La sicurezza nei servizi della banca multicanaleLa sicurezza nei servizi della banca multicanale

Roma, 06/06/2002Fulvio Parisi

BNL Multiservizi S.p.AMarketing E-Security Solution Center.

fulvio_parisi@bnlmultiservizi.it

p. 2 II

e-security nei servizi della banca multicanale

INDICEINDICEINDICEINDICE

La mission e le attività

Il posizionamento

La banca multicanale

L’e-Security: processi organizzativi e tecnologia

Le applicazioni di sicurezza nei servizi bancari: l’esperienza BNL

La mission e le attività

Il posizionamento

La banca multicanale

L’e-Security: processi organizzativi e tecnologia

Le applicazioni di sicurezza nei servizi bancari: l’esperienza BNL

p. 3 II

e-security nei servizi della banca multicanale

100% BNL100% BNL

Y2001 577 risorse 150 Ml € fatturato

Y2001 577 risorse 150 Ml € fatturato

Y2000 484 risorse 120 Ml € fatturato

Y2000 484 risorse 120 Ml € fatturato

Ruolo chiave nella strategia dei servizi telematici di BNL Ruolo chiave nella strategia dei servizi telematici di BNL

p. 4 II

e-security nei servizi della banca multicanale

La mission aziendaleLa mission aziendaleLa mission aziendaleLa mission aziendale

– Essere leader nei servizi ICT con particolare riferimento al settore bancario e finanziario.

– Eccellenza nei servizi di Outsourcing informatico: • progettazione e gestione dei sistemi Informativi• erogazione dei servizi• gestione dell’assistenza.

– Eccellenza nei servizi di gestione NASP per piattaforme:• e-banking• e-payment• e- commerce.

– Essere leader nei servizi per la sicurezza su Internet.– Integrare i servizi di Call Centre con un’offerta di Contact

Management per organizzazioni complesse

p. 5 II

e-security nei servizi della banca multicanale

FACILITY MANAGEMENTFACILITY MANAGEMENT

I servizi offerti I servizi offerti I servizi offerti I servizi offerti

ICT OUTSOURCING

• Financial & Credit (leasing, factoring,SIM)

• Asset management

• System & Services Mgmt

ICT OUTSOURCING

• Financial & Credit (leasing, factoring,SIM)

• Asset management

• System & Services Mgmt

CONTACT MANAGEMENT

CRMCRM Problem Management

Problem ManagementCustomer Care

Customer CareSLA Management

SLA Management

APPLICATION Mgmt//Development

• Multiplatform Banking & Financial Application

• ICT Consulting

• Special programs and system integration

APPLICATION Mgmt//Development

• Multiplatform Banking & Financial Application

• ICT Consulting

• Special programs and system integration

ASP e SERVIZI

E-Business• e-Commerce• e-Finance• e-Payment• e-Brokerage

•Mail and Messaging•Data warehousing

ASP e SERVIZI

E-Business• e-Commerce• e-Finance• e-Payment• e-Brokerage

•Mail and Messaging•Data warehousing

E-SECURITY

• Certificate Management

• Remote Reg. Authority

• Digital Signature Services

• Time Stamping Services

• Key Recovery Services

• Security consulting

E-SECURITY

• Certificate Management

• Remote Reg. Authority

• Digital Signature Services

• Time Stamping Services

• Key Recovery Services

• Security consulting

Data center Distributed architectures web hosting/housing

p. 6 II

e-security nei servizi della banca multicanale

Il posizionamentoIl posizionamentoIl posizionamentoIl posizionamento

Ruolo di Multiservizi nel Gruppo per il programma strategico di banca Multicanale

Gruppo BNL

Pubblica Amministrazione

Sanità

Imprese

Mercati :

outsourcingNASP servicese-Security servicescontact management

p. 7 II

e-security nei servizi della banca multicanale

La banca multicanaleLa banca multicanaleLa banca multicanaleLa banca multicanale

– Diverse modalità e canali per comunicare con la propria banca: sportello fisico, sportello self service, telefonia fissa e mobile, telematico

– I vantaggi della banca multicanale:• risparmio di tempo• risparmio di costi• comodità• rapidità• facilità di comunicazione• indipendenza dalla locazione fisica

> La sicurezza è il fattore critico da affrontare per lo sviluppo dei servizi telematici: un cliente può ripudiare una disposizione, la banca deve tutelarsi da intromissioni in rete da parte di hackers

> Il problema è di carattere organizzativo, tecnologico, giuridico

p. 8 II

e-security nei servizi della banca multicanale

L’approccio alla sicurezzaL’approccio alla sicurezzaL’approccio alla sicurezzaL’approccio alla sicurezza

Il problema della sicurezza e’ sicuramente complesso e sfidante, ma puo’ essere affrontato e risolto…

Le tecnologie e le metodologie organizzative opportune esistono.

E’ importante ed indispensabile saper scegliere correttamente il mix piu’ adeguato alle esigenze di business dei diversi servizi

p. 9 II

e-security nei servizi della banca multicanale

INTEGRITA’

Garanzia della accuratezza e delle completezza delle informazioni e dei processi che su di esse agiscono. Le informazioni possono essere quindi modificate esclusivamente dai soggetti autorizzati, nelle forme e nei modi previsti

RISERVATEZZA

Le informazioni possono essere consultate soltanto dai soggetti autorizzati.

DISPONIBILITA’

Le informazioni devono poter essere utilizzate nel rispetto di livelli di servizio predefiniti.

AUTENTICAZIONE

processo che garantisce l’identità di un soggetto o di un dispositivo

Sicurezza nel contesto ict : concetti chiaveSicurezza nel contesto ict : concetti chiaveSicurezza nel contesto ict : concetti chiaveSicurezza nel contesto ict : concetti chiave

p. 10 II

e-security nei servizi della banca multicanale

Sicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ict

E’ necessario comunque rivolgere l’attenzione non soltanto agli aspetti strettamente attinenti l’Information/Communication Technology.

SICUREZZA E’ ANCHE:

Tutela dell’integrita’ fisica delle infrastrutture di erogazione

I tragici eventi dell’undici settembre hanno evidenziato la necessita’ di applicare corrette policy di sicurezza atte a

garantire la continuita’ dei servizi informativi “mission critical”

Misure organizzative che prevengano la possibile esposizione alla infedelta’ dei dipendenti

Ancora oggi la maggior parte dei danni causati dal computer crime deriva da azioni attuate dai dipendenti delle organizzazioni

danneggiate

p. 11 II

e-security nei servizi della banca multicanale

Sicurezza nel contesto ict Sicurezza nel contesto ict Sicurezza nel contesto ict Sicurezza nel contesto ict

L’era di internet e la necessaria apertura dei sistemi informativi rende comunque indispensabile l’attuazione di difese efficaci e certificate rispetto ad attacchi provenienti dall’esterno che divengono sempre piu’ frequenti e sofisticati

Risposte:

– tecnologia

– strumenti crittografici

– standard

– misure organizzative

– difese fisiche

Ma soprattutto !

– approccio globale e metodologicamente corretto al problema

p. 12 II

e-security nei servizi della banca multicanale

Sicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ict

Un approccio globale e sistemico alla sicurezza implica:

• Definizione di adeguate politiche di sicurezza

• Analisi del rischio e selezione dei controlli

• Implementazione di contromisure adeguate– fisiche– tecnologiche– organizzative

• Revisione ed auditing dei processi di gestione della sicurezza

p. 13 II

e-security nei servizi della banca multicanale

Sicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ictSicurezza nel contesto ict

L’analisi dei rischi e’ un passo metodologico fondamentale che spesso viene trascurato:

– Definire il contesto di riferimento e quindi i beni da proteggere

– Individuare le minacce potenziali che gravano sui beni

– Qualificare le contromisure adottate a fronte delle minacce

– Quantificare e gestire il rischio residuale

p. 14 II

e-security nei servizi della banca multicanale

La tecnologia abilitante: Public Key Infrastructure (PKI)La tecnologia abilitante: Public Key Infrastructure (PKI)La tecnologia abilitante: Public Key Infrastructure (PKI)La tecnologia abilitante: Public Key Infrastructure (PKI)

• Crittografia a “chiave pubblica”: basata su una coppia di chiavi (una privata e una pubblica) generate mediante dispositivo sicuro

• La proprietà delle due chiavi:• Dalla prima non possibile è risalire alla seconda (e viceversa)

• Ciò che viene crittografato (RSA) con la prima è decifrabile solo con la seconda (e viceversa)

• L’utente si reca ad uno sportello di “Registrazione” dell’Ente Certificatore di fiducia (Registration Authority)

• La Registration Authority identifica l’utente e registra i dati anagrafici

• L’utente, dopo aver generato la coppia di chiavi, invia all’Ente Certificatore la chiave pubblica e custodisce segretamente la chiave privata

• L’Ente Certificatore emette e pubblica il certificato elettronico: associazione “garantita” fra l’identità fisica dell’utente e la sua chiave pubblica

p. 15 II

e-security nei servizi della banca multicanale

La tecnologia abilitante: Public Key Infrastructure La tecnologia abilitante: Public Key Infrastructure (PKI)(PKI)La tecnologia abilitante: Public Key Infrastructure La tecnologia abilitante: Public Key Infrastructure (PKI)(PKI)

• Multicertify V. 1.0 (1998) –> Sperimentazione Comune Bologna• Febbraio 1999 -> DPCM Bassanini sulla Firma Digitale• Make or Buy ?

Normativa – Know How - Mercato

• Iscritto nell’elenco pubblico AIPA (marzo 2000)

• Sistema di qualità certificato ISO9001 per la Progettazione ed erogazione di servizi di “Certification Authority”

• PKI (Public Key Infrastructure) verificata ITSEC (come previsto dal DPCM febbraio 1999) con evidenza rilasciata da IMQ (dicembre 2000)

• Controllo completo della tecnologia:

– infrastruttura PKI progettata e sviluppata interamente nel proprio laboratorio e nella propria fabbrica, allineata costantemente agli standard tecnologici internazionali (RFC, PKx)

– consente a BNL Multiservizi l’ indipendenza da fornitori esterni e un alto livello di integrazione con le soluzioni e le esigenze di clienti/partner

p. 16 II

e-security nei servizi della banca multicanale

Impatti organizzativi ed investimentiImpatti organizzativi ed investimentiImpatti organizzativi ed investimentiImpatti organizzativi ed investimenti

• Ruoli e responsabilità definiti e pubblicati

– Presentazione domanda di iscrizione all’albo– (Accreditamento obbligatorio)

• Procedure organizzative definite, pubblicate e verificate

– Piano della sicurezza aziendale

– Manuale operativo

– Ambiente di sviluppo e system test

– Ambiente di erogazione

• Ambiente “ad hoc” per il Disaster Recovery

• Sistema di qualità del certificatore: ISO9002

• Investimenti: la Sicurezza come “Asset” Aziendale

p. 17 II

e-security nei servizi della banca multicanale

La risposta tecnologica sulla FIDUCIA nei serviziLa risposta tecnologica sulla FIDUCIA nei serviziLa risposta tecnologica sulla FIDUCIA nei serviziLa risposta tecnologica sulla FIDUCIA nei servizi

SICUREZZA ?Firma Digitale

Autenticazione Autorizzazione Riservatezza Integrità Non RipudioAutenticazione Integrità Non RipudioAutorizzazione

ContestoApplicativo

Riservatezza

Crittografia SSL, Librerie, …

p. 18 II

e-security nei servizi della banca multicanale

Offerta BNL Multiservizi – E-SecurityOfferta BNL Multiservizi – E-SecurityOfferta BNL Multiservizi – E-SecurityOfferta BNL Multiservizi – E-Security

• Prodotti/Servizi• PKI a norma (multiCERTIFY)• Firma digitale e crittografia sul client (securSIGN)• API per la Firma digitale e la crittografia (Secursign API)• Custodia in sicurezza delle chiavi private utente (SecurBox)• Distribuzione automatica dei contesti sicuri: CA e CRL (Distributed Secure Context)• Uso dei certificati elettronici in modalità trasparente per le applicazioni WEB (Trust Access)

• Professional Services• Consulenza• Assessment sulla sicurezza• Progettazione ambienti sicuri (Ambienti, Procedure organizzative, Tecnologie)• Integrazione dei nostri prodotti con i sistemi informativi del cliente• Personalizzazione delle nostre soluzioni sulle necessità del cliente

• Customer Service• Assistenza telefonica verso l’utente finale• Help Desk di 2° e 3° Livello• Tracciamento e reporting per ogni singola chiamata

Generazione delle Chiavi Private

nella Smart Card

p. 19 II

e-security nei servizi della banca multicanale

BNL Multiservizi crede che il vero vantaggio competitivo nell’e-business consista nella capacità di fornire servizi progettati e

gestiti in modo rigoroso in ogni fase del ciclo realizzativo e di erogazione

BNL Multiservizi crede che il vero vantaggio competitivo nell’e-business consista nella capacità di fornire servizi progettati e

gestiti in modo rigoroso in ogni fase del ciclo realizzativo e di erogazione

Il livello di trust in una struttura bancaria è alto ma viene rafforzato da un’azione continua di monitoraggio

e controllo dei processi, risultato di un sistema qualità che sia un vero e proprio sistema di gestione aziendale

Il livello di trust in una struttura bancaria è alto ma viene rafforzato da un’azione continua di monitoraggio

e controllo dei processi, risultato di un sistema qualità che sia un vero e proprio sistema di gestione aziendale

Consideriamo la sicurezza uno dei principali fattori abilitanti dei servizi nel rispetto delle aspettative della clientela.

Ricerchiamo la piena aderenza alle policy di gestione dei rischi nella erogazione dei servizi bancari e finanziari

Consideriamo la sicurezza uno dei principali fattori abilitanti dei servizi nel rispetto delle aspettative della clientela.

Ricerchiamo la piena aderenza alle policy di gestione dei rischi nella erogazione dei servizi bancari e finanziari

p. 20 II

e-security nei servizi della banca multicanale

Le certificazioni di qualità e sicurezza acquisite da BNL MultiserviziLe certificazioni di qualità e sicurezza acquisite da BNL MultiserviziLe certificazioni di qualità e sicurezza acquisite da BNL MultiserviziLe certificazioni di qualità e sicurezza acquisite da BNL Multiservizi

ISO 9001progettazione,

sviluppo e manutenzione di prodotti software

(Rapporto emesso DNV)

ISO 9001 estensione per

progettazione ed erogazione servizio

di Certification Authority

(Rapporto emesso da DNV)

Certificazione di rispondenza si

requisiti di sicurezza

ITSEC e SOM High

(Rapporto emesso dal CE.VA. IMQ)

Certificazione

e-QM2001 per il commercio

elettronico

ISO 9001 estensione per

progettazione ed erogazione servizi (Rapporto emesso

da DNV)

EBTrust sul sevizio e-Family

(Rapporto emesso da DNV)

Y 1997Y 1997 Y 2000Y 2000 Y 2001Y 2001VISION 2000BS7799

Sistema Integrato

Estensione EBTrust

Y 2002Y 2002

p. 21 II

e-security nei servizi della banca multicanale

EDIWAYEDIWAYEDIWAYEDIWAY

SERVIZI• Servizi informativi (saldi e movimenti giornalieri in euro ed in valuta

presso BNL e altra banca in Italia, saldo contabile in tempo reale, segnalazione degli insoluti, ecc.)

– Servizi dispositivi (ordini di pagamento: bonifici, pagamento stipendi, pagamento ricevute bancarie in scadenza, ecc.)

– Cash management internazionale (saldi e movimenti di conti intrattenuti presso banche straniere)

– Informazioni e analisi economiche a cura di BNL– Notiziari economico-finanziari– Banche dati online– Informazioni commerciali online (visure protesti, visure camerali,

dati di bilancio)– Analisi delle società quotate alla Borsa Valori italiana

Volumi• 11.000 imprese clienti• 20.000.000 di transazioni sicure in tre anni

p. 22 II

e-security nei servizi della banca multicanale

TelebancaTelebancaTelebancaTelebanca

Servizi• phone banking fisso/mobile per operazioni bancarie, informative e dispositive su:

– conto corrente– rapporto titoli– portafoglio di fondi

Consente, tramite IVR, l’acquisizione di informazioni on line sulle quotazioni dei titoli, sugli esiti degli ordini, sulle ultime 5 operazioni relative al proprio c/c

Volumi• 268.000 clienti

Volumi servizi erogati/anno:• 381.000 servizi dispositivi• 11.143.000 servizi informativi

p. 23 II

e-security nei servizi della banca multicanale

E-family: retail bankingE-family: retail bankingE-family: retail bankingE-family: retail banking

SERVIZI• operazioni bancarie, ordinarie e straordinarie (pagamenti di utenze, situazione del

proprio conto corrente, gestione degli investimenti)

• consulenze personalizzate per la soluzione dei problemi familiari e legati alla casa: dalla scuola, all’assicurazione auto, alle informazioni sui tributi e alla possibilità di pagarli on line, alla gestione di problemi legali, fiscali e condominiali, alle informazioni su mutui e crediti personalizzati per la casa, lo studio, l’auto, lo sport

• acquisto di elettrodomestici, elettronica di consumo, prodotti per la casa, ecc.

• sottoscrizione abbonamenti a riviste e collane di libri

• attivazione utenze convenzionate (telefonia fissa e mobile)

Volumi (da ottobre 2000)• 104.000 clienti • 1.300.000 transazioni bancarie effettuate• 12 importanti partner commerciali selezionati• 5.000 prodotti e servizi nell’area dell’e-commerce• 2.500.000 visitatori

Volumi medi giornalieri• 400 nuove adesioni• 140.000 page views• 5.000 operazioni

p. 24 II

e-security nei servizi della banca multicanale

Credito al Consumo Finalizzato: retail bankingCredito al Consumo Finalizzato: retail bankingCredito al Consumo Finalizzato: retail bankingCredito al Consumo Finalizzato: retail banking

SERVIZI• finanziamento alle famiglie per l’ acquisto di beni durevoli di consumo

effettuato presso dealer convenzionati• scoring del cliente presso il punto vendita• servizio fidelity

– emissione di carte di pagamento – emissione di carte con premi e punteggi

• carta multifunzione utilizzabile dal cliente finale su tutta la rete BNL

Volumi (da settembre 2001)• 330 dealer• 600 pratiche di finanziamento erogate

p. 25 II

e-security nei servizi della banca multicanale

POS virtuale: e-commerce b2bPOS virtuale: e-commerce b2bPOS virtuale: e-commerce b2bPOS virtuale: e-commerce b2b

SERVIZI

• predisposizione di un ambiente virtuale per la vendita di beni e servizi su Internet

• transazioni online con carte di credito (VISA, MasterCard, Europay, Amex, Diners)

• servizio di hosting per il merchant

Volumi medi giornalieri

• 200 transazioni online• controvalore: 10350 €

p. 26 II

e-security nei servizi della banca multicanale

Business way: corporate bankingBusiness way: corporate bankingBusiness way: corporate bankingBusiness way: corporate banking

SERVIZI• gestione conti correnti e tesoreria: saldo e movimenti, saldo contabile, giroconti• gestione rapporti commerciali con fornitori e clienti: gestione incassi e pagamenti,

accesso ad informazioni commerciali ed a rapporti commerciali (Dun&Bradstreet)• gestione rapporti con i dipendenti: servizi di pagamento stipendi e ricerca del

personale• operazioni con l’estero: bonifico estero, saldo movimenti c/c esteri• gestione ordinaria amministrazione: acquisto prodotti hw (IBM), servizi di

telecomunicazione (Albacom), pagamento imposte e tasse• sviluppo del business: leasing, banche dati su finanziamenti agevolati, consulenza

direzionale online

Volumi (da ottobre 2001)2.000 clienti• 1600 transazioni online• 500 disposizioni store & forward

Volumi medi giornalieri• 23 transazioni online • 7 disposizioni store & forward

p. 27 II

e-security nei servizi della banca multicanale

La trustability dei serviziLa trustability dei serviziLa trustability dei serviziLa trustability dei servizi

EDIWAY: chiavi asimmetriche a 1024 bit e key session simmetriche DES; certificati digitali

TELEBANCA:

autenticazione tramite numero memory card e PIN e disposizioni tramite sistema challenge/response

Trading on line:

autenticazione Internet con certificato digitale; su GSM con password

E-family:

autenticazione Internet con certificato digitale; firma digitale con chiavi su file system; pagamento sicuro con certificato SET

Credito Consumo Finalizzato:

autenticazione Internet tramite certificato digitale

POS virtuale:

autenticazione tramite certificato digitale; pagamenti sicuri con certificato SET

Business Way:

autenticazione Internet tramite certificato digitale; firma digitale a norma con chiavi su smart card

1995

1997

2000

2001