Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010"

Transcript

1 Insight N. 31 Ottobre I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento Nel 27 il Parlamento Europeo ha emesso la Direttiva 27/64/CE, nota anche come PSD (Payment Services Directive), che nasce dall esigenza di armonizzare il quadro giuridico che regolamenta i servizi di pagamento, in precedenza frammentato in 27 ordinamenti nazionali. La coesistenza di disposizioni nazionali con un quadro giuridico comunitario incompleto ha determinato un sistema articolato e non strutturato, rallentando i processi di crescita e riducendo le opportunità per gli operatori non specializzati, che la Direttiva definisce Payment Institutions. L introduzione di una Direttiva europea dovrebbe, infatti, consentire agli operatori di sfruttare in misura maggiore la propria rete distributiva per raggiungere quella parte di clientela detta non bancarizzata, offrendo un insieme di servizi quali domiciliazione delle bollette, accredito dello stipendio, finanziamenti a breve, nonché emettendo carte di pagamento. Lo sviluppo di tali opportunità richiede un rafforzamento organizzativo, culturale e tecnologico secondo quanto previsto dai tre pilastri della Direttiva: 1. il presidio di un contesto favorevole all aumento della concorrenza, garantendo parità di condizioni agli operatori; 2. il presidio della trasparenza, condizione fondamentale per gli attori del mercato; 3. il presidio della sicurezza, soprattutto logica, al fine di mitigare i rischi operativi e di compliance. Quest ultimo punto rappresenta uno degli aspetti principali del Provvedimento di Banca d Italia Attuazione del Titolo II del Decreto Legislativo n. 11 del 27 gennaio relativo ai servizi di pagamento (diritti ed obblighi delle parti), essendo il D. Lgs. 11/ lo strumento che recepisce in Italia la Direttiva. Il Provvedimento è stato emesso a Settembre come documento di consultazione, da consolidarsi entro Novembre. La Sezione IV del Provvedimento prevede, infatti, che tutti i Prestatori di Servizi di Pagamento (PSP) siano sottoposti all obbligo generale di assicurare, per gli strumenti di pagamento offerti alla clientela, adeguati profili tecnico-organizzativi di sicurezza, al fine di garantire in ogni momento il regolare funzionamento del sistema dei pagamenti, nonché la fiducia degli utilizzatori nel ricorso ai servizi compresi nel contesto di applicazione del D. Lgs. 11/. Il Provvedimento di Banca d Italia ribadisce la generale esigenza di maggior sicurezza nei sistemi di pagamento nelle loro varie forme (POS, online, etc.), ormai manifestata ripetutamente da parte sia degli utenti sia dei gestori. Tale Provvedimento si affianca e si allinea a standard già esistenti, come PCI Data Security Standard, Payment Application Data Security Standard e PIN Transaction Security, aventi lo scopo di definire i principali requisiti di sicurezza per i servizi e i sistemi di pagamento. Il Provvedimento di Banca d Italia prevede infatti dei principi comuni con gli standard sopra individuati, quali: la definizione di un processo per la gestione strutturata dei rischi di sicurezza; l identificazione di specifici requisiti tecnologici per l infrastruttura di sicurezza; l esecuzione di assessment periodici per la verifica dell efficacia del modello di sicurezza implementato. 1 protiviti.it

2 I contenuti del Provvedimento di Banca d Italia Il Provvedimento stabilisce che i prestatori di servizi di pagamento assicurino, per l esercizio delle proprie attività, soluzioni tecniche presidiate da opportuni processi di gestione delle minacce tecnologiche, tra le quali: vulnerabilità delle reti di telecomunicazione; debolezza del sistema dei controlli e delle misure di sicurezza; tentativi di frode; attacchi da parte di soggetti esterni e sabotaggi; malfunzionamenti nei sistemi e nei processi informatizzati interni; difetti delle procedure software e dei sistemi operativi; guasti dei componenti hardware insufficiente capacità dei sistemi di elaborazione e trasmissione. Presupposto fondamentale per tale presidio è che i prestatori di servizi di pagamento si dotino di un adeguato e robusto processo di gestione dei rischi, che permetta di identificare, valutare, misurare, monitorare e mitigare le minacce di natura tecnologica. Tale processo deve risultare parte integrante del processo più ampio di gestione dei rischi a livello aziendale e deve comportare la definizione di: un adeguato insieme di presidi di sicurezza logica e fisica per i sistemi informativi; un efficace processo di controllo interno; un appropriato piano di continuità operativa; una gestione dei rapporti contrattuali con i fornitori esterni coerente con i vincoli posti a carico dei PSP; una periodica esecuzione di verifiche teoriche e pratiche delle vulnerabilità tecniche dei sistemi. Congiuntamente al Provvedimento, è stato sottoposto a consultazione il documento Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza, che fornisce ai prestatori di servizi di pagamento le specifiche degli strumenti di più elevata qualità sotto il profilo della sicurezza, il ricorso ai quali offre maggiori tutele sia all utilizzatore sia al PSP, in quanto essi garantiscono presidi di sicurezza forti orientati a: ridurre le frodi; inibire i furti di identità; prevenire i fenomeni di riciclaggio; salvaguardare i dati dell utilizzatore. I requisiti degli strumenti Il documento declina nel dettaglio i requisiti tecnico-organizzativi che determinano i presidi di sicurezza rafforzati e il relativo perimetro di applicazione. Mentre gli strumenti di pagamento che consentono transazioni di importo fino a 1 euro al giorno sono ritenuti a sicurezza intrinseca (conformità semplificata), particolari misure sono previste per gli strumenti di pagamento che consentono transazioni per importi superiori al massimale giornaliero di 1 euro. Tali sistemi possono essere qualificati a maggior sicurezza quando sono soddisfatti i requisiti contenuti nella tabella seguente: 2 protiviti.it

3 Processo di gestione e mitigazione dei rischi di sicurezza Deve essere definito un processo di gestione dei rischi di sicurezza, che permetta di identificare, valutare, misurare, monitorare e mitigare le minacce di natura tecnologica. Esso deve portare alla realizzazione di un insieme di misure di sicurezza e di controlli appropriati, in grado di assicurare gli obiettivi di confidenzialità, integrità e disponibilità dei sistemi informativi e dei dati ad essi associati. Autenticazione a 2 fattori L autenticazione dell utente deve avvenire utilizzando due o più fattori di autenticazione, che devono essere tra loro indipendenti, in maniera che la compromissione dell uno non comprometta anche l altro. Ad esempio, nel caso in cui un utente disponga di una password e di una smart card per l accesso ad un sistema di pagamento, l autenticazione può deve avvenire esclusivamente con l uso combinato dei due fattori, rendendo di conseguenza inutile la violazione di uno solo. Autenticazione PSP Lo strumento di pagamento deve autenticare in maniera sicura il dispositivo di pagamento del PSP con il quale interagisce, al fine di evitare che l utilizzatore consegni le proprie credenziali ed i propri dati a dispositivi non autorizzati (es: autenticazione POS/ATM verso la carta, autenticazione del server Web della banca verso il PC dell utente). Transazioni on-line Le transazioni di importo superiore a 5 euro, devono essere autorizzate on-line attraverso il server centrale del PSP. Crittografia end-to-end La trasmissione di credenziali e dati personali dal dispositivo dell utilizzatore fino al punto di verifica del PSP deve essere effettuata attraverso canali con cifratura, che garantiscano la sicurezza da un capo all altro della trasmissione. Nel caso la tecnologia scelta dal PSP richieda che tali dati siano rimessi in chiaro su dispositivi intermedi, ciò deve avvenire all interno di dispositivi sicuri. Autorizzazione singola transazione Nel caso di più transazioni dispositive nell ambito della stessa sessione (es: per Internet banking), ogni transazione deve essere autorizzata singolarmente. Canale out-of-band Lo strumento di pagamento deve mettere a disposizione un canale, differente da quello utilizzato usualmente per le transazioni, attraverso il quale l utilizzatore è informato delle transazioni avvenute (es: SMS, , pagine web riservate). Tale funzionalità deve essere resa disponibile all utente e attivata a sua discrezione. Software download/upgrade Deve essere impedito lo scarico di aggiornamenti software per lo strumento di pagamento in possesso dell utilizzatore, a meno che non siano previsti metodi sicuri per la trasmissione del software dal server del PSP al terminale dell utente. Apertura e gestione conto di pagamento In caso di attivazione on-line di uno strumento di pagamento nominativo, il PSP deve garantire adeguati controlli per minimizzare il rischio che frodatori possano dare false generalità. Meccanismi di autenticazione affidabili e diversi da quelli utilizzati nelle transazioni dispositive devono essere usati per la gestione dello strumento di pagamento (es: remissione PIN/password, variazione generalità utilizzatore, variazione limiti di spesa). Il PSP deve garantire che non sia possibile ottenere le credenziali di autenticazione dell utilizzatore per l esecuzione delle transazioni dalla intercettazione delle comunicazioni periodiche tra PSP e utilizzatore (es: estratti conto via posta, o SMS). Monitoraggio transazioni inusuali Il titolare delle funzionalità di pagamento deve adottare efficaci meccanismi di sicurezza in grado di rilevare tempestivamente attività sospette o inusuali, potenzialmente riconducibili ad azioni illecite di frode o riciclaggio, quali: ripetute transazioni di trasferimento fondi eseguite entro un ristretto periodo di tempo verso lo stesso beneficiario e per importi prossimi ai massimali consentiti; cambio di indirizzo richiesto dell utente, al quale fa seguito a stretto giro la richiesta di remissione di PIN/password, da consegnare attraverso servizio postale; innalzamento dei massimali richiesti dall utente, al quale fa seguito una improvvisa movimentazione di fondi verso controparti inusuali. In tali casi, il PSP deve verificare prontamente con l utilizzatore la legittimità di tali transazioni. 3 protiviti.it

4 L assessment indipendente Il Provvedimento di Banca d Italia prevede che la conformità ai requisiti di sicurezza specifici sia dimostrata attraverso un assessment sul servizio di pagamento, svolto da un soggetto terzo indipendente e qualificato (Assessor). L Assessor deve essere in grado di: dimostrare esperienza e competenza nel settore per poter eseguire la valutazione; assicurare imparzialità, risultando indipendente dai soggetti che sviluppano o operano i servizi di pagamento. I rapporti di valutazione devono attestare la conformità ai requisiti definiti nel Provvedimento e in particolare: l esistenza di un efficace processo di risk management; l adeguatezza dei presidi di sicurezza (tra cui quelli specifici) implementati. L efficacia dei presidi deve essere verificata anche con approfondimenti tecnici mediante vulnerability assessment o penetration test sulle aree a maggior rischio; il numero e la tipologia delle violazioni di sicurezza perpetrate nel periodo di riferimento della analisi. Il rapporto di valutazione deve essere rivisto periodicamente in caso di sostanziali variazioni e in presenza di significativi aggiornamenti della struttura tecnico-organizzativa del servizio di pagamento. L approccio Protiviti Protiviti, gruppo multinazionale di consulenza direzionale, leader nell analisi e progettazione di modelli per la gestione del rischio, ha sviluppato un offerta di servizi specializzati nell ambito dell Information Security e della Compliance, differenziata in base alle esigenze specifiche dei diversi settori in cui opera (tra i quali il settore delle istituzioni finanziarie è uno dei più rilevanti) e ha sviluppato una metodologia di assessment consolidata rispetto alle principali normative in vigore e standard di sicurezza di mercato. STANDARD E BEST PRACTICE ISO 271 PCI - DSS BS / BS COBIT NORMATIVE Privacy T.U.F. Antiriciclaggio Istruzioni di Vigilanza Banca d Italia d Relativamente allo standard PCI - DSS, Protiviti ha sviluppato una solution dedicata alle aziende che gestiscono dati di titolari di carte di credito, volta a realizzare programmi di compliance e verificarne l efficacia. Inoltre Protiviti dispone delle seguenti qualifiche PCI: PCI Security Council, Approved Scanning Vendor; PCI Security Council, Qualified Security Assessor; Visa, Qualified Payment Application Security Company. 4 protiviti.it

5 Definizione di un processo che preveda dei momenti di allineamento e confronto tra i responsabili aziendali dei diversi aspetti della sicurezza. Definizione di un piano di crescita dell organico dell U.O. Sistemi Informativi. I II III IV I II III IV Diffusione della cultura della sicurezza delle informazioni 6% all interno di Roma Metropolitane. 52% 5% Definizione di politiche e procedure di sicurezza. 4% Avvio ed attuazione di un programma di formazione sulla sicurezza per i tecnici e per resto del personale. Avvio ed esecuzione di attività periodiche di Audit interno sulla sicurezza. Avvio ed esecuzione di attività periodiche di Vulnerability Assessment. Realizzazione di processi e strumenti automatici per la gestione delle configurazioni e dei cambiamenti dell infrastruttura IT e delle applicazioni. Realizzazione di interventi per la separazione degli ambienti nelle sedi periferiche e revisione dell impianto elettrico nella sala server d Via Tuscolana. Bonifica delle vulnerabilità tecniche sui sistemi server e client. Realizzazione della soluzione di Disaster Recovery sulla base dei requisiti definiti. Realizzazione di strumenti per il monitoraggio e la correlazione degli eventi di sicurezza a supporto della gestione degli incidenti. Definizione del Piano di Business Continuity. 1% 9% 8% 7% 3% 2% 1% % 11% 45% 2% 12% 11% Situazione 21 Situazione 22 Situazione 25 Situazione 54% 31% 58% Sfruttando le proprie esperienze, Protiviti è in grado di supportare i PSP mediante l esecuzione dell Assessment Indipendente, secondo quanto previsto dal Provvedimento di Banca d Italia. Definizione del perimetro Esecuzione analisi Analisi di approfondimento Risultati assessment Piano interventi ATTIVITA Definizione del perimetro di analisi e delle componenti coinvolte (sistemi, reti, apparati, dispositivi, strutture organizzative). Pianificazione attività. Valutazione del processo di gestione del rischio in essere, analizzando e verificando i presidi di sicurezza implementati. Gap Analysis relativa ai presidi di sicurezza implementati mediante analisi documentale, interviste, verifiche sul campo. Esecuzione delle attività di approfondimento sulle aree di maggiore rischio attraverso attività di vulneraribility assessment e penetration testing. Formalizzazione dei risultati della valutazione, evidenziando le implicazioni sulla sicurezza del servizio di pagamento offerto. Stima dei livelli di rischio residuo. Identificazione delle raccomandazioni rispetto ai gap a alle aree di miglioramento identificati. Definizione del piano degli interventi, in funzione delle priorità individuate. Protiviti ha inoltre sviluppato e consolidato una propria metodologia di governo della sicurezza per supportare le realtà che hanno l esigenza di avviare un programma di miglioramento della sicurezza, eventualmente finalizzato alla compliance con normative o standard quali quello definito nel Provvedimento. Risk Assessment Analisi dello stato della sicurezza Gestione del Rischio Monitoraggio del rischio ATTIVITA Classificazione delle aree di rischio Identificazione dei rischi specifici Valutazione dell impatto e della probabilità di tali rischi sui processi Identificazione dei controlli Gap Analysis dei controlli ed assegnazione del livello di copertura a ciascun requisito Assegnazione del livello di maturità a ciascun controllo Identificazione delle contromisure Definizione del piano degli interventi suggeriti in funzione delle priorità individuate Monitoraggio nel tempo dei rischi individuati e degli indicatori di rischio di sicurezza chiave DELIVERABLES Risk Assessment Report ICT Security Baseline Gap Analysis ICT Security Baseline Maturity Model Gestione dei beni Responsabilità per i beni Inventario dei beni Un organizzazione dovrebbe identificare tutti i beni e documentarne l importanza. L inventario dei beni dovrebbe comprendere tutte le infor mazioni necessar ie per r iprendersi da un disastro, compresi: tipo di bene, formato, ubicazione, informazioni di back up, informazioni sulla licenza e anche un valore aziendale. L inventar io non dovrebbe duplicare altr i inventari se non ce n è bisogno, ma si dovr ebbe f ar sì che i contenuti siano allineati. Si dovrebbero concordare e documentare la responsabilità e la classificazione per ognuno dei beni. Basandosi sull importanza del bene, sul suo valore aziendale e sulla sua classificazione di sicurezza, si dovrebbero identificare livelli di protezione commisurati all importanza dei beni Obiettivo: conseguire e mantenere una protezione appropr iata dei beni dell'organizzazione. Controllo: si devono identificare chiaramente tutti i beni e si dovrebbe redigere e mantenere un inventario di tutti i beni impor tanti. 1 Gestione dei beni Responsabilità per i beni Inventario dei beni Obiettivo: conseguir e e mantenere una protezione appr opriata dei beni dell'or ganizzazione. Controllo : si devono identificare chiaramente tutti i beni e si dovrebbe redigere e mantener e un inventario di tutti i beni importanti. 1 Piano degli Interventi Evoluzione dei valori della sicurezza ICT 37% 35% 34% Indicatori e analisi dei trend Un organizzazione dovrebbe identificar e tutti i beni e documentarne l importanza. L inventario dei beni dovrebbe comprendere tutte le informazioni necessarie per r iprendersi da un disastro, compresi: tipo di bene, formato, ubicazione, inf ormazioni di back up, informazioni sulla licenza e anche un valor e aziendale. L inventar io non dovr ebbe duplicare altri inventari se non ce n è bisogno, ma si dovrebbe far sì che i contenuti siano allineati. Si dovrebbero concordare e documentare la responsabilità e la classificazione per ognuno dei beni. Basandosi sull importanza del bene, sul suo valor e aziendale e sulla sua classificazione di sicur ezza, si dovrebber o identificare livelli di protezione commisur ati all impor tanza dei beni Per maggiori informazioni: * * * Enrico Ferretti Angelo Piazzolla protiviti.it Protiviti Inc. Protiviti non è registrata come società di revisione e non fornisce opinioni su bilanci e servizi di attestazione.

DOCUMENTO PER LA CONSULTAZIONE. Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza

DOCUMENTO PER LA CONSULTAZIONE. Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza DOCUMENTO PER LA CONSULTAZIONE Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza Osservazioni potranno essere formulate entro il 12 novembre 2010, trasmettendole a Banca d

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

Nuove regole nel mercato dei servizi di pagamento: concorrenza, cooperazione e ruolo della banca centrale

Nuove regole nel mercato dei servizi di pagamento: concorrenza, cooperazione e ruolo della banca centrale Nuove regole nel mercato dei servizi di pagamento: concorrenza, cooperazione e ruolo della banca centrale Torino, 30 settembre 2011 Gino Giambelluca- Banca d Italia Servizio Supervisione sui mercati e

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT Security Verification Standard Framework BANCOMAT Veronica Borgogna Consorzio BANCOMAT 0 L assioma della sicurezza Le perdite derivano da eventi dannosi, ossia fenomeni indesiderati accidentali o volontari

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Mobile Security: un approccio efficace per la sicurezza delle transazioni

Mobile Security: un approccio efficace per la sicurezza delle transazioni ry colors 0 39 118 146 212 0 0 161 222 60 138 46 114 199 231 201 221 3 Mobile Security: un approccio efficace per la sicurezza delle transazioni RSA Security Summit 2014 Paolo Guaschi Roma, 13 maggio 2014

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura

Dettagli

SAP Assure SAP Integrity Assure Tool

SAP Assure SAP Integrity Assure Tool Enterprise Fraud Application Risk Management Solution SAP Assure SAP Integrity Assure Tool Agenda Introduzione a SAP Assure Tool Suite Focus su Assure Integrity Presentazione di un caso pratico 1 I prodotti

Dettagli

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di:

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: 22-12-2009 1 Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: affidabilità dei processi elaborativi qualità delle informazioni prodotte

Dettagli

PCI DSS ISTRUZIONI OPERATIVE

PCI DSS ISTRUZIONI OPERATIVE PCI DSS ISTRUZIONI OPERATIVE ver febbraio 2014 COS E IL PCI SSC (SECURITY STANDARD COUNCIL) L'organizzazione è stata fondata da Visa, Inc., MasterCard Worldwide, American Express, Discover Financial Services

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Guida per i Commercianti

Guida per i Commercianti Account Information Security (Protezione dei Dati dei Clienti) Implementazione del programma Payment Card Industry Data Security Standards (PCI DSS) Guida per i Commercianti Argomenti Prossimo Chiudi Indice

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011)

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) www.skymeeting.net La sicurezza nel sistema di videoconferenza Skymeeting skymeeting è un sistema di videoconferenza web-based che utilizza

Dettagli

Azioni di sensibilizzazione della Clientela Corporate per un utilizzo sicuro dei servizi di Internet Banking

Azioni di sensibilizzazione della Clientela Corporate per un utilizzo sicuro dei servizi di Internet Banking Azioni di sensibilizzazione della Clientela Corporate per un utilizzo sicuro dei servizi di Internet Banking Giugno 2013 1/12 Premessa L Internet Banking è a oggi tra i servizi web maggiormente utilizzati

Dettagli

L A 1.B 2.C 3. per il governo dell IT in tempi di crisi. Allineamento al business Budget di spesa Compliance e sicurezza

L A 1.B 2.C 3. per il governo dell IT in tempi di crisi. Allineamento al business Budget di spesa Compliance e sicurezza L A 1.B 2.C 3. per il governo dell IT in tempi di crisi Allineamento al business Budget di spesa Compliance e sicurezza Crisi & Investimenti IT Information & Communication Technology Strategico Differenziante

Dettagli

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015 FLASH REPORT Il nuovo Intermediario Finanziario Unico Giugno 2015 Il 4 settembre 2010 è stato pubblicato in Gazzetta Ufficiale il D.Lgs. 141 del 13 agosto 2010, attuativo della Direttiva comunitaria n.

Dettagli

nova systems roma Services Business & Values

nova systems roma Services Business & Values nova systems roma Services Business & Values Indice 1. SCM: Security Compliance Management... 3 2. ESM: Enterprise Security Management... 4 3. IAM: Identity & Access Management... 4 4. IIM: Information

Dettagli

Esternalizzazione della Funzione Compliance

Esternalizzazione della Funzione Compliance Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

La gestione del processo di compliance applicato ai servizi di investimento. - Roma, 12 novembre 2010 -

La gestione del processo di compliance applicato ai servizi di investimento. - Roma, 12 novembre 2010 - La gestione del processo di compliance applicato ai servizi di investimento - Roma, 12 novembre 2010 - 2 Agenda Attività di Bancoposta Compliance in Bancoposta L applicazione ai servizi di investimento

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

La gestione del rischio di malfunzionamento dei sistemi informativi

La gestione del rischio di malfunzionamento dei sistemi informativi COMPRENDERE ED INTERPRETARE IL RISK MANAGEMENT: LA GESTIONE DEI RISCHI OPERATIVI NEGLI INTERMEDIARI FINANZIARI NELLA PROSPETTIVA DEGLI ORGANI DI GESTIONE E CONTROLLO La gestione del rischio di malfunzionamento

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012 Banca Popolare di Sondrio Fondata nel

Dettagli

L analisi del fenomeno delle frodi informatiche nel settore bancario italiano

L analisi del fenomeno delle frodi informatiche nel settore bancario italiano L analisi del fenomeno delle frodi informatiche nel settore bancario italiano La convenzione ABI Polizia di Stato per la costruzione di una piattaforma tecnologica per lo scambio reciproco di alert Romano

Dettagli

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi

FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi Approvate dal Consiglio di Amministrazione in data 17 aprile 2014 Linee di Indirizzo del SCIGR 1. Premessa Il Sistema di

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

La Sicurezza Informatica nella Pubblica Amministrazione

La Sicurezza Informatica nella Pubblica Amministrazione Ernst & Young Technology and Security Risk Services per gli Organismi Pagatori Regionali Firenze, 12 giugno 2003 La Sicurezza Informatica nella Pubblica Amministrazione 1 La Sicurezza Informatica nella

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

La gestione del rischio legale, reputazionale e strategico

La gestione del rischio legale, reputazionale e strategico LA GESTIONE DEI RISCHI OPERATIVI E DEGLI ALTRI RISCHI La gestione del rischio legale, reputazionale e strategico Nicola d Auria TMF Compliance (Italy) 26 giugno 2012 - Milano S.A.F. SCUOLA DI ALTA FORMAZIONE

Dettagli

La gestione del rischio controparti

La gestione del rischio controparti Risk Assurance Services www.pwc.com/it La gestione del rischio controparti Un esigenza da presidiare per la tutela della reputazione e del valore aziendale La reputazione è un asset strategico da valorizzare,

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l.

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l. TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI N. 1559 UNI EN ISO 9001:2008 PLENUM Consulting Group S.r.l. Via San Quintino, 26/A 10121 TORINO -ITALY Tel +39 011 812 47 05 Fax +39 011 812 70 70 E-mail: plenum@plenum.it

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI: IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria

Dettagli

Come preveniree contrastarele frodisu Internet e Mobile Banking

Come preveniree contrastarele frodisu Internet e Mobile Banking Banking Analytics Customer Analytics e Fraud Management Milano, 13 maggio 2014 Come preveniree contrastarele frodisu Internet e Mobile Banking Monica Pellegrino Research Analyst, ABI Lab Consorzio ABI

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia, JTC1/SC27 ISO/IEC ISECOM Deputy Director of Communications Membro di CLUSIT, ITSMF, AIIC, ISACA Roma

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

Allegato 2. Scheda classificazione delle minacce e vulnerabilità Allegato 2 Scheda classificazione delle minacce e vulnerabilità LEGENDA In questa tabella si classificano le minacce per tipologia e si indica l impatto di esse sulle seguenti tre caratteristiche delle

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 Tel: 0287186784 Fax: 0287161185 info@conformisinfinance.it pec@pec.conformisinfinance.it www.conformisinfinance.it Obiettivi

Dettagli

Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008

Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008 Gestione dell emergenza nel processo di integrazione SIA-SSB Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008 sia ssb 2008 Agenda Il Gruppo SIA-SSB - Aree di Business La struttura di Risk

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

Gestione Operativa e Supporto

Gestione Operativa e Supporto Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per

Dettagli

L Infrastruttura CBI tra sicurezza ed efficienza

L Infrastruttura CBI tra sicurezza ed efficienza L Infrastruttura CBI tra sicurezza ed efficienza Ivana Gargiulo Project Manager Standard e Architettura Consorzio CBI Milano, 14 ottobre 2013 Luogo, Data Evoluzione e ruolo del Consorzio CBI 1995 2001

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

Soluzioni integrate. ccredit rapido, semplice e affidabile

Soluzioni integrate. ccredit rapido, semplice e affidabile Payment Services Soluzioni integrate ccredit rapido, semplice e affidabile Una soluzione basata su software per punti vendita di partner commerciali nazionali e paneuropei 2 ccredit di SIX Un innovativa

Dettagli

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007 Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle

Dettagli

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ISMS OR / RESPONSABILI

Dettagli

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING Il servizio, fornito attraverso macchine server messe

Dettagli

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI 66 Allegato A Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI Gli organi aziendali assumono un ruolo fondamentale per la definizione di

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità FLASH REPORT Nuove disposizioni di vigilanza prudenziale per le banche: principali novità Luglio 2013 Il 2 luglio 2013 la Banca d Italia, all esito dell attività di consultazione avviata nel mese di settembre

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL Innovare e competere con le ICT: casi di successo - PARTE II Cap.11

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Nessuna memorizzazione, elaborazione o trasmissione dati di titolari di carte in formato elettronico

Dettagli

PROGETTO SECURITY ROOM

PROGETTO SECURITY ROOM 1 PROGETTO SECURITY ROOM 13 marzo 2009 La Security Room nel modello di sicurezza aziendale 2 IL MODELLO DI RIFERIMENTO BUSINESS CONTINUITY BUSINESS RESILIENCY SICUREZZA Da approccio reattivo ad approccio

Dettagli

DIVISIONE INFORMATICA FORENSE E SICUREZZA

DIVISIONE INFORMATICA FORENSE E SICUREZZA DIVISIONE INFORMATICA FORENSE E SICUREZZA Divisione Informatica Forense e Sicurezza DIFS La Divisione Informatica Forense e Sicurezza (DIFS) dell'agenzia, avvalendosi di un team di esperti, offre servizi

Dettagli

Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo. 14 Aprile 2011

Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo. 14 Aprile 2011 Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo 14 Aprile 2011 LA COMPLIANCE : DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO 1. Il tema della

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013 Assetti Organizzativi, di Controllo e Risk Governance nei Confidi Firenze, 28 Febbraio 2013 Indice ß Introduzione ß Assetti Organizzativi ß Sistema dei Controlli Interni ß Risk Governance ß Conclusioni

Dettagli

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI INDICE B.1 DESTINATARI DELLA PARTE SPECIALE E PRINCIPI GENARALI DI COMPORTAMENTO... 3 B.2 AREE POTENZIALMENTE A RISCHIO E PRINCIPI DI

Dettagli

D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati

D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati INFORMATION RISK MANAGEMENT D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati Convegno AIEA Roma, 3 marzo 2010 ADVISORY Agenda Introduzione Il D.Lgs. 231/2001 I reati informatici

Dettagli