diff --git a/public/guida.html b/public/guida.html index fa6f3cd..b67e94b 100644 --- a/public/guida.html +++ b/public/guida.html @@ -245,6 +245,17 @@
  • Inventariare gli asset critici.
  • Estrarre report per audit interni o per le autorità.
    • + +

    Connettori per azienda (Evidence Automation)

    +

    Dalla scheda di ogni azienda cliente puoi configurare i connettori verso i sistemi + esterni (Microsoft 365, Google Workspace, AWS, Azure, Identity Provider, EDR, SIEM, ticketing): sono le + fonti da cui la piattaforma raccoglie automaticamente le evidenze di conformità.

    +
    + Sicurezza dei segreti. Nella scheda inserisci solo i parametri non sensibili (es. + tenant id, client id). Le credenziali segrete non vengono mai salvate nel prodotto: + sono custodite separatamente nel vault cifrato. Dopo il salvataggio la piattaforma indica il + comando per caricare il segreto nel vault. +
    @@ -509,6 +520,18 @@ Stabilisce gli obblighi di segnalazione degli incidenti significativi al CSIRT competente. Il mancato rispetto delle scadenze è sanzionabile fino al 2% del fatturato globale per le entità essenziali. + +

    Apertura automatica da SIEM/SOC/EDR

    +

    Oltre all'inserimento manuale, gli incidenti possono essere creati in automatico + dai tuoi sistemi di sicurezza (SIEM, SOC, EDR) tramite la Services API. Quando un alert arriva, la + piattaforma crea l'incidente, ne propone la classificazione con l'AI (tipologia + IS-1…IS-4, gravità) e fa partire i tempi Art. 23. Gli alert duplicati vengono riconosciuti e non + creano doppioni.

    +
    + Per chi integra. L'endpoint è POST /api/services/incidents-ingest + con una API key dedicata (scope ingest:incidents). Trasforma il modulo incidenti da + reattivo a proattivo. +
    @@ -541,6 +564,21 @@

    Stati di una policy

    Bozza → In revisione → Approvata → Pubblicata → Archiviata (quando sostituita).

    + +

    Presa visione dei dipendenti (attestation)

    +

    Non basta scrivere una policy: devi poter dimostrare che il personale l'ha letta. + Per ogni policy approvata, i dipendenti registrano la presa visione con un clic; la + piattaforma tiene la copertura (es. "32 su 40 hanno preso visione") e mostra chi manca.

    +
    + Importante. L'attestation è legata alla versione: se aggiorni la + policy e la riapprovi con una nuova versione, chi aveva firmato la versione precedente deve + prendere visione di nuovo. Così la prova di lettura è sempre sulla versione corrente. +
    + +

    Storico versioni e confronto (diff)

    +

    Ad ogni approvazione la piattaforma salva uno snapshot del contenuto. Puoi vedere + lo storico delle versioni e confrontare due versioni (diff) per + capire esattamente cosa è cambiato — righe aggiunte e rimosse — utile in sede di audit.

    @@ -569,6 +607,18 @@ non chiaro). Azione: clausola contrattuale che vieta sub-appalto senza autorizzazione e impone notifica incidenti entro 24h. + +

    Questionario self-assessment al fornitore

    +

    Dalla scheda di un fornitore puoi inviare un questionario di sicurezza: la + piattaforma genera un link con scadenza che il fornitore compila senza dover avere un + account. Le domande coprono i temi NIS2 (ISO 27001, MFA, patch, backup, gestione incidenti, + cifratura, sub-fornitori).

    +

    Alla consegna, il sistema calcola in automatico un punteggio e aggiorna la scheda + del fornitore, così il suo livello di rischio si allinea da solo alle risposte ricevute.

    +
    + Esempio. Invii il questionario al provider cloud. Compila il link entro 30 giorni: + 7 "sì" e 1 "parziale" → punteggio 94/100, requisiti di sicurezza soddisfatti. +
    @@ -637,6 +687,18 @@ il portale prenotazioni. Per ognuno: criticità, vendor, location, owner. Quando arriva un incidente o un rischio, può essere associato a uno o più asset → tracciabilità totale. + +

    Scoring di rilevanza NIS2 e import da CMDB/cloud/CSV

    +

    La piattaforma calcola un punteggio di rilevanza (0–100) per ogni asset, su 6 + criteri (criticità operativa, impatto, dati trattati, dipendenze, esposizione, obblighi normativi). + Invece di inserirli uno a uno, puoi importarli in blocco con il pulsante "Importa": + carichi un CSV (o un export dal CMDB/cloud) e la piattaforma crea gli asset calcolando + automaticamente il punteggio per ciascuno.

    +
    + Niente duplicati. Se indichi un identificativo esterno (external_ref), + re-importare lo stesso asset lo aggiorna invece di duplicarlo: ideale per + sincronizzazioni periodiche dal CMDB. +
    @@ -659,6 +721,18 @@
  • Export CSV: rischi, incidenti, controlli, asset.
    • +

    Monitoraggio continuo dei controlli

    +

    La scheda "Monitoraggio Continuo" mostra lo stato di freschezza di ogni controllo, + alimentato dalle evidenze raccolte automaticamente dai connettori (Evidence + Automation). Invece di una verifica "una tantum", vedi a colpo d'occhio cosa è ancora valido e cosa va + rinnovato, con un semaforo: verde (sano), ambra (attenzione), + arancio (evidenza scaduta), rosso (non conforme), grigio (non + monitorato). La copertura indica quanti controlli sono alimentati da evidenze automatiche.

    +
    + Perché conta. Avvicina l'azienda a una compliance continua anziché + fotografata una volta l'anno: è il modello dei migliori strumenti internazionali. +
    +
    Esempio. Pre-audit ISO 27001: genera il report esecutivo, esporta in CSV rischi e controlli, scarica l'audit log certificato. L'auditor ha tutto in 5 minuti.