Services Portfolio per gli Istituti Finanziari

Transcript

1 Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015

2 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Panorama dei rischi di Security bancari Services Portfolio per la mitigazione dei rischi Focus on: aspetti di Security nella normativa più recente Banca d Italia: attuazione del Titolo II del D. Lgs. 11/2010 relativo ai servizi di pagamento Garante Privacy: provvedimento n. 192 del 12/05/2011 Referenze 2

3 Chi siamo Media Management Consulting Application Development & System integration Finance P.A. Insurance PMI Manufacturing Consulenza Operativa Aziendale ERP Solutions Development Telco ICT 3

4 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Panorama dei rischi di Security bancari Services Portfolio per la mitigazione dei rischi Focus on: aspetti di Security nella normativa più recente Banca d Italia: attuazione del Titolo II del D. Lgs. 11/2010 relativo ai servizi di pagamento Garante Privacy: provvedimento n. 192 del 12/05/2011 Referenze 4

5 Il modello operativo di Quality Solutions Presidio dei mercati e delle competenze Integrated Process Care Security & BC L esperienza di oltre 15 anni nel campo dei servizi alle imprese e dei sistemi di gestione aziendale delinea Quality Solutions come un partner di riferimento per la Consulenza Direzionale e ICT Il nostro sistema di gestione è certificato secondo le norme ISO 9001 e SA 8000 Compliance Training Finance Telco P.A. ICT Tutti i collaboratori di Quality Solutions hanno conseguito specializzazioni e certificazioni professionali per lo sviluppo dei servizi che la società offre ai clienti ICT Consulting Safety Organizzazione Compliance Responsabilità Sociale Security Energy Gestione Qualità IT Training ICT Consulting Business Continuity Health, Safety & Environment Energy Sommiamo agli skill verticali - specifiche per settore di mercato - i professionisti e le tecnologie più adatte, dalle aree di competenza orizzontali interne 5

6 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Panorama dei rischi di Security bancari Services Portfolio per la mitigazione dei rischi Focus on: aspetti di Security nella normativa più recente Banca d Italia: attuazione del Titolo II del D. Lgs. 11/2010 relativo ai servizi di pagamento Garante Privacy: provvedimento n. 192 del 12/05/2011 Referenze 6

7 Contesto di riferimento Contesto di riferimento Presentare le tematiche più importanti relative alle modalità di gestione completa e possibilmente integrata di tutti i rischi di Security che insistono sugli asset strategici di una Banca, includendo in tali rischi anche quelli di Security Compliance rispetto alle molteplici normative di settore emesse dai principali Stakeholder del mondo finanziario (Banca d Italia, Garante Privacy) Presentazione servizi Condividere il portafoglio progettuale di possibili interventi in ambito di Security, Compliance e Business Continuity che Quality Solutions è in grado di offrire, riportando una descrizione degli stessi interventi, gli obiettivi e i deliverables previsti Focus on: aspetti di Security della normativa più recente Condividere le priorità di sicurezza relative alle Istruzioni di Vigilanza per la sicurezza dei sistemi di pagamento emesse da Banca d Italia e alle «Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie» del Garante Privacy e la cui rilevanza strategica è elevata per qualunque istituto finanziario 7

8 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Panorama dei rischi di Security bancari Services Portfolio per la mitigazione dei rischi Focus on: aspetti di Security nella normativa più recente Banca d Italia: attuazione del Titolo II del D. Lgs. 11/2010 relativo ai servizi di pagamento Garante Privacy: provvedimento n. 192 del 12/05/2011 Referenze 8

9 Panorama dei rischi di Security Bancari Rischi non governabili Fermo infrastrutture Gravi fenomeni naturali critiche Rischi non governabili in quanto dipendenti da situazioni che non sono sotto il controllo delle Banche (rischi sistemici a livello Paese) Rischi del Sistema Bancario Rischi specifici della Banca Fermo processi a rilevanza sistemica Fermo sistemi di pagamento / clearing Rischi mitigabili solo con iniziative che coinvolgono l intero sistema bancario (es. la continuità dei servizi BIREL dipende dall operatività delle infrastrutture Banca Italia e Montetitoli) Fermo processi non vitali Incidenti di sicurezza a basso impatto Accettati Rischi relativi a processi che la Banca decide consapevolmente di non mitigare e/o di mitigare con strumenti di carattere prudenziale/assicurativo Inadempienze SLA Area intervento Quality Solutions Incidenti di sicurezza ad alto impatto Mitigati Rischi per i quali la Banca decide di investire nella mitigazione tramite misure di prevenzione e gestione degli incidenti di sicurezza e continuità del Business 9

10 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Panorama dei rischi di Security bancari Services Portfolio per la mitigazione dei rischi Focus on: aspetti di Security nella normativa più recente Banca d Italia: attuazione del Titolo II del D. Lgs. 11/2010 relativo ai servizi di pagamento Garante Privacy: provvedimento n. 192 del 12/05/2011 Referenze 10

11 Services Portfolio per la mitigazione dei rischi 1. QS propone un approccio integrato Persone Patrimonio Quality Solutions propone soluzioni di mitigazione del rischio proveniente da eventi/incidenti di Security e Business Continuity utilizzando come pivot di analisi degli asset tipici di una Banca: Persone Patrimonio Processi Informazioni IT Processi Business Continuity Dipendenti Clienti Stakeholder IT Informazioni Business Continuity Contanti Valori Stabili IT IT Intorno a tali asset viene progettata e ampliata una filiera di processi, procedure e soluzioni tecnologiche ed organizzative funzionali alla mitigazione dei rischi di Security e Business Continuity Business Continuity Processi Workflow Procedure IT IT Business Continuity Dati Documenti di Business IT IT 11

12 Services Portfolio per la mitigazione dei rischi 2. Business Continuity Business Impact Analysis IT Assessment preliminare di processo Definizione dei parametri di valutazione Esecuzione della BIA Aggiornamento della BIA IT Dipendenti Clienti Stakeholder Business Continuity Plan & Management Contanti Valori Stabili Realizzazione/aggiornamento del Piano Realizzazione modello organizzativo Realizzazione procedure operative Realizzazione piani di Test Erogazione formazione di settore IT Automazione di settore Processi Workflow Procedure Definizione del workflow di Dati gestione per Documenti di l aggiornamento della BIA Business e del Business Continuity Plan Supporto alla vendor selection per il software di settore Supporto alla progettazione e sviluppo di software di settore 12

13 Services Portfolio per la mitigazione dei rischi 3. IT Supporto alla certificazione di settore Dipendenti Clienti Stakeholder Supporto alle Tecnologie della Banca IT Realizzazione di modelli di sicurezza per IT i Realizzazione di sistemi di Gestione per la delle Informazioni (Standard ISO 27001) canali di pagamento (Standard PCI DSS) Supporto al mantenimento della certificazione acquisita Contanti Valori Stabili Metodologia di analisi e valutazione dei rischi Realizzazione di Vulnerability Assessment e Penetration Test su applicazioni e sistemi Realizzazione modelli di sicurezza per dematerializzazione e digitalizzazione Disaster Recovery Processi Workflow Procedure IT IT Realizzazione Piani di Disaster Dati Recovery per Documenti di applicazioni e sistemi critici Business Supporto alla realizzazione delle soluzioni Supporto all attività di test delle soluzioni Realizzazione attività per il mantenimento del Piano Realizzazione di iniziative di formazione 13

14 Services Portfolio per la mitigazione dei rischi 4. Strumenti di Governance IT Realizzazione di analisi e valutazione dei rischi Realizzazione di modelli di sicurezza per infrastrutture (ISO 20858) Disegno dei processi di gestione IT Realizzazione di manuali, procedure operative Contanti Progettazione e realizzazione Valori di corsi di Stabili formazione per i dipendenti (antirapina, videosorveglianza, utilizzo strumenti di protezione di filiale ecc..) Supporto alle tecnologie di banca (sicurezza ) Processi Workflow Procedure Realizzazione dei requisiti per soluzioni tecnologiche (SOC, videosorveglianza, allarmistica di filiale) IT Progettazione software di settore (soluzioni Dati biometriche di E-Authentication, Documenti di soluzioni Business di Computer Vision per applicazioni biometriche di autenticazione) Supporto all implementazione delle soluzioni 14

15 Services Portfolio per la mitigazione dei rischi 5. Modelli organizzativi Dipendenti Clienti Stakeholder Strumenti di misurazione di performance IT Realizzazione di modelli organizzativi per la gestione della, finalizzati a supportare eventi di change organizzativo (merging, spin off) IT Disegno processi e procedure operative Disegno ruoli e responsabilità Contanti Valori Stabili Realizzazione di cruscotti di reportistica direzionale per le performances di (Tableau de Bord operativo, Cruscotto direzionale) Realizzazione di KPIs di valutazione delle performance di sicurezza Compliance Privacy Processi Workflow Procedure IT IT Realizzazione di cruscotti di Dati reportistica Documenti di direzionale per le performances Business di (Tableau de Bord operativo, Cruscotto direzionale) Realizzazione di KPIs di valutazione delle performance di sicurezza 15

16 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Panorama dei rischi di Security bancari Services Portfolio per la mitigazione dei rischi Focus on: aspetti di Security nella normativa più recente Banca d Italia: attuazione del Titolo II del D. Lgs. 11/2010 relativo ai servizi di pagamento Garante Privacy: provvedimento n. 192 del 12/05/2011 Referenze 16

17 Banca d Italia: attuazione del Titolo II del D.Lgs. 11/ Contesto di riferimento Il 1 marzo 2010 è entrato in vigore il Decreto legislativo n. 11 del 27 gennaio Il recepimento della Direttiva ha rilevanti effetti sul mercato dei servizi di pagamento, realizzando il cd. Single Euro Payment Area" (SEPA) tra gli operatori attivi nello stesso ed innalzando la tutela degli utilizzatori di tali servizi, attraverso il ricorso a strumenti e presidi più moderni ed efficaci. Inoltre, la nuova disciplina favorisce l'ingresso sul mercato previa autorizzazione di BdI di nuovi intermediari specializzati, accrescendo in tal modo la concorrenza Le perdite derivanti da utilizzi non autorizzati di strumenti di pagamento sono a carico delle Banche, se non possono dimostrare la loro diligenza nell adozione delle misure di sicurezza richieste Banca d Italia pubblica contestualmente un ulteriore documento di definizione delle Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza, il cui impiego offre maggiori tutele all utilizzatore, il quale non incorre nelle perdite derivanti da utilizzi non autorizzati degli strumenti di pagamento TIPOLOGIE DI STRUMENTI TIPOLOGIE DI STRUMENTI 17

18 Banca d Italia: attuazione del Titolo II del D.Lgs. 11/ Struttura del documento Ambito di applicazione Spese I servizi di Pagamento I Prestatori di Servizi di Pagamento Gli Utilizzatori dei Servizi di Pagamento Data Valuta Tempi di Disponibilità dei Fondi Autorizzazione Esecuzione Obblighi e Responsabilità dell Utilizzatore Obblighi e Responsabilità del PSP Rettifiche di operazioni di Pagamento Rimborsi Ricezione, Irrevocabilità e Rifiuto degli Ordini di Pagamento Tempi di Esecuzione Responsabilità Identificativo Unico Responsabilità per mancata e inesatta esecuzione TIPOLOGIE TIPOLOGIE DI DI STRUMENTI STRUMENTI Identificazione degli Strumenti di più elevata qualità sotto il profilo della Assessment Indipendente Fattori di Autenticazione 18

19 Banca d Italia: attuazione del Titolo II del D.Lgs. 11/ Il processo interessatodal Decreto e relative criticità Gestione POS, Web Server, ecc. Identificazione dei dispositivi di pagamento Richiesta di transazione da parte dell Utilizzatore Definizione e distribuzione di adeguate informative sulla gestione degli strumenti di pagamento Processo di pagamento Autenticazione Dell Utilizzatore effettuata dal PSP Gestione delle credenziali degli utilizzatori Autorizzazione/Ricezione Ordini da parte del PSP Definizione e gestione dei tempi di pagamento Esecuzione della Transazione Monitoraggio transazioni anomale Comunicazione dal PSP all Utilizzatore Inoltro di adeguate e tempestive comunicazioni all Utilizzatore 19

20 Banca d Italia: attuazione del Titolo II del D.Lgs. 11/ Copertura progettuale QS per il processo in ATTIVITÀ di PROCESSO Business Continuity IT Fisica Organizzativa Gestione POS, Web Server, ecc. Piano di Disaster Recovery per le applicazioni critiche Analisi dei rischi IT Standard per la Gestione Informazioni Vulnerability Assessment Analisi dei rischi CED Realizzazione misure di sicurezza perimetrale CED Richiesta di transazione da parte dell Utilizzatore Procedura operativa di delivery dell nformativa Realizzazione modulo dell informativa Autenticazione dell Utilizzatore effettuata dal PSP Piano di Disaster Recovery per le applicazioni critiche Piano di Business Continuity Analisi dei rischi IT Standard per la Gestione Informazioni Vulnerability Assessment Analisi dei rischi CED Realizzazione misure di sicurezza perimetrale CED Realizzazione KPIs Procedura operativa di gestione credenziali Autorizzazione/Ricezione Ordini da parte del PSP Analisi dei rischi IT Standard per la Gestione Informazioni Vulnerability Assessment Procedura operativa per il delivery del time stamping della transazione Esecuzione della Transazione Realizzazione infrastruttura di monitoraggio transazioni Procedura operative per il monitoraggio e il ticketing delle transazioni anomale Comunicazione dal PSP all Utilizzatore Procedura operativa per l invio dell informativa all utente (certificazione della transazione) 20

21 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Panorama dei rischi di Security bancari Services Portfolio per la mitigazione dei rischi Focus on: aspetti di Security nella normativa più recente Banca d Italia: attuazione del Titolo II del D. Lgs. 11/2010 relativo ai servizi di pagamento Garante Privacy: provvedimento n. 192 del 12/05/2011 Referenze 21

22 Garante Privacy: provvedimento n.192 del 12/05/ Circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie La circolazione delle informazioni tra le banche Profili di protezione dei dati personali Informativa per la clientela Soggetti che gestiscono i Sistemi Informativi Tracciamento delle operazioni di accesso ai dati Società strumentali per la gestione del Sistema Informativo Posizione di titolare del trattamento Tracciamento delle operazioni Conservazione dei log di tracciamento Implementazione di alert Audit Interno / Report periodici Prescrizioni Misure necessarie Misure opportune Il 12 maggio 2011 sono state pubblicate le Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie dal Garante della Privacy dei dati personali. Tali prescrizioni mirano a far sì che venga garantito il rispetto dei princìpi in materia di protezione dei dai personali in ordine ai temi della "circolazione" delle informazioni riferite ai clienti in ambito bancario e della "tracciabilità" delle operazioni bancarie effettuate dai dipendenti di istituti di credito 22

23 Garante Privacy: provvedimento n.192 del 12/05/ I processi bancari interessati dal Provvedimento Transazione Gestione delle Informative per la clientela Circolazione delle informazioni Ricezione informazioni Gestione delle Repository (DWH,IT factory, ecc) 1. Tra banche dello stesso gruppo 2. All interno di una stessa agenzia o filiale 3. Tra agenzie o filiali della stessa banca Circolazione/Trattamento delle informazioni Monitoraggio transazioni anomale Tracciamento degli accessi e delle operazioni Conservazione dei log di accesso Internal auditing Reportistica Integrazione della reportistica con le attività di log management Integrazione della reportistica con le azioni di controllo Gestione delle comunicazioni al garante Gestione delle informazioni all interessato 23

24 Copertura progettuale di QS per il processo in ATTIVITÀ di PROCESSO Business Continuity IT Fisica Organizzativa Transazione Procedure operative per il delivery dell informativa alla clientela Definizione modulistica Ricezione informazioni Piano di Disaster Recovery per le applicazioni critiche Piano di Business Continuity Analisi dei rischi IT Standard per la Gestione Informazioni Vulnerability Assessment Sistema di log Management Analisi dei rischi CED Realizzazione misure di sicurezza perimetrale CED Realizzazione KPIs Procedura operativa di gestione degli accessi e del tracciamento Circolazione/Trattamento delle informazioni Piano di Disaster Recovery per le applicazioni critiche Piano di Business Continuity Analisi dei rischi IT Standard per la Gestione Informazioni Vulnerability Assessment Sistema di log Management Analisi dei rischi CED Realizzazione misure di sicurezza perimetrale CED Realizzazione KPIs Procedura operative per la retention dei log Procedure operative per la gestione del monitoraggio e del tracciamento Procedure operative per i controlli Reportistica Sviluppo reportistica di log management ed audit sul motore di business Intelligence Procedure operative per l inserimento dei KPIs di log management e audit nel motore di business Intelligence Modello di delivery dell informativa 24

25 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Panorama dei rischi di Security bancari Services Portfolio per la mitigazione dei rischi Focus on: aspetti di Security nella normativa più recente Banca d Italia: attuazione del Titolo II del D. Lgs. 11/2010 relativo ai servizi di pagamento Garante Privacy: provvedimento n. 192 del 12/05/2011 Referenze 25

26 Referenze 26

27 Grazie per l attenzione Via C. Colombo, Roma Tel/Fax / Corso Venezia, Milano Tel