Evin ha ottenuto significativi riconoscimenti in materia di sicurezza informatica, confermando il proprio impegno nel garantire la protezione dei dati e il rispetto delle normative più stringenti a livello nazionale e internazionale. Dopo la certificazione ISO/IEC 27001, lo standard internazionale che definisce i requisiti per il sistema di gestione della sicurezza delle informazioni, l’azienda ha proseguito il proprio percorso di consolidamento ottenendo anche le certificazioni ISO/IEC 27017 e ISO/IEC 27018. La prima introduce linee guida specifiche per i controlli di sicurezza nei servizi cloud, offrendo una protezione avanzata per infrastrutture e dati gestiti in ambienti cloud. La seconda, invece, è il primo standard internazionale che si concentra sulla protezione delle informazioni personali identificabili (PII) nei servizi cloud pubblici, garantendo il rispetto della privacy degli utenti.
Inoltre, Evin ha conseguito la qualificazione ACN (ex AgID) per il livello di garanzia QC1, rilasciata dall’Agenzia per la Cybersicurezza Nazionale. Questo riconoscimento certifica che l’azienda può fornire servizi cloud alla Pubblica Amministrazione secondo i criteri di sicurezza, affidabilità e conformità stabiliti dalla normativa italiana. Una qualifica che evidenzia l’impegno dell’azienda nel proteggere i dati sensibili dei propri clienti e partner, adottando le migliori pratiche globali in materia di sicurezza informatica. In un panorama tecnologico come quello odierno, è una priorità assoluta, in particolare per le aziende che sviluppano e erogano software in modalità SaaS (Software as a Service).
Nel modello SaaS, i dati dei clienti vengono archiviati da un fornitore esterno, il che implica una responsabilità significativa per la tutela e la privacy delle informazioni. Gli utenti si affidano all’azienda produttrice del software non solo per offrire un servizio affidabile e performante, ma anche per assicurare che i loro dati siano difesi da accessi non autorizzati, da perdite o da violazioni della privacy. Per chi opera nel settore, queste certificazioni diventano pertanto cruciali, rafforzando la fiducia dei clienti e offrendo vantaggi significativi a livello organizzativo: aiutano a identificare, valutare e mitigare i rischi in modo proattivo, consentendo la continuità del SaaS anche in situazioni di emergenza o attacchi informatici. Inoltre, con l’aumento delle normative sulla protezione dei dati, come il GDPR in Europa, le aziende certificate dimostrano di essere in linea con le leggi e i regolamenti internazionali.
Il processo per ottenere la certificazione si basa su un approccio graduale e ben definito. Innanzitutto va condotta una valutazione preliminare della propria infrastruttura, dei processi e delle politiche di sicurezza esistenti, in modo da identificare eventuali lacune. Quindi si definisce un SGSI (Sistema di Gestione della Sicurezza delle Informazioni), che comprende la gestione dei rischi, le politiche di sicurezza, i controlli tecnici e fisici e le procedure operative. Il sistema deve essere implementato in tutti gli aspetti, dalla progettazione alla distribuzione del software. Ciò include misure come la crittografia dei dati, l’autenticazione a più fattori, la gestione delle vulnerabilità e la protezione contro gli attacchi informatici. Il personale deve essere adeguatamente formato sulla sicurezza delle informazioni e sull’adozione delle pratiche ISO. Inoltre, si devono condurre audit interni regolari per verificare la conformità con gli standard. Una volta che il SGSI è stato implementato e testato, l’organismo di certificazione esterno effettua un audit per verificare la conformità. La certificazione non è tuttavia un risultato statico, richiede un impegno costante nel monitorare, riesaminare e migliorare il sistema di gestione della sicurezza delle informazioni per affrontare nuove minacce e cambiamenti normativi.