În ultimele luni, un număr tot mai mare de portaluri webEDI utilizate de companiile din România au trecut de la autentificarea clasică cu parolă la standarde moderne bazate pe autentificare multifactor (2FA/MFA) și integrare Single Sign‑On (SSO). Tendința este accelerată de presiunea conformării la NIS2, de creșterea volumelor de documente electronice (inclusiv e‑Factură) și de riscul crescut de atacuri asupra lanțurilor de aprovizionare. Pentru directorii generali, financiari și operaționali, schimbarea este atât o măsură de securitate, cât și o investiție în eficiență și guvernanță IT.
Context: EDI la scară, presiune pe securitate
România a digitalizat rapid schimbul de documente fiscale și comerciale, impulsionată de obligatorietatea e‑Factură pentru B2B începând cu 2024, precum și de cerințele marilor retaileri, producători auto și jucători din logistică pentru integrarea EDI. În retail, lanțuri precum Kaufland, Carrefour, Auchan sau Metro operează cu o bază extinsă de furnizori ce folosesc portaluri webEDI pentru comenzi, avize și facturi. În automotive și industrial, ecosistemele Dacia–Renault și Ford Otosan stimulează schimbul EDI în rândul furnizorilor locali. Această scară crește suprafața de atac: conturi partajate, parole reciclate și acces de la dispozitive nesecurizate meană risc operațional.
În paralel, Directiva europeană NIS2, care trebuie transpusă în legislațiile naționale (termenul UE a fost 17 octombrie 2024), impune controale tehnice minime pentru entități esențiale și importante, inclusiv “politici de securitate pentru controlul accesului și gestionarea identităților” și utilizarea autentificării multifactor. În România, Directoratul Național de Securitate Cibernetică (DNSC) a emis în mod constant recomandări pentru MFA/2FA în aplicațiile critice. Chiar dacă nu toate companiile intră direct sub incidența NIS2, presiunea din lanțul de aprovizionare și din partea clienților mari determină adoptarea pe scară largă a 2FA și SSO în portalurile EDI.
Cine implementează 2FA și SSO în webEDI
La nivel de platforme, furnizori globali ale căror soluții sunt frecvent întâlnite în România au standardizat suportul pentru MFA și SSO:
- SAP Ariba Network – Integrare SSO prin SAML 2.0 cu Microsoft Entra ID (ex‑Azure AD) și Okta; politici MFA configurabile, inclusiv aplicații TOTP și chei FIDO2/WebAuthn.
- OpenText Trading Grid – Opțiuni avansate de identitate, SSO și MFA pentru portaluri de furnizori și fluxuri B2B.
- IBM Sterling – SSO enterprise (SAML/OIDC) și controale MFA ca parte din suita de securitate și guvernanță B2B.
- Comarch EDI – SSO SAML și autentificare multi‑factor, prevalent în CEE și folosit de producători, retaileri și distribuitori.
- Pagero – Rețea globală de e‑invoicing/EDI cu suport SSO și MFA pentru conturile de furnizori și clienți.
- Transporeon (transport/logistică) – Integrare cu IdP corporativi și politici MFA pentru portalurile de expediție și licitație de transport.
Pe partea de identitate, Microsoft Entra ID, Okta și – în grupuri europene – soluții bazate pe Keycloak/ForgeRock sunt cele mai întâlnite ca furnizori de SSO către portaluri webEDI. Această arhitectură reduce dramatic dependența de parole și permite politici coerente de acces: MFA obligatoriu, condiții de acces în funcție de locație/dispozitiv și revocare centralizată a drepturilor.
De ce acum: risc, conformitate, eficiență
Practica a arătat că “user/parolă” nu mai este suficient. Microsoft a documentat că activarea MFA blochează peste 99,9% din atacurile automate asupra conturilor – o statistică reiterată frecvent de industrie. În EDI, conturile sunt adesea partajate între operatori de achiziții, depozit și financiar, ceea ce amplifică riscul de abuz și face trasabilitatea dificilă. Cu 2FA și SSO, companiile obțin:
- Reducere a fraudelor și a accesului neautorizat, inclusiv împotriva atacurilor de tip credential‑stuffing.
- Auditare și negație credibilă: fiecare utilizator are identitate unică, iar sesiunea este MFA‑protejată.
- Onboarding/offboarding mai rapid: utilizatorii sunt creați/șterși prin SCIM sau grupuri în IdP, fără tichete manuale.
- Conformitate: aliniere la NIS2, politici interne și cerințe ale clienților mari.
Ce înseamnă pentru companiile din România
În practică, “generalizarea” înseamnă trei schimbări vizibile pentru organizațiile care lucrează pe portaluri EDI:
- Activarea MFA pe conturile existente – de regulă prin aplicații de autentificare (Microsoft Authenticator, Google Authenticator), coduri TOTP sau chei de securitate FIDO2. SMS rămâne uneori opțiune de rezervă, dar furnizorii recomandă metode rezistente la phishing (FIDO2/WebAuthn).
- Migrarea la SSO – conectarea portalurilor EDI la un furnizor de identitate (Microsoft Entra ID sau Okta) pe baza SAML/OIDC, cu politici de acces condițional (device compliant, locație, risc).
- Guvernanța identităților – renunțarea la conturile partajate, implementarea provizionării automate (SCIM), drepturi pe roluri (achiziții, financiar, logistică) și revizuiri periodice de acces.
În retail și FMCG, aceasta ajută la gestionarea sezonieră a personalului și a furnizorilor externi. În automotive și producție, cerințele OEM privind securitatea furnizorilor (inclusiv TISAX/ISO 27001) converg cu NIS2 și fac MFA/SSO o condiție tacită pentru colaborarea B2B.
Costuri, beneficii și ROI
Costurile directe includ licențele pentru IdP (dacă nu sunt deja active), eventuale chei FIDO2 pentru utilizatori cu risc ridicat și efortul de integrare. Beneficiile tangibile apar în:
- Scăderea incidentelor de resetare parolă și a timpului pierdut cu blocaje de conturi.
- Reducerea riscului de plată frauduloasă/redirectare prin compromiterea conturilor de facturare.
- Simplificarea auditului și a răspunsului la incidente – logurile sunt corelate în SIEM, iar accesul se taie centralizat.
Companiile care folosesc deja SSO pentru ERP/CRM (SAP S/4HANA, Microsoft Dynamics 365, Salesforce) pot extinde ușor același model către portalurile webEDI, maximizând investiția existentă în identitate.
Pași recomandați pentru CEO/CFO/COO/CIO
- Inventariați toate portalurile EDI și B2B utilizate (achiziții, logistică, facturare) și stabiliți statusul actual: MFA/SSO disponibil vs. activat.
- Standardizați pe un IdP corporativ (Microsoft Entra ID/Okta) cu politici MFA rezistente la phishing și acces condițional.
- Solicitați furnizorilor EDI SSO prin SAML/OIDC și provizionare SCIM, plus jurnale de audit exportabile în SIEM.
- Eliminați conturile partajate; asigurați identități unice și drepturi pe roluri, cu revizuiri trimestriale.
- Implementați chei de securitate FIDO2 pentru conturile cu privilegii sau pentru echipele care gestionează plăți și master data.
- Previzionați buget pentru schimbare: licențe IdP, eventual hardware keys, timp de integrare; beneficiați de fondurile de modernizare IT sau inițiativele de conformitate NIS2.
- Educați utilizatorii: proceduri MFA, recuperare de cont, bune practici anti‑phishing și gestionarea sesiunilor pe dispozitive partajate.
Capcane de evitat
- SMS‑ul ca unică metodă MFA – convenabil, dar mai vulnerabil la SIM‑swap și phishing. Preferabil FIDO2 sau aplicații TOTP, ideal combinat cu politici “phishing‑resistant”.
- SSO fără guvernanța ciclului de viață – dacă provizionarea/deprovizionarea rămân manuale, riscul de conturi “fantomă” persistă.
- Conturi partajate “temporar” pentru furnizori mici – introduceți acces delegat sau conturi invitat cu expirare automată.
Concluzie
Standardizarea autentificării cu 2FA și SSO în portalurile webEDI din România marchează maturizarea digitală a lanțurilor de aprovizionare. Dincolo de conformitate, beneficiile operaționale sunt concrete: mai puține întreruperi, trasabilitate mai bună și un risc cibernetic redus într‑un mediu în care fraudele pe identitate rămân principala poartă de intrare. Pentru companiile care au deja în producție un IdP modern, extinderea securității către EDI este un “quick win” cu impact direct asupra continuității operaționale și a încrederii partenerilor.