La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

La sicurezza nei servizi della banca multicanale Roma, 06/06/2002 Fulvio Parisi BNL Multiservizi S.p.A Marketing E-Security Solution Center.

Presentazioni simili


Presentazione sul tema: "La sicurezza nei servizi della banca multicanale Roma, 06/06/2002 Fulvio Parisi BNL Multiservizi S.p.A Marketing E-Security Solution Center."— Transcript della presentazione:

1 La sicurezza nei servizi della banca multicanale Roma, 06/06/2002 Fulvio Parisi BNL Multiservizi S.p.A Marketing E-Security Solution Center.

2 p. 2 I e-security nei servizi della banca multicanaleINDICEINDICE La mission e le attività Il posizionamento La banca multicanale Le-Security: processi organizzativi Le-Security: processi organizzativi e tecnologia Le applicazioni di sicurezza nei servizi bancari: lesperienza BNL

3 p. 3 I e-security nei servizi della banca multicanale 100% BNL Y risorse 150 Ml fatturato Y risorse 120 Ml fatturato Ruolo chiave nella strategia dei servizi telematici di BNL

4 p. 4 I e-security nei servizi della banca multicanale La mission aziendale –Essere leader nei servizi ICT con particolare riferimento al settore bancario e finanziario. –Eccellenza nei servizi di Outsourcing informatico: progettazione e gestione dei sistemi Informativi erogazione dei servizi gestione dellassistenza. –Eccellenza nei servizi di gestione NASP per piattaforme: e-banking e-payment e- commerce. –Essere leader nei servizi per la sicurezza su Internet. –Integrare i servizi di Call Centre con unofferta di Contact Management per organizzazioni complesse

5 p. 5 I e-security nei servizi della banca multicanale FACILITY MANAGEMENT I servizi offerti ICT OUTSOURCING Financial & Credit (leasing, factoring,SIM) Asset management System & Services Mgmt CONTACT MANAGEMENT CRM Problem Management Customer Care SLA Management APPLICATION Mgmt//Development Multiplatform Banking & Financial Application ICT Consulting Special programs and system integration ASP e SERVIZI E-Business e-Commerce e-Finance e-Payment e-Brokerage Mail and Messaging Data warehousing E-SECURITY Certificate Management Remote Reg. Authority Digital Signature Services Time Stamping Services Key Recovery Services Security consulting Data centerDistributed architecturesweb hosting/housing

6 p. 6 I e-security nei servizi della banca multicanale Il posizionamento Ruolo di Multiservizi nel Gruppo per il programma strategico di banca Multicanale Gruppo BNL Pubblica Amministrazione Sanità Imprese Mercati : outsourcing NASP services e-Security services contact management

7 p. 7 I e-security nei servizi della banca multicanale La banca multicanale –Diverse modalità e canali per comunicare con la propria banca: sportello fisico, sportello self service, telefonia fissa e mobile, telematico –I vantaggi della banca multicanale: risparmio di tempo risparmio di costi comodità rapidità facilità di comunicazione indipendenza dalla locazione fisica >La sicurezza è il fattore critico da affrontare per lo sviluppo dei servizi telematici: un cliente può ripudiare una disposizione, la banca deve tutelarsi da intromissioni in rete da parte di hackers >Il problema è di carattere organizzativo, tecnologico, giuridico

8 p. 8 I e-security nei servizi della banca multicanale Lapproccio alla sicurezza Il problema della sicurezza e sicuramente complesso e sfidante, ma puo essere affrontato e risolto… Le tecnologie e le metodologie organizzative opportune esistono. E importante ed indispensabile saper scegliere correttamente il mix piu adeguato alle esigenze di business dei diversi servizi

9 p. 9 I e-security nei servizi della banca multicanale INTEGRITA Garanzia della accuratezza e delle completezza delle informazioni e dei processi che su di esse agiscono. Le informazioni possono essere quindi modificate esclusivamente dai soggetti autorizzati, nelle forme e nei modi previsti RISERVATEZZA Le informazioni possono essere consultate soltanto dai soggetti autorizzati. DISPONIBILITA Le informazioni devono poter essere utilizzate nel rispetto di livelli di servizio predefiniti. AUTENTICAZIONE processo che garantisce lidentità di un soggetto o di un dispositivo Sicurezza nel contesto ict : concetti chiave

10 p. 10 I e-security nei servizi della banca multicanale Sicurezza nel contesto ict E necessario comunque rivolgere lattenzione non soltanto agli aspetti strettamente attinenti lInformation/Communication Technology. SICUREZZA E ANCHE: Tutela dellintegrita fisica delle infrastrutture di erogazione I tragici eventi dellundici settembre hanno evidenziato la necessita di applicare corrette policy di sicurezza atte a garantire la continuita dei servizi informativi mission critical Misure organizzative che prevengano la possibile esposizione alla infedelta dei dipendenti Ancora oggi la maggior parte dei danni causati dal computer crime deriva da azioni attuate dai dipendenti delle organizzazioni danneggiate

11 p. 11 I e-security nei servizi della banca multicanale Sicurezza nel contesto ict Lera di internet e la necessaria apertura dei sistemi informativi rende comunque indispensabile lattuazione di difese efficaci e certificate rispetto ad attacchi provenienti dallesterno che divengono sempre piu frequenti e sofisticati Risposte: –tecnologia –strumenti crittografici –standard –misure organizzative –difese fisiche Ma soprattutto ! –approccio globale e metodologicamente corretto al problema

12 p. 12 I e-security nei servizi della banca multicanale Sicurezza nel contesto ict Un approccio globale e sistemico alla sicurezza implica: Definizione di adeguate politiche di sicurezza Analisi del rischio e selezione dei controlli Implementazione di contromisure adeguate –fisiche –tecnologiche –organizzative Revisione ed auditing dei processi di gestione della sicurezza

13 p. 13 I e-security nei servizi della banca multicanale Sicurezza nel contesto ict Lanalisi dei rischi e un passo metodologico fondamentale che spesso viene trascurato: –Definire il contesto di riferimento e quindi i beni da proteggere –Individuare le minacce potenziali che gravano sui beni –Qualificare le contromisure adottate a fronte delle minacce –Quantificare e gestire il rischio residuale

14 p. 14 I e-security nei servizi della banca multicanale La tecnologia abilitante: Public Key Infrastructure (PKI) Crittografia a chiave pubblica: basata su una coppia di chiavi (una privata e una pubblica) generate mediante dispositivo sicuro La proprietà delle due chiavi: Dalla prima non possibile è risalire alla seconda (e viceversa) Ciò che viene crittografato (RSA) con la prima è decifrabile solo con la seconda (e viceversa) Lutente si reca ad uno sportello di Registrazione dellEnte Certificatore di fiducia (Registration Authority) La Registration Authority identifica lutente e registra i dati anagrafici Lutente, dopo aver generato la coppia di chiavi, invia allEnte Certificatore la chiave pubblica e custodisce segretamente la chiave privata LEnte Certificatore emette e pubblica il certificato elettronico: associazione garantita fra lidentità fisica dellutente e la sua chiave pubblica

15 p. 15 I e-security nei servizi della banca multicanale La tecnologia abilitante: Public Key Infrastructure (PKI) Multicertify V. 1.0 (1998) –> Sperimentazione Comune Bologna Febbraio > DPCM Bassanini sulla Firma Digitale Make or Buy ? Normativa – Know How - Mercato Iscritto nellelenco pubblico AIPA (marzo 2000) Sistema di qualità certificato ISO9001 per la Progettazione ed erogazione di servizi di Certification Authority PKI (Public Key Infrastructure) verificata ITSEC (come previsto dal DPCM febbraio 1999) con evidenza rilasciata da IMQ (dicembre 2000) Controllo completo della tecnologia: –infrastruttura PKI progettata e sviluppata interamente nel proprio laboratorio e nella propria fabbrica, allineata costantemente agli standard tecnologici internazionali (RFC, PKx) –consente a BNL Multiservizi l indipendenza da fornitori esterni e un alto livello di integrazione con le soluzioni e le esigenze di clienti/partner

16 p. 16 I e-security nei servizi della banca multicanale Impatti organizzativi ed investimenti Ruoli e responsabilità definiti e pubblicati – Presentazione domanda di iscrizione allalbo – (Accreditamento obbligatorio) Procedure organizzative definite, pubblicate e verificate – Piano della sicurezza aziendale – Manuale operativo – Ambiente di sviluppo e system test – Ambiente di erogazione Ambiente ad hoc per il Disaster Recovery Sistema di qualità del certificatore: ISO9002 Investimenti: la Sicurezza come Asset Aziendale

17 p. 17 I e-security nei servizi della banca multicanale La risposta tecnologica sulla FIDUCIA nei servizi SICUREZZA ? Firma Digitale Autenticazione Autorizzazione Riservatezza Integrità Non Ripudio Autenticazione Integrità Non Ripudio Autorizzazione Contesto Applicativo Riservatezza Crittografia SSL, Librerie, …

18 p. 18 I e-security nei servizi della banca multicanale Offerta BNL Multiservizi – E-Security Prodotti/Servizi PKI a norma (multiCERTIFY) Firma digitale e crittografia sul client (securSIGN) API per la Firma digitale e la crittografia (Secursign API) Custodia in sicurezza delle chiavi private utente (SecurBox) Distribuzione automatica dei contesti sicuri: CA e CRL (Distributed Secure Context) Uso dei certificati elettronici in modalità trasparente per le applicazioni WEB (Trust Access) Professional Services Consulenza Assessment sulla sicurezza Progettazione ambienti sicuri (Ambienti, Procedure organizzative, Tecnologie) Integrazione dei nostri prodotti con i sistemi informativi del cliente Personalizzazione delle nostre soluzioni sulle necessità del cliente Customer Service Assistenza telefonica verso lutente finale Help Desk di 2° e 3° Livello Tracciamento e reporting per ogni singola chiamata Generazione delle Chiavi Private nella Smart Card

19 p. 19 I e-security nei servizi della banca multicanale BNL Multiservizi crede che il vero vantaggio competitivo nelle-business consista nella capacità di fornire servizi progettati e gestiti in modo rigoroso in ogni fase del ciclo realizzativo e di erogazione Il livello di trust in una struttura bancaria è alto ma viene rafforzato da unazione continua di monitoraggio e controllo dei processi, risultato di un sistema qualità che sia un vero e proprio sistema di gestione aziendale Consideriamo la sicurezza uno dei principali fattori abilitanti dei servizi nel rispetto delle aspettative della clientela. Ricerchiamo la piena aderenza alle policy di gestione dei rischi nella erogazione dei servizi bancari e finanziari

20 p. 20 I e-security nei servizi della banca multicanale Le certificazioni di qualità e sicurezza acquisite da BNL Multiservizi ISO 9001 progettazione, sviluppo e manutenzione di prodotti software (Rapporto emesso DNV) ISO 9001 estensione per progettazione ed erogazione servizio di Certification Authority (Rapporto emesso da DNV) Certificazione di rispondenza si requisiti di sicurezza ITSEC e SOM High (Rapporto emesso dal CE.VA. IMQ) Certificazione e-QM2001 per il commercio elettronico ISO 9001 estensione per progettazione ed erogazione servizi (Rapporto emesso da DNV) EBTrust sul sevizio e-Family (Rapporto emesso da DNV) Y 1997 Y 2000 Y 2001 VISION 2000 BS7799 Sistema Integrato Estensione EBTrust Y 2002

21 p. 21 I e-security nei servizi della banca multicanaleEDIWAYEDIWAY SERVIZI Servizi informativi (saldi e movimenti giornalieri in euro ed in valuta presso BNL e altra banca in Italia, saldo contabile in tempo reale, segnalazione degli insoluti, ecc.) –Servizi dispositivi (ordini di pagamento: bonifici, pagamento stipendi, pagamento ricevute bancarie in scadenza, ecc.) –Cash management internazionale (saldi e movimenti di conti intrattenuti presso banche straniere) –Informazioni e analisi economiche a cura di BNL –Notiziari economico-finanziari –Banche dati online – Informazioni commerciali online (visure protesti, visure camerali, dati di bilancio) – Analisi delle società quotate alla Borsa Valori italiana Volumi imprese clienti di transazioni sicure in tre anni

22 p. 22 I e-security nei servizi della banca multicanaleTelebancaTelebanca Servizi phone banking fisso/mobile per operazioni bancarie, informative e dispositive su: – conto corrente – rapporto titoli – portafoglio di fondi Consente, tramite IVR, lacquisizione di informazioni on line sulle quotazioni dei titoli, sugli esiti degli ordini, sulle ultime 5 operazioni relative al proprio c/c Volumi clienti Volumi servizi erogati/anno: servizi dispositivi servizi informativi

23 p. 23 I e-security nei servizi della banca multicanale E-family: retail banking SERVIZI operazioni bancarie, ordinarie e straordinarie (pagamenti di utenze, situazione del proprio conto corrente, gestione degli investimenti) consulenze personalizzate per la soluzione dei problemi familiari e legati alla casa: dalla scuola, allassicurazione auto, alle informazioni sui tributi e alla possibilità di pagarli on line, alla gestione di problemi legali, fiscali e condominiali, alle informazioni su mutui e crediti personalizzati per la casa, lo studio, lauto, lo sport acquisto di elettrodomestici, elettronica di consumo, prodotti per la casa, ecc. sottoscrizione abbonamenti a riviste e collane di libri attivazione utenze convenzionate (telefonia fissa e mobile) Volumi (da ottobre 2000) clienti transazioni bancarie effettuate 12 importanti partner commerciali selezionati prodotti e servizi nellarea delle-commerce visitatori Volumi medi giornalieri 400 nuove adesioni page views operazioni

24 p. 24 I e-security nei servizi della banca multicanale Credito al Consumo Finalizzato: retail banking SERVIZI finanziamento alle famiglie per l acquisto di beni durevoli di consumo effettuato presso dealer convenzionati scoring del cliente presso il punto vendita servizio fidelity – emissione di carte di pagamento – emissione di carte con premi e punteggi carta multifunzione utilizzabile dal cliente finale su tutta la rete BNL Volumi (da settembre 2001) 330 dealer 600 pratiche di finanziamento erogate

25 p. 25 I e-security nei servizi della banca multicanale POS virtuale: e-commerce b2b SERVIZI predisposizione di un ambiente virtuale per la vendita di beni e servizi su Internet transazioni online con carte di credito (VISA, MasterCard, Europay, Amex, Diners) servizio di hosting per il merchant Volumi medi giornalieri 200 transazioni online controvalore: 10350

26 p. 26 I e-security nei servizi della banca multicanale Business way: corporate banking SERVIZI gestione conti correnti e tesoreria: saldo e movimenti, saldo contabile, giroconti gestione rapporti commerciali con fornitori e clienti: gestione incassi e pagamenti, accesso ad informazioni commerciali ed a rapporti commerciali (Dun&Bradstreet) gestione rapporti con i dipendenti: servizi di pagamento stipendi e ricerca del personale operazioni con lestero: bonifico estero, saldo movimenti c/c esteri gestione ordinaria amministrazione: acquisto prodotti hw (IBM), servizi di telecomunicazione (Albacom), pagamento imposte e tasse sviluppo del business: leasing, banche dati su finanziamenti agevolati, consulenza direzionale online Volumi (da ottobre 2001) clienti 1600 transazioni online 500 disposizioni store & forward Volumi medi giornalieri 23 transazioni online 7 disposizioni store & forward

27 p. 27 I e-security nei servizi della banca multicanale La trustability dei servizi EDIWAY: chiavi asimmetriche a 1024 bit e key session simmetriche DES; certificati digitali TELEBANCA: autenticazione tramite numero memory card e PIN e disposizioni tramite sistema challenge/response Trading on line: autenticazione Internet con certificato digitale; su GSM con password E-family: autenticazione Internet con certificato digitale; firma digitale con chiavi su file system; pagamento sicuro con certificato SET Credito Consumo Finalizzato: autenticazione Internet tramite certificato digitale POS virtuale: autenticazione tramite certificato digitale; pagamenti sicuri con certificato SET Business Way: autenticazione Internet tramite certificato digitale; firma digitale a norma con chiavi su smart card


Scaricare ppt "La sicurezza nei servizi della banca multicanale Roma, 06/06/2002 Fulvio Parisi BNL Multiservizi S.p.A Marketing E-Security Solution Center."

Presentazioni simili


Annunci Google