Privacy: Circolazione e tracciabilità delle informazioni in ambito bancario Milano 12 Marzo 2014
L azienda HTS Hi-Tech Services è un'azienda italiana che deriva dall'esperienza decennale dei suoi fondatori nello sviluppo di prodotti hardware e software per la crittografia avanzata e per il Log Management in organizzazioni complesse. L'acquisizione del know-how e dei prodotti sviluppati, il continuo affiancamento ai principali clienti, mirano a consolidare la leadership di HTS e dei suoli prodotti nel settore della sicurezza informatica in particolare nell'ambito degli adeguamenti normativi nazionali ed internazionali.
Il provvedimento Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011 (Pubblicato sulla Gazzetta Ufficiale n. 127 del 3 giugno 2011) Registro dei provvedimenti n. 192 del 12 maggio 2011 Chiarimenti in ordine alla delibera n. 192/2011 in tema di circolazione delle informazioni riferite a clienti all'interno dei gruppi bancari e 'tracciabilità' delle operazioni bancarie; proroga del termine per completare l'attuazione delle misure originariamente prescritte - 18 luglio 2013 (Pubblicato sulla Gazzetta Ufficiale n. 185 dell'8 agosto 2013) Registro dei provvedimenti n. 357 del 18 luglio 2013
Il provvedimento lo scopo Gli scopi del provvedimento sono Garantire il rispetto dei principi del d.lgs. 30 giugno 2003, n. 196 (necessità, finalità, essenzialità) (dati della clientela) Prescrizioni sulla "circolazione" dei dati dei clienti in ambito bancario e sulla "tracciabilità" delle operazioni bancarie effettuate dai dipendenti di istituti di credito (ai sensi dell'art. 154, comma 1, lett. c) del Codice) NB: Sia operazioni che comportino movimentazione di denaro, sia quelle di sola consultazione (c.d. inquiry).
Il provvedimento le motivazioni Istanze della clientela (segnalazioni, reclami e quesiti) pervenute in tema di trattamento di dati personali Indebito accesso e comunicazione a terzi (verosimilmente da parte di alcuni dipendenti) di informazioni usate poi per scopi personali Esempi: separazioni giudiziali procedure esecutive e pignoramenti presso terzi
Il provvedimento l origine Tema rilevante Attività ispettiva ha evidenziato anche profili problematici di carattere generale Collaborazione Garante e ABI: questionario anonimo per rilevare lo stato delle scelte organizzative effettuate dalle singole banche (340 tra banche e gruppi bancari, che fanno complessivamente riferimento a 441 banche operanti sul territorio italiano). Emanazione del Provvedimento 192/2011 con prescrizioni specifiche A seguito delle segnalazione da parte ABI di difficoltà di adeguamento Provvedimento 357/2013 con chiarimenti e proroga dei termini (3 GIUGNO 2014)
Il provvedimento l ambito Soggetti interessati ove stabiliti sul territorio nazionale : Banche, incluse quelle facenti parte di gruppi (disciplinati, in generale, dall'art. 2359 c.c. e, in particolare, dagli artt. 60 e ss. del d.lg. n. 385/1993); Società, anche diverse dalle banche purché siano parte di tali gruppi nell'ambito dei trattamenti dalle stesse effettuati sui dati personali della clientela Poste Italiane S.p.A.
Il provvedimento l ambito Il presente provvedimento si riferisce a: trattamenti effettuati dai soggetti indicati mediante i propri dipendenti (in senso più generale "incaricati del trattamento ) operazioni bancarie sia di tipo dispositivo, sia di semplice visualizzazione effettuate utilizzando informazioni concernenti la situazione economica e patrimoniale del cliente (dati bancari).
Il provvedimento l ambito In particolare quindi: operazioni connesse allo svolgimento dell'attività bancaria in senso stretto "la raccolta di risparmio tra il pubblico e l'esercizio del credito" (art. 10, comma 1 del d.lg. 385/1993- Testo Unico Bancario) "ogni altra attività finanziaria. Essenzialmente "attività ammesse al mutuo riconoscimento (art. 1, comma 2, lett. f) del TUB) e
Il provvedimento precisazioni "dati bancari tra gli altri, quelli contenuti negli estratti conto, quelli afferenti alle movimentazioni bancarie (es: bonifici), le informazioni relative alle operazioni attive e passive effettuate sul conto corrente del cliente, nonché le operazioni richieste dal cliente nell'ambito di prestazioni ed attività connesse ai rapporti contrattuali. art. 1, comma 2, lett. f) del TUB comprende anche attività che esulano dalla logica di applicazione del provvedimento n. 192/2011 (ad es. locazione di cassette di sicurezza, servizi di informazione commerciale, ecc.). Spetta ai titolari del trattamento effettuare un'ulteriore valutazione per riservare il tracciamento a quelle sole operazioni che effettivamente comportino l'accesso dei loro incaricati ad informazioni riferibili alla situazione economica e patrimoniale dei singoli clienti. Il provvedimento non riguarda le modalità con le quali i clienti accedono on line ai servizi bancari (c.d. home banking).
Il provvedimento Misure organizzative Misure necessarie: Designazione dell'outsourcer quale responsabile del trattamento (nei casi previsti) Misure opportune: Informativa all'interessato con indicazione sulla circolazione dei dati Comunicazione, senza ritardo, all'interessato delle operazioni di trattamento illecito effettuate dagli incaricati Comunicazione tempestiva al Garante in caso di accertata violazione, accidentale o illecita, nella protezione dei dati personali, di particolare rilevanza.
Il provvedimento Misure tecnologiche Misure tecnologiche: Tracciamento delle operazioni singole e massive. Conservazione dei log di tracciamento delle operazioni almeno 24 mesi. Implementazione di alert (individuazione comportamenti anomali o a rischio relativi alle operazioni di inquiry). Far confluire i log relativi a tutti gli applicativi utilizzati per gli accessi negli strumenti di business intelligence.
Il provvedimento Altre misure Misure ulteriori, organizzative e tecnologiche: Audit interno di controllo Rapporti periodici Controllo interno almeno annuale sulla gestione dei dati bancari (Titolari del trattamento). Controllo da parte di organizzazione o personale diverso da chi effettua i trattamenti. Verifiche a posteriori su alerting, legittimità accessi, integrità dei dati e anche su tempi di conservazione dei log. Documentazione dei controlli e comunicazione risultati.
I Log Sono file di testo, prodotti in genere dai sistemi operativi, dalle applicazioni e dalla maggior parte dei dispositivi elettronici, contenenti informazioni che consentono di conoscere chi e quando, ha effettuato quali azioni Vengono generati dagli eventi comuni (come ad esempio gli accessi informatici), ma anche da eventi critici o comunque degni di nota (tentativo di attacco informatico, anomalia/malfunzionamento)
Normative Nazionali ed Internazionali 2011 Provv. Tracciabilità Bancario 2010 PCI/DSS - PA/DSS 2.0 Pagamento online 2010 Basilea III 2008 Provv. AdS. ADS 2008 Provv. Dati Traf. 2008 Basilea II Attività finanziarie 2005 D.Lgs. 155/2005 Legge Pisanu 2004 PCI/DSS - PA/DSS 1.0 Pagamento online 2003 D.LGS. 196/03 Privacy 2002 SOX 2001 D.Lgs. 231/03 Responsabilità
Il provvedimento Misure tecnologiche dettaglio Tracciamento delle operazioni [punto 4.2.1] Devono essere adottate soluzioni informatiche per la registrazione dettagliata, in un apposito log delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari. I file di log devono tracciare almeno: codice identificativo di chi ha effettuato l accesso; data e ora di esecuzione; codice della postazione di lavoro utilizzata; codice del cliente interessato; tipologia di rapporto contrattuale (es. numero del conto corrente)
Il provvedimento Misure tecnologiche dettaglio Nel caso specifico di questa disposizione è necessario che i sistemi monitorati siano in grado di generare i log con le informazioni richieste dalla normativa; il sistema che tratterà i file di log dovrà essere in grado di trattarli ed elaborarli in qualsiasi formato essi si presentino. I dati sono presenti già presenti in vari log generati dai sistemi o delle applicazioni -> Normalizzazione ed Aggregazione I dati non sono presenti negli applicativi; necessità di adeguare i sistemi e le applicazioni a monte.
Il provvedimento Misure tecnologiche dettaglio DB 1 Normalizzazione Aggregazione AP 1 Log 1 DB 2 Log 1 Log 2 DB 3 AP 2 Log 2 Log Mng Log 1 Dati log indicizzati Log 2 Conservazione
Il provvedimento Misure tecnologiche dettaglio DB 1 Aggregazione AP 1 Mid Log 1 DB 2 Log 1 Log 2 DB 3 AP 2 Mid Log 2 Log Mng Log 1 Dati log indicizzati Log 2 Conservazione
Soluzione tecnologica SecureLog è una soluzione completa di log management per la gestione di tutto il ciclo di vita dei log: acquisizione, centralizzazione, archiviazione, gestione ed analisi CENTRALIZZAZIONE ANALISI ARCHIVIAZIONE
Soluzione tecnologica La particolare architettura del sistema consente di garantire un livello di sicurezza del log da quando viene prodotto dal sistema fino alla sua cancellazione. Questo consente di garantire: Integrità Confidenzialità Consistenza dei dati trattati come previsto dalle disposizioni in ambito privacy ed in ambito responsabilità amministrativa.
Soluzione tecnologica La centralizzazione dei dati avviene in due modalità: mediante collettori software monitoraggio in real-time dei file di log e degli eventi di sistema protocollo sicuro per l invio dei dati dagli host al server centrale cash sicura nel caso di problemi di rete recupero dati in caso di crash del sistema mediante protocolli standard integrazione completa con i principali protocolli standard di settore (Syslog, Syslog NG, ftp, ftps, Xcom, ecc..)
Soluzione tecnologica La centralizzazione dei dati avviene in due modalità: mediante collettori software monitoraggio in real-time dei file di log e degli eventi di sistema protocollo sicuro per l invio dei dati dagli host al server centrale cash sicura nel caso di problemi di rete recupero dati in caso di crash del sistema mediante protocolli standard integrazione completa con i principali protocolli standard di settore (Syslog, Syslog NG, ftp, ftps, Xcom, ecc..)
Il provvedimento Misure tecnologiche Soluzione tecnologica Conservazione dei log di tracciamento delle operazioni [punto 4.2.2] Il periodo di conservazione dei file di log delle operazioni di inquiry non deve essere inferiore a 24 mesi dalla data di registrazione dell'operazione.
Il provvedimento Misure tecnologiche Soluzione tecnologica SecureLog consente una gestione automatizzata dell intero ciclo di vita del log; Il sistema consente di configurare i tempi di conservazione diversificati per singolo log item (o per gruppi di log item). Questo perché le varie normative in ambito log prevedono retention diversificate. Il prodotto deve garantisce la conformità della conservazione secondo il d.lgs. 196/13 ovvero inalterabilità, integrità e completezza.
Il provvedimento Misure tecnologiche Soluzione tecnologica Implementazione di alert [punto 4.3.1] Deve essere prefigurata da parte delle banche l'attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry.
Il provvedimento Misure tecnologiche Soluzione tecnologica SecureLog è dotato di funzionalità di allarmistica in real-time che consente di impostare, tramite regular expression, degli allert sul contenuto dei log specifici comportamenti anomali degli utenti. Per determinare comportamenti anomali il sistema deve consentire di eseguire analisi anche concatenate (es condizione sospetta e tempo) Il sistema, inoltre, è dotato di allarmistica interna che segnala eventuali comportamenti anomali eseguiti sul sistema stesso.
Il provvedimento Misure tecnologiche Soluzione tecnologica Implementazione di alert [punto 4.3.1] ii. Negli strumenti di business intelligence devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi. Il sistema SecureLog è in grado di collegarsi ad altri sistemi (ad es Business Intelligence) che tipicamente non fanno compliance. Per condividere le informazioni contenute nei log, mantenedo al tempo stesso la conformità alle normative in merito alla conservazione dei dati.
Il provvedimento Misure tecnologiche Soluzione tecnologica Audit interno di controllo [punto 4.3.2] Rapporti periodici. i. La gestione dei dati bancari deve essere oggetto, con cadenza almeno annuale, di un'attività di controllo interno da parte dei titolari del trattamento.
Il provvedimento Misure tecnologiche Soluzione tecnologica SecureLog mediante il suo modulo di analisi è in grado di produrre idonea Reportistica standard o personalizzata; è dotato di funzionalità di produzione schedulata dei report. Inoltre, in base alla struttura dei log, un processo di normalizzazione può rendersi necessario per rendere efficiente la produzione di report nel passato. Il modulo di analisi è in grado inoltre di aggregare dati provenienti da più fonti eterogenee in modo tale facilitare il processo di reportistica e di ricerca.
Il provvedimento Misure tecnologiche Soluzione tecnologica
Il provvedimento Misure tecnologiche Soluzione tecnologica
Il provvedimento Misure tecnologiche Soluzione tecnologica Audit interno di controllo [punto 4.3.2] Rapporti periodici. ii. L'attività di controllo deve essere demandata a un'unità organizzativa o, comunque, a personale diverso rispetto a quello cui è affidato il trattamento dei dati bancari dei clienti.
Il provvedimento Misure tecnologiche Soluzione tecnologica SecureLog è dotato di apposita funzionalità ACL che garantisce l accesso al sistema mediante policy differenziate per tipologia di utente che accede: dalla sola visualizzazione di particolari item (Audit) alla configurazione del sistema (Sistemisti). Questo consente di demandare le attività di audit anche a soggetti esterni. Fondamentale che le attività degli utenti vengano a loro volta loggate per eventuali visite ispettive.
Il provvedimento Misure tecnologiche Soluzione tecnologica Audit interno di controllo [punto 4.3.2] Rapporti periodici. iii. I controlli devono comprendere anche verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di alerting e di anomaly detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull'integrità dei dati e delle procedure informatiche adoperate per il loro trattamento. Sono svolte, altresì, verifiche periodiche sulla corretta conservazione dei file di log per il periodo previsto al punto 4.2.2.
Il provvedimento Misure tecnologiche Soluzione tecnologica Consultazione facile e rapida per poter eseguire verifiche a campione (giorno / mese / utente ecc ) o di dettaglio; ricerca per piu campi per poter isolare le informazioni contenute nell allarme.
Il provvedimento Misure tecnologiche Soluzione tecnologica Verifiche sulla conservazione si ottengono come per qualsiasi documento elettronico in conservazione sostitutiva: mediante l utilizzo di opportuni algoritmi di hash. L attività di verifica di integrità è opportuno che venga eseguita direttamente dal sistema periodicamente rilasciato un report periodico dell attività di verifica. Funzionalità di verifica on demand, su dati selezionabili, in caso di verifica ispettiva. Questa funzionalità si rileva utile anche per normative al di fuori dell ambito privacy (ad es: 231 responsabilità amministrativa)
Il provvedimento Misure tecnologiche Soluzione tecnologica Misure tecnologiche, risvolti operativi: Completezza, immodificabilità e integrità sono concetti dati per scontati in rifermento ai log; anche se non semplici da garantire. (es Telco, Amministratori di Sistema) In caso di accesso massivo ai dati della clientela, si chiarisce che il trattamento deve riguardare i dati relativi all'incaricato che ha effettuato la query, la data, l'ora e il dettaglio della relativa richiesta; inoltre, dal dettaglio di quest'ultima deve risultare possibile verificare se la posizione di un cliente sia stata oggetto di attenzione nell'ambito di una query che abbia prodotto risultati riferibili a più soggetti o a più rapporti.
Il provvedimento Misure tecnologiche Soluzione tecnologica Misure tecnologiche, risvolti operativi: Alla lettera tracciare tutte le query e i relativi risultati Altre possibilità es: loggare solo le chiavi di ricerca e non i risultati; dovrò poi avere però strumenti per verificare quali chiavi di ricerca soddisfino le esigenze di verifica. La query potrebbe essere fatta anche per n conto, area geografica, ecc. Devo poter risalire o collegare la chiave al cliente
Il provvedimento Misure tecnologiche Soluzione tecnologica Per capire e interpretare al meglio, chiedersi quale sia lo scopo. cosa devo garantire, quale la finalità della richiesta? In questo caso si deve garantire anche l esercizio del diritto di accesso ai propri dati del cliente (art. 7 d.lgs. 196/03)
Il provvedimento Misure tecnologiche Soluzione tecnologica Il provvedimento si aggiunge ad altri obblighi privacy già esistenti: Obblighi generali Legge Privacy misure minime, nomine, consensi per marketing, ecc. Adozione delle misure organizzative e tecnologiche nel rispetto della vigente disciplina in materia di controllo a distanza dei lavoratori (art. 4, l. 20 maggio 1970, n. 300 Statuto dei lavoratori) Provvedimento Amministratori di sistema non devo tracciare anche le singole operazioni degli AdS (solo quelle degli addetti applicativi), ma devo conservare i loro accessi per almeno 6 mesi.
Contacts HTS HI-TECH SERVICES S.R.L. Via Carducci 4/2 33100 Udine (UD) Tel. +39 0432 1540100 frosso@hts-italy.com info@hts-italy.com