Date post: | 01-May-2015 |
Category: |
Documents |
Upload: | anastasio-radaelli |
View: | 212 times |
Download: | 0 times |
La sicurezza nei servizi della banca multicanaleLa sicurezza nei servizi della banca multicanale
Roma, 06/06/2002Fulvio Parisi
BNL Multiservizi S.p.AMarketing E-Security Solution Center.
p. 2 II
e-security nei servizi della banca multicanale
INDICEINDICEINDICEINDICE
La mission e le attività
Il posizionamento
La banca multicanale
L’e-Security: processi organizzativi e tecnologia
Le applicazioni di sicurezza nei servizi bancari: l’esperienza BNL
La mission e le attività
Il posizionamento
La banca multicanale
L’e-Security: processi organizzativi e tecnologia
Le applicazioni di sicurezza nei servizi bancari: l’esperienza BNL
p. 3 II
e-security nei servizi della banca multicanale
100% BNL100% BNL
Y2001 577 risorse 150 Ml € fatturato
Y2001 577 risorse 150 Ml € fatturato
Y2000 484 risorse 120 Ml € fatturato
Y2000 484 risorse 120 Ml € fatturato
Ruolo chiave nella strategia dei servizi telematici di BNL Ruolo chiave nella strategia dei servizi telematici di BNL
p. 4 II
e-security nei servizi della banca multicanale
La mission aziendaleLa mission aziendaleLa mission aziendaleLa mission aziendale
– Essere leader nei servizi ICT con particolare riferimento al settore bancario e finanziario.
– Eccellenza nei servizi di Outsourcing informatico: • progettazione e gestione dei sistemi Informativi• erogazione dei servizi• gestione dell’assistenza.
– Eccellenza nei servizi di gestione NASP per piattaforme:• e-banking• e-payment• e- commerce.
– Essere leader nei servizi per la sicurezza su Internet.– Integrare i servizi di Call Centre con un’offerta di Contact
Management per organizzazioni complesse
p. 5 II
e-security nei servizi della banca multicanale
FACILITY MANAGEMENTFACILITY MANAGEMENT
I servizi offerti I servizi offerti I servizi offerti I servizi offerti
ICT OUTSOURCING
• Financial & Credit (leasing, factoring,SIM)
• Asset management
• System & Services Mgmt
ICT OUTSOURCING
• Financial & Credit (leasing, factoring,SIM)
• Asset management
• System & Services Mgmt
CONTACT MANAGEMENT
CRMCRM Problem Management
Problem ManagementCustomer Care
Customer CareSLA Management
SLA Management
APPLICATION Mgmt//Development
• Multiplatform Banking & Financial Application
• ICT Consulting
• Special programs and system integration
APPLICATION Mgmt//Development
• Multiplatform Banking & Financial Application
• ICT Consulting
• Special programs and system integration
ASP e SERVIZI
E-Business• e-Commerce• e-Finance• e-Payment• e-Brokerage
•Mail and Messaging•Data warehousing
ASP e SERVIZI
E-Business• e-Commerce• e-Finance• e-Payment• e-Brokerage
•Mail and Messaging•Data warehousing
E-SECURITY
• Certificate Management
• Remote Reg. Authority
• Digital Signature Services
• Time Stamping Services
• Key Recovery Services
• Security consulting
E-SECURITY
• Certificate Management
• Remote Reg. Authority
• Digital Signature Services
• Time Stamping Services
• Key Recovery Services
• Security consulting
Data center Distributed architectures web hosting/housing
p. 6 II
e-security nei servizi della banca multicanale
Il posizionamentoIl posizionamentoIl posizionamentoIl posizionamento
Ruolo di Multiservizi nel Gruppo per il programma strategico di banca Multicanale
Gruppo BNL
Pubblica Amministrazione
Sanità
Imprese
Mercati :
outsourcingNASP servicese-Security servicescontact management
p. 7 II
e-security nei servizi della banca multicanale
La banca multicanaleLa banca multicanaleLa banca multicanaleLa banca multicanale
– Diverse modalità e canali per comunicare con la propria banca: sportello fisico, sportello self service, telefonia fissa e mobile, telematico
– I vantaggi della banca multicanale:• risparmio di tempo• risparmio di costi• comodità• rapidità• facilità di comunicazione• indipendenza dalla locazione fisica
> La sicurezza è il fattore critico da affrontare per lo sviluppo dei servizi telematici: un cliente può ripudiare una disposizione, la banca deve tutelarsi da intromissioni in rete da parte di hackers
> Il problema è di carattere organizzativo, tecnologico, giuridico
p. 8 II
e-security nei servizi della banca multicanale
L’approccio alla sicurezzaL’approccio alla sicurezzaL’approccio alla sicurezzaL’approccio alla sicurezza
Il problema della sicurezza e’ sicuramente complesso e sfidante, ma puo’ essere affrontato e risolto…
Le tecnologie e le metodologie organizzative opportune esistono.
E’ importante ed indispensabile saper scegliere correttamente il mix piu’ adeguato alle esigenze di business dei diversi servizi
p. 9 II
e-security nei servizi della banca multicanale
INTEGRITA’
Garanzia della accuratezza e delle completezza delle informazioni e dei processi che su di esse agiscono. Le informazioni possono essere quindi modificate esclusivamente dai soggetti autorizzati, nelle forme e nei modi previsti
RISERVATEZZA
Le informazioni possono essere consultate soltanto dai soggetti autorizzati.
DISPONIBILITA’
Le informazioni devono poter essere utilizzate nel rispetto di livelli di servizio predefiniti.
AUTENTICAZIONE
processo che garantisce l’identità di un soggetto o di un dispositivo
Sicurezza nel contesto ict : concetti chiaveSicurezza nel contesto ict : concetti chiaveSicurezza nel contesto ict : concetti chiaveSicurezza nel contesto ict : concetti chiave
p. 10 II
e-security nei servizi della banca multicanale
Sicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ict
E’ necessario comunque rivolgere l’attenzione non soltanto agli aspetti strettamente attinenti l’Information/Communication Technology.
SICUREZZA E’ ANCHE:
Tutela dell’integrita’ fisica delle infrastrutture di erogazione
I tragici eventi dell’undici settembre hanno evidenziato la necessita’ di applicare corrette policy di sicurezza atte a
garantire la continuita’ dei servizi informativi “mission critical”
Misure organizzative che prevengano la possibile esposizione alla infedelta’ dei dipendenti
Ancora oggi la maggior parte dei danni causati dal computer crime deriva da azioni attuate dai dipendenti delle organizzazioni
danneggiate
p. 11 II
e-security nei servizi della banca multicanale
Sicurezza nel contesto ict Sicurezza nel contesto ict Sicurezza nel contesto ict Sicurezza nel contesto ict
L’era di internet e la necessaria apertura dei sistemi informativi rende comunque indispensabile l’attuazione di difese efficaci e certificate rispetto ad attacchi provenienti dall’esterno che divengono sempre piu’ frequenti e sofisticati
Risposte:
– tecnologia
– strumenti crittografici
– standard
– misure organizzative
– difese fisiche
Ma soprattutto !
– approccio globale e metodologicamente corretto al problema
p. 12 II
e-security nei servizi della banca multicanale
Sicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ict
Un approccio globale e sistemico alla sicurezza implica:
• Definizione di adeguate politiche di sicurezza
• Analisi del rischio e selezione dei controlli
• Implementazione di contromisure adeguate– fisiche– tecnologiche– organizzative
• Revisione ed auditing dei processi di gestione della sicurezza
p. 13 II
e-security nei servizi della banca multicanale
Sicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ict
L’analisi dei rischi e’ un passo metodologico fondamentale che spesso viene trascurato:
– Definire il contesto di riferimento e quindi i beni da proteggere
– Individuare le minacce potenziali che gravano sui beni
– Qualificare le contromisure adottate a fronte delle minacce
– Quantificare e gestire il rischio residuale
p. 14 II
e-security nei servizi della banca multicanale
La tecnologia abilitante: Public Key Infrastructure (PKI)La tecnologia abilitante: Public Key Infrastructure (PKI)La tecnologia abilitante: Public Key Infrastructure (PKI)La tecnologia abilitante: Public Key Infrastructure (PKI)
• Crittografia a “chiave pubblica”: basata su una coppia di chiavi (una privata e una pubblica) generate mediante dispositivo sicuro
• La proprietà delle due chiavi:• Dalla prima non possibile è risalire alla seconda (e viceversa)
• Ciò che viene crittografato (RSA) con la prima è decifrabile solo con la seconda (e viceversa)
• L’utente si reca ad uno sportello di “Registrazione” dell’Ente Certificatore di fiducia (Registration Authority)
• La Registration Authority identifica l’utente e registra i dati anagrafici
• L’utente, dopo aver generato la coppia di chiavi, invia all’Ente Certificatore la chiave pubblica e custodisce segretamente la chiave privata
• L’Ente Certificatore emette e pubblica il certificato elettronico: associazione “garantita” fra l’identità fisica dell’utente e la sua chiave pubblica
p. 15 II
e-security nei servizi della banca multicanale
La tecnologia abilitante: Public Key Infrastructure La tecnologia abilitante: Public Key Infrastructure (PKI)(PKI)La tecnologia abilitante: Public Key Infrastructure La tecnologia abilitante: Public Key Infrastructure (PKI)(PKI)
• Multicertify V. 1.0 (1998) –> Sperimentazione Comune Bologna• Febbraio 1999 -> DPCM Bassanini sulla Firma Digitale• Make or Buy ?
Normativa – Know How - Mercato
• Iscritto nell’elenco pubblico AIPA (marzo 2000)
• Sistema di qualità certificato ISO9001 per la Progettazione ed erogazione di servizi di “Certification Authority”
• PKI (Public Key Infrastructure) verificata ITSEC (come previsto dal DPCM febbraio 1999) con evidenza rilasciata da IMQ (dicembre 2000)
• Controllo completo della tecnologia:
– infrastruttura PKI progettata e sviluppata interamente nel proprio laboratorio e nella propria fabbrica, allineata costantemente agli standard tecnologici internazionali (RFC, PKx)
– consente a BNL Multiservizi l’ indipendenza da fornitori esterni e un alto livello di integrazione con le soluzioni e le esigenze di clienti/partner
p. 16 II
e-security nei servizi della banca multicanale
Impatti organizzativi ed investimentiImpatti organizzativi ed investimentiImpatti organizzativi ed investimentiImpatti organizzativi ed investimenti
• Ruoli e responsabilità definiti e pubblicati
– Presentazione domanda di iscrizione all’albo– (Accreditamento obbligatorio)
• Procedure organizzative definite, pubblicate e verificate
– Piano della sicurezza aziendale
– Manuale operativo
– Ambiente di sviluppo e system test
– Ambiente di erogazione
• Ambiente “ad hoc” per il Disaster Recovery
• Sistema di qualità del certificatore: ISO9002
• Investimenti: la Sicurezza come “Asset” Aziendale
p. 17 II
e-security nei servizi della banca multicanale
La risposta tecnologica sulla FIDUCIA nei serviziLa risposta tecnologica sulla FIDUCIA nei serviziLa risposta tecnologica sulla FIDUCIA nei serviziLa risposta tecnologica sulla FIDUCIA nei servizi
SICUREZZA ?Firma Digitale
Autenticazione Autorizzazione Riservatezza Integrità Non RipudioAutenticazione Integrità Non RipudioAutorizzazione
ContestoApplicativo
Riservatezza
Crittografia SSL, Librerie, …
p. 18 II
e-security nei servizi della banca multicanale
Offerta BNL Multiservizi – E-SecurityOfferta BNL Multiservizi – E-SecurityOfferta BNL Multiservizi – E-SecurityOfferta BNL Multiservizi – E-Security
• Prodotti/Servizi• PKI a norma (multiCERTIFY)• Firma digitale e crittografia sul client (securSIGN)• API per la Firma digitale e la crittografia (Secursign API)• Custodia in sicurezza delle chiavi private utente (SecurBox)• Distribuzione automatica dei contesti sicuri: CA e CRL (Distributed Secure Context)• Uso dei certificati elettronici in modalità trasparente per le applicazioni WEB (Trust Access)
• Professional Services• Consulenza• Assessment sulla sicurezza• Progettazione ambienti sicuri (Ambienti, Procedure organizzative, Tecnologie)• Integrazione dei nostri prodotti con i sistemi informativi del cliente• Personalizzazione delle nostre soluzioni sulle necessità del cliente
• Customer Service• Assistenza telefonica verso l’utente finale• Help Desk di 2° e 3° Livello• Tracciamento e reporting per ogni singola chiamata
Generazione delle Chiavi Private
nella Smart Card
p. 19 II
e-security nei servizi della banca multicanale
BNL Multiservizi crede che il vero vantaggio competitivo nell’e-business consista nella capacità di fornire servizi progettati e
gestiti in modo rigoroso in ogni fase del ciclo realizzativo e di erogazione
BNL Multiservizi crede che il vero vantaggio competitivo nell’e-business consista nella capacità di fornire servizi progettati e
gestiti in modo rigoroso in ogni fase del ciclo realizzativo e di erogazione
Il livello di trust in una struttura bancaria è alto ma viene rafforzato da un’azione continua di monitoraggio
e controllo dei processi, risultato di un sistema qualità che sia un vero e proprio sistema di gestione aziendale
Il livello di trust in una struttura bancaria è alto ma viene rafforzato da un’azione continua di monitoraggio
e controllo dei processi, risultato di un sistema qualità che sia un vero e proprio sistema di gestione aziendale
Consideriamo la sicurezza uno dei principali fattori abilitanti dei servizi nel rispetto delle aspettative della clientela.
Ricerchiamo la piena aderenza alle policy di gestione dei rischi nella erogazione dei servizi bancari e finanziari
Consideriamo la sicurezza uno dei principali fattori abilitanti dei servizi nel rispetto delle aspettative della clientela.
Ricerchiamo la piena aderenza alle policy di gestione dei rischi nella erogazione dei servizi bancari e finanziari
p. 20 II
e-security nei servizi della banca multicanale
Le certificazioni di qualità e sicurezza acquisite da BNL MultiserviziLe certificazioni di qualità e sicurezza acquisite da BNL MultiserviziLe certificazioni di qualità e sicurezza acquisite da BNL MultiserviziLe certificazioni di qualità e sicurezza acquisite da BNL Multiservizi
ISO 9001progettazione,
sviluppo e manutenzione di prodotti software
(Rapporto emesso DNV)
ISO 9001 estensione per
progettazione ed erogazione servizio
di Certification Authority
(Rapporto emesso da DNV)
Certificazione di rispondenza si
requisiti di sicurezza
ITSEC e SOM High
(Rapporto emesso dal CE.VA. IMQ)
Certificazione
e-QM2001 per il commercio
elettronico
ISO 9001 estensione per
progettazione ed erogazione servizi (Rapporto emesso
da DNV)
EBTrust sul sevizio e-Family
(Rapporto emesso da DNV)
Y 1997Y 1997 Y 2000Y 2000 Y 2001Y 2001VISION 2000BS7799
Sistema Integrato
Estensione EBTrust
Y 2002Y 2002
p. 21 II
e-security nei servizi della banca multicanale
EDIWAYEDIWAYEDIWAYEDIWAY
SERVIZI• Servizi informativi (saldi e movimenti giornalieri in euro ed in valuta
presso BNL e altra banca in Italia, saldo contabile in tempo reale, segnalazione degli insoluti, ecc.)
– Servizi dispositivi (ordini di pagamento: bonifici, pagamento stipendi, pagamento ricevute bancarie in scadenza, ecc.)
– Cash management internazionale (saldi e movimenti di conti intrattenuti presso banche straniere)
– Informazioni e analisi economiche a cura di BNL– Notiziari economico-finanziari– Banche dati online– Informazioni commerciali online (visure protesti, visure camerali,
dati di bilancio)– Analisi delle società quotate alla Borsa Valori italiana
Volumi• 11.000 imprese clienti• 20.000.000 di transazioni sicure in tre anni
p. 22 II
e-security nei servizi della banca multicanale
TelebancaTelebancaTelebancaTelebanca
Servizi• phone banking fisso/mobile per operazioni bancarie, informative e dispositive su:
– conto corrente– rapporto titoli– portafoglio di fondi
Consente, tramite IVR, l’acquisizione di informazioni on line sulle quotazioni dei titoli, sugli esiti degli ordini, sulle ultime 5 operazioni relative al proprio c/c
Volumi• 268.000 clienti
Volumi servizi erogati/anno:• 381.000 servizi dispositivi• 11.143.000 servizi informativi
p. 23 II
e-security nei servizi della banca multicanale
E-family: retail bankingE-family: retail bankingE-family: retail bankingE-family: retail banking
SERVIZI• operazioni bancarie, ordinarie e straordinarie (pagamenti di utenze, situazione del
proprio conto corrente, gestione degli investimenti)
• consulenze personalizzate per la soluzione dei problemi familiari e legati alla casa: dalla scuola, all’assicurazione auto, alle informazioni sui tributi e alla possibilità di pagarli on line, alla gestione di problemi legali, fiscali e condominiali, alle informazioni su mutui e crediti personalizzati per la casa, lo studio, l’auto, lo sport
• acquisto di elettrodomestici, elettronica di consumo, prodotti per la casa, ecc.
• sottoscrizione abbonamenti a riviste e collane di libri
• attivazione utenze convenzionate (telefonia fissa e mobile)
Volumi (da ottobre 2000)• 104.000 clienti • 1.300.000 transazioni bancarie effettuate• 12 importanti partner commerciali selezionati• 5.000 prodotti e servizi nell’area dell’e-commerce• 2.500.000 visitatori
Volumi medi giornalieri• 400 nuove adesioni• 140.000 page views• 5.000 operazioni
p. 24 II
e-security nei servizi della banca multicanale
Credito al Consumo Finalizzato: retail bankingCredito al Consumo Finalizzato: retail bankingCredito al Consumo Finalizzato: retail bankingCredito al Consumo Finalizzato: retail banking
SERVIZI• finanziamento alle famiglie per l’ acquisto di beni durevoli di consumo
effettuato presso dealer convenzionati• scoring del cliente presso il punto vendita• servizio fidelity
– emissione di carte di pagamento – emissione di carte con premi e punteggi
• carta multifunzione utilizzabile dal cliente finale su tutta la rete BNL
Volumi (da settembre 2001)• 330 dealer• 600 pratiche di finanziamento erogate
p. 25 II
e-security nei servizi della banca multicanale
POS virtuale: e-commerce b2bPOS virtuale: e-commerce b2bPOS virtuale: e-commerce b2bPOS virtuale: e-commerce b2b
SERVIZI
• predisposizione di un ambiente virtuale per la vendita di beni e servizi su Internet
• transazioni online con carte di credito (VISA, MasterCard, Europay, Amex, Diners)
• servizio di hosting per il merchant
Volumi medi giornalieri
• 200 transazioni online• controvalore: 10350 €
p. 26 II
e-security nei servizi della banca multicanale
Business way: corporate bankingBusiness way: corporate bankingBusiness way: corporate bankingBusiness way: corporate banking
SERVIZI• gestione conti correnti e tesoreria: saldo e movimenti, saldo contabile, giroconti• gestione rapporti commerciali con fornitori e clienti: gestione incassi e pagamenti,
accesso ad informazioni commerciali ed a rapporti commerciali (Dun&Bradstreet)• gestione rapporti con i dipendenti: servizi di pagamento stipendi e ricerca del
personale• operazioni con l’estero: bonifico estero, saldo movimenti c/c esteri• gestione ordinaria amministrazione: acquisto prodotti hw (IBM), servizi di
telecomunicazione (Albacom), pagamento imposte e tasse• sviluppo del business: leasing, banche dati su finanziamenti agevolati, consulenza
direzionale online
Volumi (da ottobre 2001)2.000 clienti• 1600 transazioni online• 500 disposizioni store & forward
Volumi medi giornalieri• 23 transazioni online • 7 disposizioni store & forward
p. 27 II
e-security nei servizi della banca multicanale
La trustability dei serviziLa trustability dei serviziLa trustability dei serviziLa trustability dei servizi
EDIWAY: chiavi asimmetriche a 1024 bit e key session simmetriche DES; certificati digitali
TELEBANCA:
autenticazione tramite numero memory card e PIN e disposizioni tramite sistema challenge/response
Trading on line:
autenticazione Internet con certificato digitale; su GSM con password
E-family:
autenticazione Internet con certificato digitale; firma digitale con chiavi su file system; pagamento sicuro con certificato SET
Credito Consumo Finalizzato:
autenticazione Internet tramite certificato digitale
POS virtuale:
autenticazione tramite certificato digitale; pagamenti sicuri con certificato SET
Business Way:
autenticazione Internet tramite certificato digitale; firma digitale a norma con chiavi su smart card
1995
1997
2000
2001