ICT Security & Privacy

Transcript

1 n.1 ICT Security & Privacy Incidenti di sicurezza: esperienza, gestione, notifica e legislazione di riferimento

2 INTRODUZIONE Security Breach Notification Reati di Criminalità Informatica (ex D.Lgs. n. 231/2001) PCI-DSS: Payment Card Industry Data Security Standard Direttiva UE per la protezione delle infrastrutture critiche...16

3 Introduzione Le moderne società operano in un contesto di mercato dinamico e globale che le ha portate ad evolvere i propri modelli di business. Al centro di questa trasformazione ci sono le informazioni, sempre più essenziali per una gestione proattiva di clienti e fornitori; i dati opportunamente aggregati e correlati dai sistemi di Business Intelligence sono utili per la progettazione e la vendita di prodotti servizi e sono necessari per comprendere i trend di mercato di medio e lungo periodo. La protezione dei dati e quindi un elemento centrale nella gestione integrata alla sicurezza basata su un attento presidio di processi, persone, infrastrutture e tecnologia. Un approccio integrato alla sicurezza e più in generale alla compliance non può prescindere da un puntuale processo di detection, monitoraggio e gestione degli incidenti di sicurezza, compresi quelli di tipo informatico. La gestione degli incidenti informatici e diventata quindi oggetto di discussione e dibattito non solo nel mondo delle imprese private ma anche di quelle pubbliche e degli enti regolatori a livello nazionale ed internazionale. Questo quaderno ha un duplice obiettivo; da una parte riassumere e sistematizzare la normativa gia in vigore per permettere una rapida consultazione a tutti i soci, dall altro inserire una descrizione delle normative in fase di approvazione a livello italiano ed internazionale che avranno un sicuro impatto sugli aspetti strategici, di governance e operativi della Security Aziendale. Il quaderno vuole quindi essere una guida per tutti i colleghi che debbono rapidamente conoscere requisiti normativi e best practices relative alla gestione e notifica degli incidenti di sicurezza che coinvolgono le informazioni. Autori del Quaderno Corradino Corradi e Michele Fabbri, Rocco Mammoliti e Emanuela Negro, Raoul Savastano e Andrea Mariotti, Vodafone Italia Telecom Italia Ernst & Young - Italia Un ringraziamento particolare a tutti i membri del gruppo di lavoro AIPSA sul tema ICT Security & Privacy che hanno contribuito agli approfondimenti ed alle analisi utili per la stesura di questo quaderno. GDL AIPSA - ICT SECURITY & PRIVACY Corradino Corradi Vodafone Italia Rocco Mammoliti Telecom Italia Raoul Savastano Ernst & Young Italia Elisabettta Longhi Crif Luca Rizzo Fastweb Angelo Berghella ACEA Massimo Cottafavi Reply Pasquale Mancino Alenia Aeronautica Eduardo Parisi Sicuritalia Questa pubblicazione è stata stampata grazie al contributo di Spike Reply AIPSA ICT Security & Privacy 1

4 1 Security Breach Notification Normative e procedure di gestione e notifica di eventi di data breach La diffusione del cybercrime a livello internazionale e la continua evoluzione dei mercati, degli obiettivi e delle tecniche di attacco rendono il fenomeno di difficile contrasto. Se fino al 2008 gli obiettivi dei criminali sono state le banche dati e i dati personali dei consumatori, nel 2009 gli attacchi avevano l obiettivo principale di sottrarre PIN e altri dati di accesso a servizi finanziari (es. conti correnti, carte di pagamento). I Clienti che rimangono vittima di una violazione dei propri dati personali hanno il diritto di essere informati su tali abusi, hanno il diritto ad avere informazioni sulle cause e sulle carenze di sicurezza che hanno favorito tali eventi e, soprattutto, sulle azioni che tutti gli attori in causa possono svolgere per mitigare gli impatti ed evitare che accadano nuovamente tali violazioni. 2 AIPSA ICT Security & Privacy

5 1.1 La normativa In America In molti stati americani la normativa sul Security Breach Notification è già operativa da diversi anni. Ad es., la California Security Breach Notification Law (SB 1396), in vigore dal 2003, sancisce il diritto per i cittadini di essere informati tempestivamente sulle violazioni dei loro dati personali e di essere istruiti e guidati nell applicazione delle misure di prevenzione e contrasto. La legge californiana ha avuto diffusione in quasi tutti gli Stati Uniti diventando uno stimolo per le aziende ad investire in sicurezza per utilizzare e proteggere i dati personali, migliorando l affidabilità dei fornitori di servizi. In Europa Il 13 novembre 2007 la Commissione della Comunità Europea ha presentato una proposta di modifica della direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche includendo: obbligo di notifica delle violazioni di sicurezza che comportano la perdita dei dati personali degli utenti o compromettono i dati stessi; rafforzamento delle disposizioni di attuazione relative alla sicurezza delle reti e delle informazioni; rafforzamento delle disposizioni di attuazione e controllo per far sì che, a livello dei singoli Stati membri, siano disponibili misure sufficienti di lotta nei confronti dei messaggi di posta elettronica indesiderata; precisazione che la direttiva si applica anche alle reti di comunicazione pubblica che supportano i dispositivi di raccolta dati e di identificazione. La proposta di modifica renderebbe operativo, nell ordinamento giuridico comunitario, un meccanismo analogo a quello già in vigore negli Stati Uniti previsto dalla California Security Breach Notification Law (SB 1396), anche se in ambito più ristretto, applicandosi soltanto ai fornitori di servizi di comunicazione accessibili al pubblico. Il Garante Europeo per la Privacy è intervenuto con un suo parere (2008/C 181/01) in cui ha espresso un giudizio globalmente positivo. Il 25 novembre 2009 è stata quindi emanata la direttiva 2009/136/CE recante importanti modifiche alla direttiva 2002/58/CE dirette a rafforzare la tutela della vita privata e della riservatezza dei dati attraverso un complesso di disposizioni più rigoroso in materia di sicurezza e meccanismi di controllo. In Italia In estrema sintesi si può rappresentare lo stato dell arte in Italia sul Data Breach come segue: c è l obbligo di notificazione ai Clienti dei data breaches occorsi nell esercizio di servizi di comunicazione elettronica (Dir. 2009/136/CE); vi sono diverse considerazioni ed orientamenti in favore di un estensione di tale obbligo a settori diversi dalle TLC (ad es. mondo bancario); il Garante Privacy italiano sta lavorando per recepire nel sistema normativo nazionale l obbligo di notificazione dei data breaches, ed è possibile che venga adottato un Provvedimento specifico. Gruppo AIPSA di lavoro ICT ICT Security Security & Privacy & Privacy 3

6 Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazione non autorizzata o laccesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notificarla allautorità nazionale. 1.2 Le novità introdotte dalla normativa europea sul Security Breach Notification Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico, oltre ad istituire una politica di sicurezza per il trattamento di dati personali, deve mettere in atto regolarmente le misure di: monitoraggio; prevenzione; correzione; attenuazione. Le autorità nazionali, al fine di difendere gli interessi dei cittadini, devono assicurare un elevato livello di protezione dei loro dati personali e della loro vita privata. Devono dotarsi pertanto di mezzi necessari per: disporre dei dati completi ed affidabili sugli incidenti di sicurezza che hanno compromesso i dati personali degli utenti; controllare le misure adottate dai fornitori; diffondere le best practices tra i fornitori. Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazione non autorizzata o l accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notificarla all autorità nazionale competente includendo: informazioni di dettaglio sulla violazione; le conseguenze della violazione; le misure proposte o adottate per porvi rimedio. 4 AIPSA ICT Security & Privacy

7 Saranno previste misure tecniche di attuazione riguardanti le circostanze, il formato, le procedure applicabili alle prescrizioni in materia di informazioni e comunicazioni ma che tengano conto anche degli interessi legittimi delle autorità giudiziarie e di polizia nei casi in cui una diffusione prematura rischi di ostacolare inutilmente l indagine sulle circostanze della violazione stessa. Il fornitore, pertanto, dovrà tenere una documentazione delle violazioni dei dati personali al fine di permettere l ulteriore analisi e valutazione da parte delle autorità nazionali competenti. Quando la violazione rischia di pregiudicare i dati personali o la vita privata di una persona, il fornitore deve darne comunicazione alla persona interessata. La comunicazione deve includere: la descrizione della natura della violazione; i contatti per ottenere maggiori informazioni; le misure raccomandate per attuare i possibili effetti pregiudizievoli della violazione. Se il fornitore dimostra all autorità di aver utilizzato tutte le opportune misure tecnologiche di protezione, non ha l obbligo della notifica all utente a meno che l autorità, valutando le ripercussioni negative della violazione stessa, obblighi il fornitore a farlo. Il mancato rispetto dell obbligo di comunicazione comporta provvedimenti o sanzioni specifiche. Quando la violazione rischia di pregiudicare i dati personali o la vita privata di una persona, il fornitore deve darne comunicazione alla persona interessata. Il mancato rispetto dellobbligo di comunicazione comporta provvedimenti o sanzioni specifiche. Non è ancora nota la data a partire dalla quale sarà obbligatorio in Italia il Security Breach Notification, che comunque non dovrebbe essere oltre i primi mesi del AIPSA ICT Security & Privacy 5

8 2 Reati di Criminalità Informatica (ex D.Lgs. n. 231/2001 sanzioni interdittive e pecuniarie) La materia dei reati informatici è stata recentemente modificata dalla legge 48/2008 1, che ha introdotto nuove figure di reato informatico e l inasprimento di fattispecie incriminatrici già esistenti. In particolare, la legge 48/2008 ha aggiunto all impianto normativo del D.lgs 231/2001, l art 24 bis ( Delitti informatici e trattamento illecito dei dati ), ampliando, di fatto, le fattispecie di reato che possono generare la responsabilità amministrativa delle aziende. La legge 48/2008 ha aggiunto, allimpianto normativo del D.lgs 231/2001, lart 24 bis Delitti informatici e trattamento illecito dei dati, ampliando di fatto le fattispecie di reato che possono generare la responsabilità amministrativa delle aziende. 2.1 Considerazioni generali e case study Il nuovo articolo 24 bis del D. Lgs. 231/2001 ha esteso la responsabilità amministrativa delle persone giuridiche e degli enti alla quasi totalità dei reati informatici. Come specificato nella relazione di accompagnamento al disegno di legge, infatti, l introduzione di tale articolo risponde all esigenza di introdurre forme di responsabilità penale per le persone giuridiche anche con riferimento ai reati informatici più gravi. Alla luce dei presupposti applicativi del decreto, le aziende saranno considerate responsabili per i delitti informatici commessi nel loro interesse o a loro vantaggio da persone che rivestono funzioni di rappresentanza, amministrazione, direzione dell ente o di una sua unità organizzativa, ma anche da persone sottoposte alla loro direzione o vigilanza. 1 Legge 18 marzo 2008, n.48 recante Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, di Budapest del 23 novembre 2001, e norme di adeguamento dell ordinamento interno, pubblicata nella Gazzetta Ufficiale n. 80 del 4 aprile Supplemento ordinario n AIPSA ICT Security & Privacy

9 Le tipologie di reato informatico, quindi, interessano quei comportamenti illeciti posti in essere dai soggetti in posizione apicale o subordinata (dipendenti e/o collaboratori esterni), che utilizzano gli strumenti e le tecnologie informatiche/ telematiche aziendali per lo svolgimento delle normali attività lavorative. Le aziende o gli enti che utilizzano in maniera preponderante gli strumenti informatici e telematici, per lo svolgimento delle proprie attività e, in alcuni settori, per l erogazione di servizi, sono in maggior misura esposte ai suddetti comportamenti illeciti. In generale, è opportuno che siano implementate idonee strategie di prevenzione atte ad impedire la realizzazione dei reati informatici e ad escludere la responsabilità dell azienda nel caso di commissione dei reati. In questo scenario, nasce l esigenza di effettuare opportuni controlli e verifiche periodiche specialmente in quelle aree aziendali (es. gestione finanziaria, gestione clienti/fornitori, area ICT, ecc.) maggiormente esposte al rischio di commissione di reati informatici che possano determinare un interesse o un vantaggio economico per l azienda. Inoltre, alla luce dell integrazione apportata dalla L. 48/08 alla disciplina della responsabilità amministrativa degli enti, le aziende dovranno anche verificare che il loro stato in tema di ICT Security Governance & Management sia tale da poter consentire l attivazione dell esimente dalla responsabilità (ovvero della non responsabilità dell Azienda), previsto dal D.Lgs.231/2001, in caso di commissione di un delitto informatico al loro interno. In altri termini, si tratterà di verificare l esistenza di misure di sicurezza e di controllo preventive, idonee ad evitare la commissione dei reati informatici al loro interno, e provvedere all adeguamento dei propri modelli di organizzazione, gestione e controllo, laddove si rendesse necessario. In tal modo, in caso di presenza di reati informatici, le Aziende possono facilmente dimostrare la propria estraneità e la propria non responsabilità penale rispetto ai fatti accaduti. E opportuno che siano implementate idonee strategie di prevenzione atte ad impedire la realizzazione dei reati informatici e ad escludere la responsabilità dellazienda nel caso di commissione dei reati. La prevenzione dei crimini informatici deve quindi essere svolta attraverso adeguate contromisure organizzative, tecnologiche e normative; in via generale, anche se tali contromisure vanno adattate in modo specifico alla situazione peculiare dell Azienda interessata, dovrebbero essere previsti almeno i seguenti controlli di carattere generale: prevedere nel Codice Etico e nel Sistema Disciplinare aziendali specifiche indicazioni volte ad impedire la commissione dei reati informatici sia all interno dell ente, che tramite apparecchiature non soggette al controllo della stessa; fornire indicazioni normative e comportamentali (anche attraverso un Codice Comportamentale per la prevenzione dei crimini informatici) rivolte a tutto il personale aziendale per minimizzare il rischio di compimento, anche in maniera involontaria, di illeciti informatici; stabilire programmi di informazione, formazione e di sensibilizzazione rivolti al personale aziendale al fine di diffondere una chiara consapevolezza sui rischi derivanti da un utilizzo improprio delle risorse informatiche aziendali; prevedere un idoneo sistema di gestione incidenti ed un idoneo sistema di sanzioni disciplinari (o vincoli contrattuali nel caso di terze parti) a carico dei dipendenti (o soggetti terzi) che violino in maniera intenzionale i sistemi di controllo o le indicazioni comportamentali fornite; dotarsi di adeguati strumenti tecnologici atti a prevenire e/o impedire la realizzazione di illeciti informatici da parte dei dipendenti e in particolare di quelli appartenenti alle strutture aziendali ritenute più esposte al rischio. AIPSA ICT Security & Privacy 7

10 Anche se non è un obbligo esplicito del D.lgs 231, una efficace implementazione allinterno dellazienda di uno specifico Modello Organizzativo 231, prevede lesistenza di adeguate procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza; tali procedure, che implicano la messa in atto di un processo continuo di segnalazioni verso gli organismi interni (tipicamente gli Organismi di Vigilanza) e verso le Autorità competenti (tipicamente la Polizia delle Comunicazioni), sono garanzie fondamentali per rendere trasparente e con responsabilità ben definite il processo di gestione, utile anche ai fini di una possibile verifica o certificazione di terze parti. Il sistema di controllo per la prevenzione dei reati di criminalità informatica dovrà altresì basarsi, ove applicabili, sui seguenti principi generali ed accorgimenti: separazione dei ruoli che intervengono nelle attività chiave dei processi operativi esposti a rischio; tracciabilità degli accessi e delle attività svolte sui sistemi informatici che supportano i processi esposti a rischio; procedure e livelli autorizzativi da associarsi alle attività critiche dei processi operativi esposti a rischio; raccolta, analisi e gestione degli incidenti e di segnalazioni di fattispecie a rischio di reati informatici rilevati da soggetti interni e esterni all Azienda; procedure di escalation per la gestione di incidenti e di fattispecie a rischio di reato caratterizzate da elevata criticità e nella gestione dei rapporti con gli Enti Istituzionali. L ambito di applicazione dell art. 24 bis è tale da richiedere competenze tecniche ed esperienze specifiche ai fini dello svolgimento delle attività richieste per la compliance al d.lgs. 231/2001 (definizione delle possibili modalità di realizzazione dei reati, valutazione dei relativi rischi connessi alle carenze del sistema informatico, valutazione dell efficacia dei presidi esistenti e definizione delle azioni correttive/ integrative). E quindi utile valorizzare o raccomandare, anche ai fini 231, l aderenza generale di una organizzazione a framework e standard internazionalmente riconosciuti in tema di ICT Security Governance, Management & Compliance; tale aderenza è un elemento qualificante e di ausilio rispetto ai possibili presidi utilizzabili ai fini di una corretta implementazione di un adeguato sistema di controllo interno. 8 AIPSA ICT Security & Privacy

11 Alcuni standard internazionali o regolamentazioni nazionali che risultano utili al miglioramento dei sistemi di controllo interno sono ad esempio i seguenti: COBIT (Control Objectives for Information and related Technology); ISO (norma internazionale che fornisce i requisiti per un sistema di gestione della sicurezza delle informazioni); Codice Privacy (Codice in materia di protezione dei dati personali ed i Provvedimenti specifici del Garante Privacy). L authority negli ultimi due anni ha posto particolare enfasi agli aspetti di raccolta delle evidenze tramite opportuni strumenti di audit log e nel Provvedimento del 17 Gennaio 2008 (Sicurezza dei dati di traffico telefonico e telematico) ha imposto, ai soggetti giuridici in ambito al provvedimento stesso, attività di controllo periodico. I controlli devono comprendere anche verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di Alerting e di Anomaly Detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull integrità dei dati e delle procedure informatiche adoperate per il loro trattamento. L attività di controllo deve inoltre essere adeguatamente documentata, richiamata all interno del Documento Programmatico della Sicurezza e, a richiesta, messa a disposizione del Garante o dell autorità giudiziaria; PCI-DSS (Payment Card Industry Data Security Standard); regolamenti di settore per gli aspetti di sicurezza (es. Market Abuse, AGCOM, Sarbanes-Oxley, Basilea II, ecc.). AIPSA ICT Security & Privacy 9

12 A titolo di esempio, con riferimento al Code of Practices ISO 27001:2005, i punti di controllo specifici rilevanti ai fini della prevenzione dei suddetti reati sono riconducibili alle seguenti tipologie: ruoli e responsabilità di coloro che intervengono nelle attività strategiche associate ai processi aziendali più esposti a rischio reato; definizione di programmi di formazione e sensibilizzazione rivolti al personale aziendale al fine di diffondere maggiore consapevolezza sulle azioni da intraprendere nel caso in cui si rilevi un incidente di sicurezza a rischio di reato durante l espletamento delle proprie mansioni; modalità di accesso ai sistemi informatici aziendali mediante adeguate procedure di autorizzazione che prevedano, ad esempio, la concessione dei diritti di accesso ad un soggetto soltanto a seguito della verifica dell esistenza di effettive esigenze di accesso derivanti dalle mansioni aziendali che competono al ruolo ricoperto dal soggetto; esistenza di una procedura per il controllo degli accessi; separazione dei compiti e delle aree di responsabilità al fine di ridurre il rischio di utilizzo improprio dei beni dell organizzazione; tracciabilità degli accessi e delle attività critiche svolte tramite i sistemi informatici aziendali; esistenza di procedure per la segnalazione e la gestione di eventi relativi alla sicurezza; definizione e attuazione di un processo di autorizzazione della direzione per le strutture di elaborazione delle informazioni; esistenza di procedure di escalation che assicurano una tempestiva ed efficace gestione degli incidenti di sicurezza a rischio di reato; esistenza di procedure per garantire la riservatezza dei dati secondo quanto stabilito dalle normative vigenti; esistenza di misure volte a scoraggiare gli utenti dall utilizzare le strutture di elaborazione delle informazioni per scopi non appropriati; inclusione di requisiti di sicurezza delle informazioni negli accordi con terze parti che prevedano accesso, elaborazione, comunicazione o gestione delle informazioni e delle infrastrutture dell ente; effettuazione di verifiche, preliminari all assunzione, dei candidati all impiego, nonché di collaboratori esterni, proporzionali ai requisiti di business, alla classificazione delle informazioni che dovranno essere accedute; presenza di termini e condizioni nel contratto di lavoro che precisano le responsabilità in tema di trattamento delle informazioni. 10 AIPSA ICT Security & Privacy

13 3 PCI-DSS: Payment Card Industry Data Security Standard - Requisiti per la protezione delle informazioni relative alle carte di pagamento 3.1 Introduzione L incremento del volume di acquisti effettuati tramite carte di credito e di debito e lo sfruttamento, a fini illeciti, delle tecnologie e dei sistemi di pagamento, rende l ambito della sicurezza sui sistemi di pagamento sempre più importante. Il crimine informatico e relativa minaccia del furto d identità riducono la fiducia degli utenti e dei consumatori nella tecnologia in generale e nel commercio elettronico in particolare. Le grandi aziende che offrono servizi di pagamento on line o basate su carte di credito, gestiscono un elevato numero di transazioni annue con carte di pagamento; per questo motivo chi si occupa di sicurezza all interno delle organizzazioni si pone l obiettivo di: garantire un elevato livello di protezione delle informazioni relative alle carte di credito; censire i dati (cardholder data) definendo il perimetro all interno del quale tali dati sono gestiti; valutare la sicurezza delle applicazioni che utilizzano i dati delle carte, anche attraverso l analisi e la revisione del codice sorgente dei programmi; Crimine informatico e furto didentità riducono la fiducia degli utenti e dei consumatori nella tecnologia. avere delle opportune procedure di gestione degli incidenti e delle frodi, che permette di assicurare una corretta, tempestiva ed idonea applicazione delle contromisure di sicurezza previste; creare delle opportune sinergie sugli aspetti di sicurezza con i gestori di Carte di Credito e con i circuiti internazionali, utili anche ai fini di una corretta gestione (p.e. Service Provider come CartaSi e circuiti come VISA e Mastercard). AIPSA ICT Security & Privacy 11

14 3.2 Gli illeciti relativi alle carte Le possibili frodi relative alle carte di credito si dividono generalmente in due macro categorie: plastic fraud - si intendono tutte quelle tipologie di frode che interessano la carta in quanto tale, vale a dire nella sua dimensione materiale. In linea generale, il riferimento è ai casi di furto o contraffazione ai quali segue il riutilizzo della carta, appunto rubata o contraffatta, in transazioni face-toface, ossia in quelle transazioni che avvengono in presenza fisica delle due parti (consumatore e fornitore); CNP fraud - consiste nel furto dei dettagli relativi alla carta di credito (ad es. il nome del titolare, il numero di carta, la data di scadenza, il codice CVV), quindi in assenza del possessore titolare (CNP, Cardholder-Not-Present). (BOX). Nelle frodi sulle carte di credito la tecnica più diffusa è quella del furto didentità. La repressione delle frodi realizzate con carte di credito è assicurata in Italia dall art. 12 ex L. 197/91, dove sono punite tre fattispecie aventi ad oggetto le carte di credito o di pagamento o qualsiasi altro documento che abiliti al prelievo di denaro contante o all acquisto di beni o alla prestazione di servizi. Le tre fattispecie sono: 1. l utilizzazione indebita; 2. la contraffazione delle carte di credito; 3. la ricettazione delle carte di credito. La frode informatica rientra nell ambito dei crimini informatici meglio disciplinati con l approvazione della legge 48/2008 sul Cybercrime, e quindi anche nell ambito della responsabilità amministrativa delle Aziende ai fini del D.lgs 231. La frode informatica si distingue dalla truffa perché l attività fraudolenta dell agente investe non la persona (soggetto passivo), bensì il sistema informatico. Nelle frodi sulle carte di credito la tecnica più diffusa è quella del furto d identità con la quale si carpiscono informazioni riservate (numero di carta di credito, codice segreto, dati personali del titolare della carta). In particolare il phishing rappresenta la principale truffa sul furto di identità, basata su transazioni online non autorizzate dal titolare. 3.3 Lo standard PCI-DSS Il regolamento per la protezione dei dati Payment Card Industry (PCI) è stato creato dal raggruppamento dei principali circuiti di pagamento internazionali (American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International, ecc.), con l intento comune di migliorare il livello di sicurezza nella gestione dei dati dei titolari di carte di credito/debito, nelle transazioni elettroniche e nella gestione di tutte le informazioni ad esse correlate. All interno di tale regolamentazione di sicurezza sono stati creati una serie di requisiti di protezione delle informazioni uniformi per tutte le marche di carte di credito. Questi requisiti sono quindi stati raccolti in uno Standard internazionale, noto come PCI- DSS (Payment Card Industry Data Security Standard) per diffondere e semplificare l applicazione delle idonee misure di protezione dei dati e rendere tali misure coerenti e omogenee a livello internazionale. 12 AIPSA ICT Security & Privacy

15 3.3.1 Attori coinvolti in una transazione Acquirer Issuer Soggetto indipendente che provvede alla gestione delle autorizzazioni con Carte appartenenti a circuiti di Credito o Debito nazionali/internazionali, in virtù di un rapporto (contratto) di convenzione in essere con l esercente. Soggetto che emette Carte di pagamento appartenenti a circuiti di Credito e Debito nazionali/ internazionali. E il soggetto che concede l autorizzazione al pagamento. Rete E responsabile dell interconnessione tra Acquirer ed Issuer e di norma viene referenziata come Rete dei Circuiti Internazionali (ad es. Visa, MasterCard). L accesso alla Rete viene gestito dal Circuito Internazionale di riferimento. Card holders Titolare della Carta di Credito/ Debito. Merchant Chi vende prodotti/servizi online. Payment gateway E un software che interpreta e gestisce l interfaccia tra protocolli di Internet e il sistema di comunicazione privato delle società di credito; è in grado di gestire la transazione tra un commerciante e l entità finanziaria che emette carte di pagamento Requisiti per la conformità agli standard PCI-DSS Lo standard PCI DSS è costituito da un elenco di requisiti di protezione espressi in termini di gestione, criteri, procedure, architettura di rete, progettazione di software e altre misure di tutela dei dati dei titolari di carta. Lo standard è organizzato in un gruppo di sei principi e dodici requisiti. Ogni requisito contiene sottorequisiti la cui osservanza richiede l implementazione di particolari processi, criteri o soluzioni tecnologiche. I criteri e i requisiti PCI DSS obbligano a: costruire e mantenere una rete sicura; proteggere i dati dei titolari delle carte; implementare un programma di gestione delle vulnerabilità; introdurre misure forti di controllo degli accessi ai dati; provvedere regolarmente al monitoring e al testing della rete; mantenere una policy per la sicurezza delle informazioni. Lo standard è organizzato in un gruppo di sei principi e dodici requisiti. AIPSA ICT Security & Privacy 13

16 Lo standard PCI- DSS costituisce un requisito generale per tutte quelle entità che gestiscono dati di titolari di carte di credito/debito. La conformità allo standard permette di minimizzare i rischi connessi alla sicurezza dei dati attraverso la protezione. Un beneficio immediato nelladozione dello standard PCI DSS da parte dei Merchant è quindi quello di pagare meno per le transazione e di avere, in caso di frodi, adeguate garanzie per la copertura della frode stessa e per evitare penali da parte dei circuiti internazionali. I requisiti PCI-DSS si applicano esclusivamente se nell ambito di una data organizzazione viene in qualche modo utilizzato il numero di carta di credito o PAN (Numero Account Primario), indipendentemente dal fatto se tale numero viene memorizzato, elaborato o trasmesso. In particolare sono comuni dati da proteggere i singoli campi della carta di credito, ovvero Data di scadenza, Codice di Sevizio e Nome del Titolare ; tuttavia, anche se singolarmente tali dati devono essere conformi ai requisiti PCI-DSS, nel caso in cui venissero memorizzati insieme al PAN, i requisiti di sicurezza da applicare al dato aggregato sono ben superiori e si arriva fino alla cifratura dei dati sui DB o in transito ed all utilizzo di meccanismi di tracciamento adeguato per tutte le fasi di gestione o trattamento dei dati. Tali requisiti di sicurezza si applicano a tutti i componenti del sistema, dove per componenti del sistema si intende qualunque componente, server o applicazione della rete, che faccia parte o sia collegato all ambiente dati in cui sono custodite le informazioni dei titolari delle carte o vengono trattati i dati sensibili utili per l autenticazione e l accesso all ambiente dati. 3.4 Perché è importante ottemperarvi Lo standard PCI-DSS costituisce un requisito generale per tutte quelle entità che gestiscono dati di titolari di carte di credito/debito. Per mantenere un rapporto commerciale sano e positivo con esse, le banche acquirenti (Acquirer) sono tenute a garantire che i loro operatori commerciali (Merchant) osservino tutte le regole di sicurezza e che i Clienti finali siano tutelati in maniera adeguata. Analogamente, gli operatori commerciali e i fornitori di servizi hanno la possibilità di dimostrare il loro livello di conformità allo standard in modo da consolidare il rapporto commerciale con le banche acquirenti, evitando responsabilità o penali dovute all inosservanza delle principali regole di sicurezza. L adozione dello standard PCI-DSS consente, in particolare, di: individuare eventuali rischi nelle procedure di archiviazione o trasmissione dei dati di carta dei clienti; fornire una procedura trasparente di intervento e correttiva nell affrontare eventuali incidenti; dimostrare ai clienti la seria considerazione per la sicurezza dei loro dati. La conformità allo standard permette inoltre, in generale, di minimizzare i rischi connessi alla sicurezza dei dati attraverso la protezione: dal rischio di responsabilità economiche (compresi i costi causati da eventuali frodi perpetrate ai danni di clienti a seguito della compromissione dei loro dati); dal rischio di spese di natura investigativa e legale; dal rischio di una pubblicità negativa da parte dei mezzi di informazione. 14 AIPSA ICT Security & Privacy

17 3.5 Le conseguenze dell inosservanza In caso di inosservanza dello standard PCI-DSS da parte degli operatori commerciali, le società di carte di credito/debito hanno la facoltà di imporre sanzioni agli istituti bancari loro membri che, a loro volta, possono richiedere gli indennizzi agli operatori o Merchant inadempienti. Le sanzioni sono severe e vanno da sanzioni pecuniarie rilevanti fino al peggiore dei casi in cui gli operatori commerciali perdono la facoltà di elaborare le operazioni con carte di credito dei clienti. Sono altresì possibili altre conseguenze oltre alle sanzioni: la perdita dei dati dei titolari di carte di credito, accidentale o attraverso un furto, può anche comportare azioni legali da parte dei suddetti titolari, arrecando cattiva pubblicità e, di conseguenza, una perdita di business. Le aziende, inoltre, sono obbligate a informare le autorità di legge e devono offrire servizi gratuiti di protezione delle carte di credito/ debito ai soggetti potenzialmente coinvolti. 3.6 Obbligo di detection e notifica di violazioni di sicurezza dei dati delle carte Anche nel caso della sicurezza dei dati di carta di credito subentrano sia gli obblighi ed i vincoli delle responsabilità contrattuali e amministrative dell Azienda (ai sensi del D.lgs 231), sia le responsabilità penali degli amministratori o dei soggetti incaricati (derivanti, in caso di abusi, da possibili presenze di trattamento illecito di dati personali, di frodi o di crimini informatici). Quindi, nel caso in cui una Azienda gestisce transazioni con carte di credito dei clienti, deve ottemperare alle più idonee misure di sicurezza e protezione dei dati trattati; come riferimento per tali misure si possono prendere quelle definite dallo standard PCI, standard cui non è comunque obbligatorio ottemperare, ma lo sono le contromisure di protezione da esso identificate. In ogni caso valgono sempre le indicazioni di prevenzione per evitare ogni possibile trattamento illecito di dati personali, ogni forma di illeciti informatici (ai sensi della Normativa sulla Privacy e della Lg. 48/2008 sui crimini informatici). Risulta quindi, anche nel caso del trattamento di dati di carta di credito, rilevante l esistenza di adeguate procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza e di possibili casi di frodi; tali procedure sono indispensabili per l eventuale certificazione PCI-DSS dell organizzazione, e risultano fondamentali per rendere trasparente e con responsabilità ben definite il processo di gestione, utile anche ai fini di una possibile verifica o certificazione di terze parti. Procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza sono indispensabili per leventuale certificazione PCI-DSS dell organizzazione. AIPSA ICT Security & Privacy 15

18 4 Direttiva UE per la protezione delle infrastrutture critiche Le aziende si trovano in questi ultimi anni a dover fronteggiare situazioni che richiedono lattivazione di nuovi processi interni per rafforzare la protezione degli asset e delle informazioni aziendali e per gestire le situazioni di emergenza in cui possono incorrere. 4.1 Introduzione Attentati terroristici, disastri naturali, blackout energetici, attacchi informatici e altri eventi che minacciano la nostra società sono sempre più all ordine del giorno. Le aziende si trovano in questi ultimi anni a dover fronteggiare situazioni quasi sconosciute in precedenza, che richiedono l attivazione di nuovi processi interni sia per rafforzare la protezione degli asset e delle informazioni aziendali sia per gestire le situazioni di emergenza in cui possono incorrere. Tale problematica è stata ulteriormente rafforzata dall emanazione della Direttiva 2008/114/CE del Consiglio dell Unione Europea relativa all individuazione e protezione delle Infrastrutture Critiche Europee (ICE), ovvero quelle infrastrutture il cui eventuale danneggiamento o distruzione avrebbe un impatto significativo su più Stati dell Unione Europea. La Direttiva Europea si propone pertanto i seguenti obiettivi: identificare e censire le infrastrutture critiche di interesse europeo e, conseguentemente, quelle di rilevanza nazionale; garantire la protezione delle infrastrutture critiche individuate attraverso la definizione di idonee misure e strumenti operativi. 4.2 Contenuti normativi La Direttiva Europea 2008/114/CE dovrà essere recepita da ogni Stato Membro entro dicembre 2010 e stabilisce una serie di procedure e azioni per l individuazione 16 AIPSA ICT Security & Privacy

19 e la protezione delle Infrastrutture Critiche Europee, individuando le parti coinvolte e attribuendo specifiche responsabilità. Allo stato attuale, i settori individuati dalla Direttiva per l analisi delle IC sono quelli dell Energia e dei Trasporti, ma riconosce la necessità di estendere in futuro (già dal 2011) la lista dei settori critici, ed assegna la priorità al settore dell Information and Communication Technology (ICT). L attuazione della Direttiva comporta quindi una serie di adempimenti sia nei confronti dei Paesi Membri (Istituzioni), sia nei confronti dei Proprietari/Operatori di ICE: Adempimenti per gli Stati Membri in cui sono ubicate le ICE istituire un Organismo Nazionale Competente e nominare un Punto di Contatto Unico per garantire il coordinamento delle attività relative alle ICE; definire l approccio metodologico per l individuazione e l analisi delle infrastrutture critiche di interesse europeo; indicare i criteri per designare e valutare la criticità delle infrastrutture critiche ed i criteri per valutare ex ante le loro interdipendenze ( effetti domino ); identificare le possibili infrastrutture critiche nazionali ed europee; formulare proposte e richieste di designazione di ICE verso altri Stati Membri; gestire le richieste di designazione di ICE identificate in Italia dagli altri Stati Membri; designare le ICE situate nel territorio nazionale; eseguire un analisi dei rischi a livello nazionale per valutare le minacce e vulnerabilità riguardanti le ICE situate nel proprio territorio; gestire i rapporti con la Commissione Europea e con i Proprietari/Operatori di Infrastrutture Critiche nazionali ed europei; censire e validare i Piani di Sicurezza predisposti dai Proprietari/Operatori per garantire la protezione delle ICE. La Direttiva è finalizzata alla definizione di linee guida comuni per garantire la protezione delle infrastrutture nonché la valorizzazione della qualità minima dei servizi essenziali per il benessere della popolazione, la sicurezza nazionale ed il buon funzionamento del Sistema Paese. Adempimenti per i Proprietari/Operatori di ICE nominare un Funzionario di Collegamento in materia di sicurezza dell infrastruttura critica che agisca come punto di riferimento con l Organismo Nazionale Competente; predisporre un Piano di Sicurezza dell Operatore (PSO) in cui identificare i beni dell infrastruttura critica e le soluzioni in atto o in corso di implementazione per la loro protezione; individuare le componenti che costituiscono l infrastruttura critica europea; eseguire un analisi dei rischi sull infrastruttura critica che comprenda le minacce, le vulnerabilità e l impatto potenziale per ogni componente; identificare, selezionare e prioritizzare le contromisure da implementare per garantire la sicurezza dell ICE; gestire operativamente il Piano di Sicurezza dell Operatore. E importante sottolineare come attualmente la Direttiva non contiene nessuna disposizione obbligatoria nei confronti degli Stati Membri e nei confronti degli Operatori proprietari delle ICE, ma è principalmente finalizzata alla definizione di linee guida comuni per garantire la protezione delle infrastrutture che caratterizzano la qualità della vita dei cittadini nonché la valorizzazione della qualità minima dei servizi essenziali per il benessere della popolazione, la sicurezza nazionale ed il buon funzionamento del Sistema Paese. AIPSA ICT Security & Privacy 17

20 AIPSA Piazzale R. Morandi, Milano C.F Partita Iva Tel. e Fax segreteria@aipsa.eu