazioni più intelligenti e personalizzate.
La partnership tra E-Time e Botpress può contare da un lato sul Know How tecnologico di E-time e dall’altro sulle potenzialità di una piattaforma innovativa e in costante evoluzione.
Una collaborazione orientata alla crescita, con l’obiettivo comune di fornire alle aziende strumenti avanzati per migliorare l’esperienza utente, automatizzare il servizio clienti e ottimizzare i processi interni.
E-time certificata come Soggetto aggregatore SPID e CIE
E-time è ufficialmente qualificata come Soggetto Aggregatore di Servizi pubblici e privati per i servizi SPID e Carta di Identità Elettronica (CIE).
Chi sono i Soggetti aggregatori
Come riportato da AgID, i Soggetti aggregatori sono pubbliche amministrazioni o privati che offrono a terzi, soggetti aggregati, la possibilità di rendere accessibili tramite lo SPID i rispettivi servizi.
L’inclusione tra i Soggetti aggregatori ci permette di estendere ulteriormente le nostre soluzioni, aggiungendo nuove funzionalità e un punto di accesso sicuro per i diversi servizi sia pubblici che privati.
A chi si rivolgono i nostri servizi
- Per la Pubblica amministrazione: fornire ai cittadini la possibilità di autenticarsi tramite SPID o CIE ad App o servizi web è obbligatorio. E-time può aiutare tutti i soggetti della PA e i relativi reparti IT a raggiungere gli obiettivi di sicurezza e controllo accessi.
- Per i privati: per le imprese private che vogliono implementare un controllo degli accessi o le aziende IT che forniscono servizi alla Pubblica Amministrazione.
Il servizio Yookey ID
La certificazione di E-time come Soggetto aggregatore ci consente di ampliare le funzionalità di Yookey, la nostra soluzione di Identity & Access Management (IAM) introducendo Yookey ID una soluzione già predisposta per l’autenticazione con SPID e Carta di identità elettronica.
Passkey si aggiunge ai metodi MFA supportati da Yookey
Le Passkey sono l’alternativa alle password e sanciscono definitivamente il passaggio ad un nuovo capitolo della Cyber security questa volta però, Passwordless.
Nonostante i sistemi di autenticazione fino ad ora si siano basati sulle password, nel tempo è diventato chiaro che se da una parte è vero che esse rappresentano una chiave di sicurezza, allo stesso tempo costituiscono anche l’anello debole in tema di sicurezza degli account a causa della loro esposizione agli attacchi di Phishing.
Passkey è un metodo di autenticazione sicuro che si basa su un sistema di riconoscimento (impronta digitale, volto, PIN, sequenza), generato e memorizzato localmente sui dispositivi degli utenti.
Durante il processo di registrazione vengono create due chiavi, una pubblica e una privata che viene cifrata e memorizzata in modo sicuro sul dispositivo dell’utente. Per l’accesso all’account sono necessarie entrambe le chiavi. Questo meccanismo prende il nome di Autenticazione asimmetrica o a chiave pubblica.
Passkey adotta lo Standard WebAuthn o meglio, aderisce e implementa le specifiche tecniche fornite da FIDO2, che includono WebAuthn e CTAP (Client to Authenticator Protocol).
Lo Standard WebAuthn
WebAuthn o Web Authentication è lo standard aperto (framework FIDO2) voluto da FIDO Alliance e World Wide Web Consortium (W3C) con la partecipazione di Google, Mozilla, Microsoft e altri Big, su cui si basano le Passkey.
L’API WebAuthn consente ai server di registrare e autenticare gli utenti utilizzando la crittografia a chiave pubblica anziché una password, garantendo che l’autenticazione funzioni indipendentemente dal sistema operativo del dispositivo, sia esso Android, iOS, Mac o Windows.
Nella maggior parte dei casi il client WebAuthn che implementa l’API di autenticazione è un browser compatibile (attualmente è supportato da tutti i principali browser e dispositivi Android ed Apple).
Perchè Passkey è un'efficace misura contro il Phishing?
Passkey è efficace contro gli attacchi di phishing perché la password unica è memorizzata localmente sul dispositivo dell’utente e non viene mai trasmessa attraverso la rete.
Questo significa che anche se un utente viene indotto a fornire la sua passkey a un sito di phishing, i criminali informatici non saranno in grado di utilizzarla per accedere ai suoi account, poiché la passkey non è valida su altri dispositivi. Ciò rende molto più difficile per gli hacker compromettere l’accesso dell’utente, proteggendo così le sue informazioni personali e finanziarie.
Passkey e FIDO
La nascita di Passkey è legata a doppio filo con FIDO (Fast Identity Online), un’organizzazione che promuove standard aperti per la strong authentication. La FIDO Alliance, è composta dai principali attori del Web come Google, Microsoft e Apple.
L’obiettivo principale di FIDO è aumentare la sicurezza online utilizzando metodi di autenticazione più avanzati, come biometria e crittografia asimmetrica cercando di ridurre la dipendenza dalle password tradizionali (statiche) che indipendentemente dalla loro complessità sono troppo esposte al rischio di furto.
Gli altri metodi MFA supportati da Yookey | Keycloak SaaS
Oltre a Passkey, gli altri metodi di MFA supportati dal nostro servizio Yookey – Keycloak as A Service sono:
- Sms e email
- Virtual Authenticator (Microsoft e Google authenticator)
- Token fisici.
E-time con Rete Dafne contro ogni forma di violenza
È tempo di svelarvi anche il nostro secondo “regalo Utile” del Natale 2023.
Gli avvenimenti degli ultimi mesi del 2023 hanno ricevuto notevole attenzione mediatica riportando sotto i riflettori il tema della violenza di genere, che è ancora oggi una vera e propria piaga in Italia e non solo.
Abbiamo scelto quindi di dare il nostro piccolo contributo a Rete Dafne che si occupa quotidianamente di fornire supporto e assistenza alle vittime di violenza di genere ma non solo, perchè il lavoro di Rete Dafne riguarda tutte le vittime di qualsiasi tipoligia di reato.
Per ulteriori informazioni sul prezioso lavoro che svolge questa associazione, rimandiamo al loro sito: retedafne.it
E-time partecipa al progetto Plastic Pull
Questo Natale ci siamo concentrati su due temi a cui siamo molto sensibili, uno di questi è l’Ambiente.
E-Time ha contribuito a raccogliere 37 kg di rifiuti abbandonati da spiagge, parchi e strade, riqualificando ecosistemi degradati in Italia e che si trovano in aree in cui le Amministrazioni non intervengono. Tutto questo è stato possibile grazie al progetto Plastic Pull di Piantando.
Il progetto
Plastic Pull è uno dei progetti a impatto sociale e ambientale di Piantando, che si pone come obiettivo il recupero di tonnellate di rifiuti dispersi in tutta Italia, grazie alla propria rete di associazioni e iniziative.
Dopo aver identificato le aree di degrado in cui intervenire, Piantando si occupa di coordinare l’intervento con i referenti sul campo. Ogni sacco raccolto viene certificato allegando fotografie, luogo e data di raccolta, peso, modalità di smaltimento e squadra operativa.
Chi è Piantando
Piantando è una società Benefit che avvia progetti a impatto sociale e ambientale in tutto il mondo puntando sulla collaborazione con le aziende di ogni settore e dimensione. Il cardine centrale del lavoro di Piantando è la trasparenza e sostenibilità che caratterizza ogni progetto e ne assicura il corretto sviluppo.
Di seguito il link dove trovare maggiori informazioni sul progetto sostenuto da E-time e il nostro contributo: E-time X Plastic Pull
Odoo vs Salesforce: 5 motivi per scegliere Odoo
Salesforce rappresenta uno dei brand storici tra i CRM presenti sul mercato, mentre Odoo è un player relativamente recente (relativamente, perchè la nascita del software seppure molto diverso rispetto al prodotto che è ora risale al 2005).
Negli ultimi anni la crescita di Odoo ha avuto un’impennata, dovuta soprattutto al gran numero di App che vengono messe a disposizione dell’utente e alla politica di prezzo molto aggressiva. Nel 2021 l’azienda è entrata ufficialmente tra gli “unicorni” ovvero tra le aziende che superano il valore di 1 miliardo di Dollari. Ecco quindi perchè oggi possiamo tranquillamente mettere a confronto Odoo e Salesforce.
Odoo e Salesforce, il confronto
Una premessa d’obbligo, Salesforce è un software CRM mentre Odoo è un software ERP, che oltre al CRM include anche diversi moduli che rispondono alle esigenze delle diverse aree aziendali (HR, contabilità, magazzino, produzione ecc…).
Tanto è vero che non ci sarebbe nulla di strano nell’utilizzare sia Salesforce che Odoo integrandoli tra loro, ma veniamo al dunque.
1. Sistema integrato
Partendo quindi dalla differenza evidenziata sopra, Odoo ha al suo interno diverse applicazioni (moduli), come CRM, Risorse Umane, Website, contabilità, magazzino e altro – integrate tra loro. Questo, elimina la necessità di acquistare e configurare integrazioni aggiuntive.
2. Personalizzazione Agile
Uno dei punti di forza di Odoo è sicuamente il grado di personalizzazione della piattaforma, caratteristica probabilmente figlia della logica Open Source attorno alla quale si è sviluppato il software.
Odoo permette di personalizzare l’interfaccia, i moduli e i flussi di lavoro secondo le esigenze specifiche dell’azienda senza la necessità di integrazioni con software di terze parti.
3. Scalabilità
La struttura di Odoo lo rende un sistema altamente scalabile. Si può partire con 2-3 moduli per poi allargare il bacino di funzionalità adattando il software alle esigenze delle aziende. A differenza di Salesforce, che potrebbe comportare costi più elevati al crescere delle esigenze aziendali, Odoo è un software adatto anche alle Startup o più in generale alle aziende con contesto di struttura in evoluzione e in crescita.
4. Open source e codice accessibile
Odoo nasce e deve il suo sviluppo alla formula Open source. Odoo mantiene una versione Community (Open source), ma garantisce un ampio grado di customizzazione anche sulla versione Cloud, mettendo a disposizione di Partner e sviluppatori la piattaforma odoo.sh per lo sviluppo e il collaudo di codice e funzionalità, prima della messa in produzione.
5. Costo
Ciò che rende Odoo appetibile per molte realtà è sicuramente il costo. Odoo Community Edition è gratuito, mentre la versione cloud prevede un canone mensile o annuale che parte dagli 11,90€/utente/mese con tutta una serie di vantaggi e di funzionalità non presenti nella versione Community.
Un prezzo sicuramente molto competitivo soprattutto se pensiamo che non stiamo acquistando solo un CRM, ma un ERP software.
Odoo Roadshow | Verona 13 Aprile 2023
Giovedì 13 Aprile il Roadshow Odoo è a Verona! E-time sarà sponsor dell’evento, pertanto vi aspettiamo per trascorrere un’imperdibile pomeriggio dalle 18 alle 21 al Crowne Plaza di Verona.
L’evento è gratuito previa registrazione!
L’agenda del pomeriggio:
- 🟣 Una demo interattiva di Odoo
- ⭐ Consigli di esperti digitali
- 💬 Esperienze di business locali
- 🙋♂️ Una sessione di domande e risposte
- 🤝 Una sessione di networking e aperitivo finale!
👉 Link per la registrazione: Registrati ora