Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010"

Transcript

1 Insight N. 31 Ottobre I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento Nel 27 il Parlamento Europeo ha emesso la Direttiva 27/64/CE, nota anche come PSD (Payment Services Directive), che nasce dall esigenza di armonizzare il quadro giuridico che regolamenta i servizi di pagamento, in precedenza frammentato in 27 ordinamenti nazionali. La coesistenza di disposizioni nazionali con un quadro giuridico comunitario incompleto ha determinato un sistema articolato e non strutturato, rallentando i processi di crescita e riducendo le opportunità per gli operatori non specializzati, che la Direttiva definisce Payment Institutions. L introduzione di una Direttiva europea dovrebbe, infatti, consentire agli operatori di sfruttare in misura maggiore la propria rete distributiva per raggiungere quella parte di clientela detta non bancarizzata, offrendo un insieme di servizi quali domiciliazione delle bollette, accredito dello stipendio, finanziamenti a breve, nonché emettendo carte di pagamento. Lo sviluppo di tali opportunità richiede un rafforzamento organizzativo, culturale e tecnologico secondo quanto previsto dai tre pilastri della Direttiva: 1. il presidio di un contesto favorevole all aumento della concorrenza, garantendo parità di condizioni agli operatori; 2. il presidio della trasparenza, condizione fondamentale per gli attori del mercato; 3. il presidio della sicurezza, soprattutto logica, al fine di mitigare i rischi operativi e di compliance. Quest ultimo punto rappresenta uno degli aspetti principali del Provvedimento di Banca d Italia Attuazione del Titolo II del Decreto Legislativo n. 11 del 27 gennaio relativo ai servizi di pagamento (diritti ed obblighi delle parti), essendo il D. Lgs. 11/ lo strumento che recepisce in Italia la Direttiva. Il Provvedimento è stato emesso a Settembre come documento di consultazione, da consolidarsi entro Novembre. La Sezione IV del Provvedimento prevede, infatti, che tutti i Prestatori di Servizi di Pagamento (PSP) siano sottoposti all obbligo generale di assicurare, per gli strumenti di pagamento offerti alla clientela, adeguati profili tecnico-organizzativi di sicurezza, al fine di garantire in ogni momento il regolare funzionamento del sistema dei pagamenti, nonché la fiducia degli utilizzatori nel ricorso ai servizi compresi nel contesto di applicazione del D. Lgs. 11/. Il Provvedimento di Banca d Italia ribadisce la generale esigenza di maggior sicurezza nei sistemi di pagamento nelle loro varie forme (POS, online, etc.), ormai manifestata ripetutamente da parte sia degli utenti sia dei gestori. Tale Provvedimento si affianca e si allinea a standard già esistenti, come PCI Data Security Standard, Payment Application Data Security Standard e PIN Transaction Security, aventi lo scopo di definire i principali requisiti di sicurezza per i servizi e i sistemi di pagamento. Il Provvedimento di Banca d Italia prevede infatti dei principi comuni con gli standard sopra individuati, quali: la definizione di un processo per la gestione strutturata dei rischi di sicurezza; l identificazione di specifici requisiti tecnologici per l infrastruttura di sicurezza; l esecuzione di assessment periodici per la verifica dell efficacia del modello di sicurezza implementato. 1 protiviti.it

2 I contenuti del Provvedimento di Banca d Italia Il Provvedimento stabilisce che i prestatori di servizi di pagamento assicurino, per l esercizio delle proprie attività, soluzioni tecniche presidiate da opportuni processi di gestione delle minacce tecnologiche, tra le quali: vulnerabilità delle reti di telecomunicazione; debolezza del sistema dei controlli e delle misure di sicurezza; tentativi di frode; attacchi da parte di soggetti esterni e sabotaggi; malfunzionamenti nei sistemi e nei processi informatizzati interni; difetti delle procedure software e dei sistemi operativi; guasti dei componenti hardware insufficiente capacità dei sistemi di elaborazione e trasmissione. Presupposto fondamentale per tale presidio è che i prestatori di servizi di pagamento si dotino di un adeguato e robusto processo di gestione dei rischi, che permetta di identificare, valutare, misurare, monitorare e mitigare le minacce di natura tecnologica. Tale processo deve risultare parte integrante del processo più ampio di gestione dei rischi a livello aziendale e deve comportare la definizione di: un adeguato insieme di presidi di sicurezza logica e fisica per i sistemi informativi; un efficace processo di controllo interno; un appropriato piano di continuità operativa; una gestione dei rapporti contrattuali con i fornitori esterni coerente con i vincoli posti a carico dei PSP; una periodica esecuzione di verifiche teoriche e pratiche delle vulnerabilità tecniche dei sistemi. Congiuntamente al Provvedimento, è stato sottoposto a consultazione il documento Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza, che fornisce ai prestatori di servizi di pagamento le specifiche degli strumenti di più elevata qualità sotto il profilo della sicurezza, il ricorso ai quali offre maggiori tutele sia all utilizzatore sia al PSP, in quanto essi garantiscono presidi di sicurezza forti orientati a: ridurre le frodi; inibire i furti di identità; prevenire i fenomeni di riciclaggio; salvaguardare i dati dell utilizzatore. I requisiti degli strumenti Il documento declina nel dettaglio i requisiti tecnico-organizzativi che determinano i presidi di sicurezza rafforzati e il relativo perimetro di applicazione. Mentre gli strumenti di pagamento che consentono transazioni di importo fino a 1 euro al giorno sono ritenuti a sicurezza intrinseca (conformità semplificata), particolari misure sono previste per gli strumenti di pagamento che consentono transazioni per importi superiori al massimale giornaliero di 1 euro. Tali sistemi possono essere qualificati a maggior sicurezza quando sono soddisfatti i requisiti contenuti nella tabella seguente: 2 protiviti.it

3 Processo di gestione e mitigazione dei rischi di sicurezza Deve essere definito un processo di gestione dei rischi di sicurezza, che permetta di identificare, valutare, misurare, monitorare e mitigare le minacce di natura tecnologica. Esso deve portare alla realizzazione di un insieme di misure di sicurezza e di controlli appropriati, in grado di assicurare gli obiettivi di confidenzialità, integrità e disponibilità dei sistemi informativi e dei dati ad essi associati. Autenticazione a 2 fattori L autenticazione dell utente deve avvenire utilizzando due o più fattori di autenticazione, che devono essere tra loro indipendenti, in maniera che la compromissione dell uno non comprometta anche l altro. Ad esempio, nel caso in cui un utente disponga di una password e di una smart card per l accesso ad un sistema di pagamento, l autenticazione può deve avvenire esclusivamente con l uso combinato dei due fattori, rendendo di conseguenza inutile la violazione di uno solo. Autenticazione PSP Lo strumento di pagamento deve autenticare in maniera sicura il dispositivo di pagamento del PSP con il quale interagisce, al fine di evitare che l utilizzatore consegni le proprie credenziali ed i propri dati a dispositivi non autorizzati (es: autenticazione POS/ATM verso la carta, autenticazione del server Web della banca verso il PC dell utente). Transazioni on-line Le transazioni di importo superiore a 5 euro, devono essere autorizzate on-line attraverso il server centrale del PSP. Crittografia end-to-end La trasmissione di credenziali e dati personali dal dispositivo dell utilizzatore fino al punto di verifica del PSP deve essere effettuata attraverso canali con cifratura, che garantiscano la sicurezza da un capo all altro della trasmissione. Nel caso la tecnologia scelta dal PSP richieda che tali dati siano rimessi in chiaro su dispositivi intermedi, ciò deve avvenire all interno di dispositivi sicuri. Autorizzazione singola transazione Nel caso di più transazioni dispositive nell ambito della stessa sessione (es: per Internet banking), ogni transazione deve essere autorizzata singolarmente. Canale out-of-band Lo strumento di pagamento deve mettere a disposizione un canale, differente da quello utilizzato usualmente per le transazioni, attraverso il quale l utilizzatore è informato delle transazioni avvenute (es: SMS, , pagine web riservate). Tale funzionalità deve essere resa disponibile all utente e attivata a sua discrezione. Software download/upgrade Deve essere impedito lo scarico di aggiornamenti software per lo strumento di pagamento in possesso dell utilizzatore, a meno che non siano previsti metodi sicuri per la trasmissione del software dal server del PSP al terminale dell utente. Apertura e gestione conto di pagamento In caso di attivazione on-line di uno strumento di pagamento nominativo, il PSP deve garantire adeguati controlli per minimizzare il rischio che frodatori possano dare false generalità. Meccanismi di autenticazione affidabili e diversi da quelli utilizzati nelle transazioni dispositive devono essere usati per la gestione dello strumento di pagamento (es: remissione PIN/password, variazione generalità utilizzatore, variazione limiti di spesa). Il PSP deve garantire che non sia possibile ottenere le credenziali di autenticazione dell utilizzatore per l esecuzione delle transazioni dalla intercettazione delle comunicazioni periodiche tra PSP e utilizzatore (es: estratti conto via posta, o SMS). Monitoraggio transazioni inusuali Il titolare delle funzionalità di pagamento deve adottare efficaci meccanismi di sicurezza in grado di rilevare tempestivamente attività sospette o inusuali, potenzialmente riconducibili ad azioni illecite di frode o riciclaggio, quali: ripetute transazioni di trasferimento fondi eseguite entro un ristretto periodo di tempo verso lo stesso beneficiario e per importi prossimi ai massimali consentiti; cambio di indirizzo richiesto dell utente, al quale fa seguito a stretto giro la richiesta di remissione di PIN/password, da consegnare attraverso servizio postale; innalzamento dei massimali richiesti dall utente, al quale fa seguito una improvvisa movimentazione di fondi verso controparti inusuali. In tali casi, il PSP deve verificare prontamente con l utilizzatore la legittimità di tali transazioni. 3 protiviti.it

4 L assessment indipendente Il Provvedimento di Banca d Italia prevede che la conformità ai requisiti di sicurezza specifici sia dimostrata attraverso un assessment sul servizio di pagamento, svolto da un soggetto terzo indipendente e qualificato (Assessor). L Assessor deve essere in grado di: dimostrare esperienza e competenza nel settore per poter eseguire la valutazione; assicurare imparzialità, risultando indipendente dai soggetti che sviluppano o operano i servizi di pagamento. I rapporti di valutazione devono attestare la conformità ai requisiti definiti nel Provvedimento e in particolare: l esistenza di un efficace processo di risk management; l adeguatezza dei presidi di sicurezza (tra cui quelli specifici) implementati. L efficacia dei presidi deve essere verificata anche con approfondimenti tecnici mediante vulnerability assessment o penetration test sulle aree a maggior rischio; il numero e la tipologia delle violazioni di sicurezza perpetrate nel periodo di riferimento della analisi. Il rapporto di valutazione deve essere rivisto periodicamente in caso di sostanziali variazioni e in presenza di significativi aggiornamenti della struttura tecnico-organizzativa del servizio di pagamento. L approccio Protiviti Protiviti, gruppo multinazionale di consulenza direzionale, leader nell analisi e progettazione di modelli per la gestione del rischio, ha sviluppato un offerta di servizi specializzati nell ambito dell Information Security e della Compliance, differenziata in base alle esigenze specifiche dei diversi settori in cui opera (tra i quali il settore delle istituzioni finanziarie è uno dei più rilevanti) e ha sviluppato una metodologia di assessment consolidata rispetto alle principali normative in vigore e standard di sicurezza di mercato. STANDARD E BEST PRACTICE ISO 271 PCI - DSS BS / BS COBIT NORMATIVE Privacy T.U.F. Antiriciclaggio Istruzioni di Vigilanza Banca d Italia d Relativamente allo standard PCI - DSS, Protiviti ha sviluppato una solution dedicata alle aziende che gestiscono dati di titolari di carte di credito, volta a realizzare programmi di compliance e verificarne l efficacia. Inoltre Protiviti dispone delle seguenti qualifiche PCI: PCI Security Council, Approved Scanning Vendor; PCI Security Council, Qualified Security Assessor; Visa, Qualified Payment Application Security Company. 4 protiviti.it

5 Definizione di un processo che preveda dei momenti di allineamento e confronto tra i responsabili aziendali dei diversi aspetti della sicurezza. Definizione di un piano di crescita dell organico dell U.O. Sistemi Informativi. I II III IV I II III IV Diffusione della cultura della sicurezza delle informazioni 6% all interno di Roma Metropolitane. 52% 5% Definizione di politiche e procedure di sicurezza. 4% Avvio ed attuazione di un programma di formazione sulla sicurezza per i tecnici e per resto del personale. Avvio ed esecuzione di attività periodiche di Audit interno sulla sicurezza. Avvio ed esecuzione di attività periodiche di Vulnerability Assessment. Realizzazione di processi e strumenti automatici per la gestione delle configurazioni e dei cambiamenti dell infrastruttura IT e delle applicazioni. Realizzazione di interventi per la separazione degli ambienti nelle sedi periferiche e revisione dell impianto elettrico nella sala server d Via Tuscolana. Bonifica delle vulnerabilità tecniche sui sistemi server e client. Realizzazione della soluzione di Disaster Recovery sulla base dei requisiti definiti. Realizzazione di strumenti per il monitoraggio e la correlazione degli eventi di sicurezza a supporto della gestione degli incidenti. Definizione del Piano di Business Continuity. 1% 9% 8% 7% 3% 2% 1% % 11% 45% 2% 12% 11% Situazione 21 Situazione 22 Situazione 25 Situazione 54% 31% 58% Sfruttando le proprie esperienze, Protiviti è in grado di supportare i PSP mediante l esecuzione dell Assessment Indipendente, secondo quanto previsto dal Provvedimento di Banca d Italia. Definizione del perimetro Esecuzione analisi Analisi di approfondimento Risultati assessment Piano interventi ATTIVITA Definizione del perimetro di analisi e delle componenti coinvolte (sistemi, reti, apparati, dispositivi, strutture organizzative). Pianificazione attività. Valutazione del processo di gestione del rischio in essere, analizzando e verificando i presidi di sicurezza implementati. Gap Analysis relativa ai presidi di sicurezza implementati mediante analisi documentale, interviste, verifiche sul campo. Esecuzione delle attività di approfondimento sulle aree di maggiore rischio attraverso attività di vulneraribility assessment e penetration testing. Formalizzazione dei risultati della valutazione, evidenziando le implicazioni sulla sicurezza del servizio di pagamento offerto. Stima dei livelli di rischio residuo. Identificazione delle raccomandazioni rispetto ai gap a alle aree di miglioramento identificati. Definizione del piano degli interventi, in funzione delle priorità individuate. Protiviti ha inoltre sviluppato e consolidato una propria metodologia di governo della sicurezza per supportare le realtà che hanno l esigenza di avviare un programma di miglioramento della sicurezza, eventualmente finalizzato alla compliance con normative o standard quali quello definito nel Provvedimento. Risk Assessment Analisi dello stato della sicurezza Gestione del Rischio Monitoraggio del rischio ATTIVITA Classificazione delle aree di rischio Identificazione dei rischi specifici Valutazione dell impatto e della probabilità di tali rischi sui processi Identificazione dei controlli Gap Analysis dei controlli ed assegnazione del livello di copertura a ciascun requisito Assegnazione del livello di maturità a ciascun controllo Identificazione delle contromisure Definizione del piano degli interventi suggeriti in funzione delle priorità individuate Monitoraggio nel tempo dei rischi individuati e degli indicatori di rischio di sicurezza chiave DELIVERABLES Risk Assessment Report ICT Security Baseline Gap Analysis ICT Security Baseline Maturity Model Gestione dei beni Responsabilità per i beni Inventario dei beni Un organizzazione dovrebbe identificare tutti i beni e documentarne l importanza. L inventario dei beni dovrebbe comprendere tutte le infor mazioni necessar ie per r iprendersi da un disastro, compresi: tipo di bene, formato, ubicazione, informazioni di back up, informazioni sulla licenza e anche un valore aziendale. L inventar io non dovrebbe duplicare altr i inventari se non ce n è bisogno, ma si dovr ebbe f ar sì che i contenuti siano allineati. Si dovrebbero concordare e documentare la responsabilità e la classificazione per ognuno dei beni. Basandosi sull importanza del bene, sul suo valore aziendale e sulla sua classificazione di sicurezza, si dovrebbero identificare livelli di protezione commisurati all importanza dei beni Obiettivo: conseguire e mantenere una protezione appropr iata dei beni dell'organizzazione. Controllo: si devono identificare chiaramente tutti i beni e si dovrebbe redigere e mantenere un inventario di tutti i beni impor tanti. 1 Gestione dei beni Responsabilità per i beni Inventario dei beni Obiettivo: conseguir e e mantenere una protezione appr opriata dei beni dell'or ganizzazione. Controllo : si devono identificare chiaramente tutti i beni e si dovrebbe redigere e mantener e un inventario di tutti i beni importanti. 1 Piano degli Interventi Evoluzione dei valori della sicurezza ICT 37% 35% 34% Indicatori e analisi dei trend Un organizzazione dovrebbe identificar e tutti i beni e documentarne l importanza. L inventario dei beni dovrebbe comprendere tutte le informazioni necessarie per r iprendersi da un disastro, compresi: tipo di bene, formato, ubicazione, inf ormazioni di back up, informazioni sulla licenza e anche un valor e aziendale. L inventar io non dovr ebbe duplicare altri inventari se non ce n è bisogno, ma si dovrebbe far sì che i contenuti siano allineati. Si dovrebbero concordare e documentare la responsabilità e la classificazione per ognuno dei beni. Basandosi sull importanza del bene, sul suo valor e aziendale e sulla sua classificazione di sicur ezza, si dovrebber o identificare livelli di protezione commisur ati all impor tanza dei beni Per maggiori informazioni: * * * Enrico Ferretti Angelo Piazzolla protiviti.it Protiviti Inc. Protiviti non è registrata come società di revisione e non fornisce opinioni su bilanci e servizi di attestazione.

DOCUMENTO PER LA CONSULTAZIONE. Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza

DOCUMENTO PER LA CONSULTAZIONE. Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza DOCUMENTO PER LA CONSULTAZIONE Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza Osservazioni potranno essere formulate entro il 12 novembre 2010, trasmettendole a Banca d

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Nuove regole nel mercato dei servizi di pagamento: concorrenza, cooperazione e ruolo della banca centrale

Nuove regole nel mercato dei servizi di pagamento: concorrenza, cooperazione e ruolo della banca centrale Nuove regole nel mercato dei servizi di pagamento: concorrenza, cooperazione e ruolo della banca centrale Torino, 30 settembre 2011 Gino Giambelluca- Banca d Italia Servizio Supervisione sui mercati e

Dettagli

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT Security Verification Standard Framework BANCOMAT Veronica Borgogna Consorzio BANCOMAT 0 L assioma della sicurezza Le perdite derivano da eventi dannosi, ossia fenomeni indesiderati accidentali o volontari

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Mobile Security: un approccio efficace per la sicurezza delle transazioni

Mobile Security: un approccio efficace per la sicurezza delle transazioni ry colors 0 39 118 146 212 0 0 161 222 60 138 46 114 199 231 201 221 3 Mobile Security: un approccio efficace per la sicurezza delle transazioni RSA Security Summit 2014 Paolo Guaschi Roma, 13 maggio 2014

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di:

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: 22-12-2009 1 Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: affidabilità dei processi elaborativi qualità delle informazioni prodotte

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

La gestione del rischio controparti

La gestione del rischio controparti Risk Assurance Services www.pwc.com/it La gestione del rischio controparti Un esigenza da presidiare per la tutela della reputazione e del valore aziendale La reputazione è un asset strategico da valorizzare,

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

PCI DSS ISTRUZIONI OPERATIVE

PCI DSS ISTRUZIONI OPERATIVE PCI DSS ISTRUZIONI OPERATIVE ver febbraio 2014 COS E IL PCI SSC (SECURITY STANDARD COUNCIL) L'organizzazione è stata fondata da Visa, Inc., MasterCard Worldwide, American Express, Discover Financial Services

Dettagli

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012 Banca Popolare di Sondrio Fondata nel

Dettagli

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015

FLASH REPORT. Il nuovo Intermediario Finanziario Unico. Giugno 2015 FLASH REPORT Il nuovo Intermediario Finanziario Unico Giugno 2015 Il 4 settembre 2010 è stato pubblicato in Gazzetta Ufficiale il D.Lgs. 141 del 13 agosto 2010, attuativo della Direttiva comunitaria n.

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007 Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

L Infrastruttura CBI tra sicurezza ed efficienza

L Infrastruttura CBI tra sicurezza ed efficienza L Infrastruttura CBI tra sicurezza ed efficienza Ivana Gargiulo Project Manager Standard e Architettura Consorzio CBI Milano, 14 ottobre 2013 Luogo, Data Evoluzione e ruolo del Consorzio CBI 1995 2001

Dettagli

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE Maggio 2006 1 La costituzione dell Audit Interno La rivisitazione del modello per i controlli di regolarità amministrativa e contabile è stata

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 3 Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 1. Premessa Il Sistema di Controllo Interno e di Gestione dei Rischi di Fiat S.p.A. (la Società ) costituisce elemento

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

Evidenziare le modalità con le quali l azienda agrituristica produce valore per i clienti attraverso la gestione dei propri processi.

Evidenziare le modalità con le quali l azienda agrituristica produce valore per i clienti attraverso la gestione dei propri processi. 5. Processi Evidenziare le modalità con le quali l azienda agrituristica produce valore per i clienti attraverso la gestione dei propri processi. Il criterio vuole approfondire come l azienda agrituristica

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

La gestione e la prevenzione delle frodi esterne

La gestione e la prevenzione delle frodi esterne La gestione e la prevenzione delle frodi esterne Gianluigi Molinari Responsabile Ufficio Prevenzione Frodi Direzione Centrale Organizzazione e Sicurezza Roma 28/29 maggio 2012 Il fenomeno delle frodi è

Dettagli

L archivio di impresa

L archivio di impresa L archivio di impresa Mariella Guercio Università degli studi di Urbino m.guercio@mclink.it Politecnico di Torino, 25 novembre 2011 premessa L archivistica è una disciplina della complessità, aperta, basata

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo

Dettagli

CREDEMTEL. Credemtel S.p.A. Telese, 03/2015 CREDEMTEL

CREDEMTEL. Credemtel S.p.A. Telese, 03/2015 CREDEMTEL Credemtel S.p.A. Telese, 03/2015 Chi siamo è una società del Gruppo Bancario CREDEM, attiva dal 1989 nell offerta di servizi telematici a Banche, Aziende e Pubblica Amministrazione. 2 2 Presentazione Credemtel

Dettagli

Esternalizzazione della Funzione Compliance

Esternalizzazione della Funzione Compliance Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale

Dettagli

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196) Premessa

Dettagli

89588/15 Alle Imprese di assicurazione e riassicurazione con sede legale in Italia LORO SEDI

89588/15 Alle Imprese di assicurazione e riassicurazione con sede legale in Italia LORO SEDI SERVIZIO NORMATIVA E POLITICHE DI VIGILANZA Roma 28 luglio 2015 Prot. n. All.ti n. 89588/15 Alle Imprese di assicurazione e riassicurazione con sede legale in Italia Alle Imprese capogruppo e, p.c. Rappresentanze

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

Mappa dei rischi elaborata sulla base dell analisi del contesto e della valutazione dell ambiente di controllo

Mappa dei rischi elaborata sulla base dell analisi del contesto e della valutazione dell ambiente di controllo sulla base dell analisi del contesto e della valutazione dell ambiente di Pag. di NUMERO EDIZIONE DATA MOTIVAZIONE 6/09/204 Adozione ALLEGATO Mappa dei rischi ALLEGATO Mappa dei rischi elaborata sulla

Dettagli

La Funzione di Compliancein Banca. Nino Balistreri Consulente ABI Formazione

La Funzione di Compliancein Banca. Nino Balistreri Consulente ABI Formazione La Funzione di Compliancein Banca Nino Balistreri Consulente ABI Formazione Sommario L inquadramento normativo della funzione di compliance L ambito normativo di competenza Il processo di operativo 2 Banca

Dettagli

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida Convegno di studio La biometria entra nell e-government Le attività del CNIPA nel campo della biometria: le Linee guida Alessandro Alessandroni Cnipa alessandroni@cnipa.it Alessandro Alessandroni è Responsabile

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

Le linee guida ABI sull adeguatezza

Le linee guida ABI sull adeguatezza Le linee guida ABI sull adeguatezza La profilatura della clientela ai fini MiFID è il tema centrale delle Linee Guida ABI recentemente validate dalla Consob sull implementazione degli Orientamenti Esma

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

25 26 giugno 2014. Achille Sirignano Modelli di Risk Management di Security

25 26 giugno 2014. Achille Sirignano Modelli di Risk Management di Security UNI 10459 Achille Sirignano Security Manager eni S.p.A. A Responsabile Processi e Modelli di Risk Management di Security UNI 10459 1995 Definisce le funzioni essenziali e il profilo del professionista

Dettagli

L attività dell Internal Audit. G.M. Mirabelli

L attività dell Internal Audit. G.M. Mirabelli L attività dell Internal Audit G.M. Mirabelli Milano 13 ottobre 2006 Obiettivi della presentazione Evidenziare i compiti che nel nuovo Codice di autodisciplina sono assegnati all Internal Auditing, se

Dettagli

Sfrutta appieno le potenzialità del software SAP in modo semplice e rapido

Sfrutta appieno le potenzialità del software SAP in modo semplice e rapido Starter Package è una versione realizzata su misura per le Piccole Imprese, che garantisce una implementazione più rapida ad un prezzo ridotto. E ideale per le aziende che cercano ben più di un semplice

Dettagli

TAURUS INFORMATICA S.R.L. Area Consulenza

TAURUS INFORMATICA S.R.L. Area Consulenza TAURUS INFORMATICA S.R.L. Area Consulenza LA CONSULENZA Consulenza per Taurus è conciliare le esigenze di adeguamento normativo con l organizzazione dei processi aziendali, per aiutare i propri clienti

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa di ABIFormazione

GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa di ABIFormazione PERCORSO FORMATIVO Modulo 1 12-14 maggio 2014 Modulo 2 3-5 giugno 2014 PERCORSO DI APPROFONDIMENTO 12-13 giugno 2014 23-24 giugno 2014 GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

EXECUTIVE SUMMARY 4 1 INTRODUZIONE ERRORE. IL SEGNALIBRO NON È DEFINITO. 1.1 La metodologia descrittiva Errore. Il segnalibro non è definito.

EXECUTIVE SUMMARY 4 1 INTRODUZIONE ERRORE. IL SEGNALIBRO NON È DEFINITO. 1.1 La metodologia descrittiva Errore. Il segnalibro non è definito. Convergenza tra sicurezza fisica, logica e antifrode: analisi dei principali scenari di compromissione dei dispositivi ATM e degli strumenti tecnologici in dotazione a Poste Italiane S.p.A Mirella Ricci

Dettagli

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi PRIVACY E SICUREZZA LA PRIVACY DI QUESTO SITO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Tale politica

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Certificazione Ambientale ISO14001. Ottobre 2008

Certificazione Ambientale ISO14001. Ottobre 2008 ertificazione Ambientale ISO14001 Ottobre 2008 La certificazione ISO 14001 La certificazione ISO 14001 di un Sistema di gestione ambientale è la dichiarazione di un ente certificatore, accreditato dal

Dettagli

REGOLE DI COMPORTAMENTO

REGOLE DI COMPORTAMENTO REGOLE DI COMPORTAMENTO Missione e valori La Finprest Srl, agente in attività finanziaria con iscrizione BANCA D ITALIA nr. A7739, opera nel settore del credito al consumo mediante concessione di finanziamenti

Dettagli

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P. BOZZA D.P.S. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.iva Documento Programmatico sulla Sicurezza Indice finalità del documento inventario dei beni in dotazione

Dettagli

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali RESPONSABILITA D IMPRESA D.lgs. 231/01 L EVOLUZIONE DEI MODELLI ORGANIZZATIVI E DI GESTIONE 27 maggio 2014 ore 14.00 Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali Ing. Gennaro

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

PROFILO AZIENDALE 2011

PROFILO AZIENDALE 2011 PROFILO AZIENDALE 2011 NET STUDIO Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration, Application

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Nessuna memorizzazione, elaborazione o trasmissione dati di titolari di carte in formato elettronico

Dettagli

INFORMATIVA PER I CLIENTI

INFORMATIVA PER I CLIENTI INFORMATIVA PER I CLIENTI INFORMATIVA AI SENSI DELL'ART. 13 DEL D. LGS. 196/2003 ( Codice in materia di protezione dei dati personali o anche Codice Privacy ) I) Finalità e Modalità del trattamento cui

Dettagli

Direttiva di primo livello, 2004/39/CE, (MiFID) relativa ai mercati degli strumenti finanziari.

Direttiva di primo livello, 2004/39/CE, (MiFID) relativa ai mercati degli strumenti finanziari. Torniamo ai nostri lettori con una edizione del nostro Bollettino Informativo interamente dedicata alla nuova disciplina comunitaria che riguarda i mercati, gli strumenti finanziari ed i servizi di investimento:

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Modello dei controlli di secondo e terzo livello

Modello dei controlli di secondo e terzo livello Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI

Dettagli

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING Il servizio, fornito attraverso macchine server messe

Dettagli

Esperienze di analisi del rischio in proggeti di Information Security

Esperienze di analisi del rischio in proggeti di Information Security INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile

Dettagli

Organizzazione e aspetti organizzativi nella loro complessità gestionale esterna ed interna

Organizzazione e aspetti organizzativi nella loro complessità gestionale esterna ed interna Organizzazione e aspetti organizzativi nella loro complessità gestionale esterna ed interna Renato Cavallari Consigliere di Amministrazione 21 novembre 2012 LUISS Business School - Roma Agenda Profilo

Dettagli

Settembre 2015. MiFID II. I servizi di comunicazione dati: APA, ARM e CTP

Settembre 2015. MiFID II. I servizi di comunicazione dati: APA, ARM e CTP Settembre 2015 MiFID II. I servizi di comunicazione dati: APA, ARM e CTP Francesca Scacchi e Giuseppe Zaghini, Vigilanza su mercati e Servizi di Investimento, Federcasse La Direttiva 2014/65/UE (di seguito

Dettagli

Guida per i Commercianti

Guida per i Commercianti Account Information Security (Protezione dei Dati dei Clienti) Implementazione del programma Payment Card Industry Data Security Standards (PCI DSS) Guida per i Commercianti Argomenti Prossimo Chiudi Indice

Dettagli

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l.

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l. TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI N. 1559 UNI EN ISO 9001:2008 PLENUM Consulting Group S.r.l. Via San Quintino, 26/A 10121 TORINO -ITALY Tel +39 011 812 47 05 Fax +39 011 812 70 70 E-mail: plenum@plenum.it

Dettagli

CARTA DELLA QUALITÀ DELL OFFERTA FORMATIVA. 1.1 Politica della Qualità 3. 1.2 Responsabilità della Direzione 4

CARTA DELLA QUALITÀ DELL OFFERTA FORMATIVA. 1.1 Politica della Qualità 3. 1.2 Responsabilità della Direzione 4 CARTA DELLA QUALITÀ DELL OFFERTA FORMATIVA INDICE pag 1. LIVELLO STRATEGICO 3 1.1 Politica della Qualità 3 1.2 Responsabilità della Direzione 4 1.3 Organizzazione orientata al Cliente 4 1.4 Coinvolgimento

Dettagli

Obiettivi generali del revisore

Obiettivi generali del revisore Obiettivi generali del revisore Acquisire una ragionevole sicurezza che il bilancio nel suo complesso non contenga errori significativi, dovuti a frodi o a comportamenti o eventi non intenzionali, che

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

DOCUMENTO DI SINTESI ANALISI DEI RISCHI

DOCUMENTO DI SINTESI ANALISI DEI RISCHI SOLCO MANTOVA CONSORZIO DI COOPERATIVE SOCIALI - SOCIETA' COOP A.R.L. DOCUMENTO DI SINTESI ANALISI DEI RISCHI RELATIVO AL MODELLO DI ORGANIZZAZIONE GESTIONE E CONTROLLO AI SENSI DEL D.LGS 231/01 Documento

Dettagli

Allegato 5. Definizione delle procedure operative

Allegato 5. Definizione delle procedure operative Allegato 5 Definizione delle procedure operative 1 Procedura di controllo degli accessi Procedura Descrizione sintetica Politiche di sicurezza di riferimento Descrizione Ruoli e Competenze Ruolo Responsabili

Dettagli

Di Stefano Bonetto Auditor ed esperto UNI in materia di pianificazione ed educazione finanziaria

Di Stefano Bonetto Auditor ed esperto UNI in materia di pianificazione ed educazione finanziaria Welfare comunitario e normazione tecnica Di Stefano Bonetto Auditor ed esperto UNI in materia di pianificazione ed educazione finanziaria L obiettivo di queste note è semplice, vogliamo fornire informazioni

Dettagli