CONSULENZA IN AMBITO SICUREZZA INFORMATICA

Payment Card Industry (PCI)

La normativa di sicurezza dei dati dell'industria delle carte di pagamento (PCI DSS) è stata sviluppato per rafforzare la sicurezza dei dati di titolari di carte di pagamento, e per facilitare l'applicazione di misure di sicurezza omogenee in tutto il settore. La PCI DSS prevede una serie di controlli di sicurezza tecnici ed operazionali basati su 12 principi guida ed oltre 300 requisiti.

La nostra consulenza in ambito PCI DSS aiuta le aziende a definire l'applicabilità dei requisiti PCI, ridurne l'impatto operativo, comprendere il proprio CDE (Cardholder Data Environment), ed applicare le misure di sicurezza più appropriate per contenere.

Valutazione dei rischi di terze parti 

Le terze parti e la supply chain sono le principali cause di violazioni dei dati per le aziende. Le valutazioni dei rischi provenienti dalle terze parti forniscono alle aziende una panoramica sui rischi derivanti dallo stato di sicurezza delle parti coinvolte, ma anche delle strategie per contenerli. I nostri esperti possono preparare dei piani di implementazione efficienti ed in linea con le vostre strategie aziendali.

Le valutazioni dei rischi di terze parti aiutano le aziende a pianificare, sviluppare, gestire e manutenere delle strategie di sicurezza informatica, al fine di ridurre la probabilità (ed eventualmente le conseguenze) di violazioni di sicurezza, perdite di dati e di potenziali sanzioni derivanti.

• Ideale per aziende di qualsiasi settore o dimensione
• Contieni le minacce e intervieni sulle vulnerabilità
• Evita le violazioni e la perdita di dati
• Assicurati che le tue terze parti siano conformi alle migliori linee guida di sicurezza del settore

Service and Organizational Controls (SOC2)

Il SOC 2 (Service and Organization Control) è un framework di sicurezza sviluppato dall'AICPA (American Institute of Certified Public Accountants). È stato progettato per fornitori SaaS e più in generale per fornitori di servizi che memorizzano dati ed informazioni dei propri clienti nel cloud.

Il SOC2 punta a garantire la sicurezza, riservatezza, integrità , disponibilità e privacy dei dati dei clienti, fornendo linee guida valutabili in maniera indipendente dei loro controlli aziendali interni.

• Trust Services Criteria (TSC) di AICPA
• Progettato per le aziende Saas e basate sul cloud
• Valuta controlli tecnici, processi, policy e procedure
• Compatibile con altri standard di cyber security

Capability Maturity Model Integration (CMMI)

Il CMMI è un framework sviluppato dall'istituto CMMI per comparare le performance di importanti competenze aziendali tramite valutazioni di maturità che combinano i concetti di maturità dei processi (process maturity), valutazione del rischio e project management.

Il framework CMMI prevede controlli efficaci sul rischio operazionale relativo alla sicurezza, conformità della privacy aziendale e compliance. Il framework è stato progettato per integrarsi agli standard e alle certificazioni di best practice come ISO27001 e NIST.

• Maggiore visibilità dei benefici della gestione del rischio
• Integrazione con strategie aziendali anche di organizzazioni SaaS e cloud-based
• Valuta controlli tecnici, processi, policy e procedure
• Compatibile con altri standard di cyber security

Framework NIST

Il Framework NIST è stato sviluppato per mitigare le minacce di sicurezza nelle infrastrutture critiche, fornendo alle aziende un orientamento di best practice per la sicurezza informatica.

Il Framework NIST si adatta ad una moltitudine di tecnologie, settori e modelli di business, basandosi sugli standard internazionali. Il NIST framework è un approccio basato sul rischo che fornisce controlli tecnici e indicazioni di dettaglio.

• Cinque funzioni chiave: Identifica, Proteggi, Rileva, Rispondi & Ripristina
• Best practice e indicazioni avanzate riconosciute a livello internazionale
• Un una guida fluida, per reagire a minacce e vulnerabilità emergenti

Control Objectives for Information and Related Technologies (COBIT)

COBIT is ISACA’s IT governance framework addressing technical issues, control requirements, and business risk. COBIT is a process management, business-focused framework aligning organizational strategy with IT maturity, risk management, and control objectives.

COBIT is a suitable framework for a variety of businesses in a wide range of sectors, it is internationally recognized and compatible with other standards, governance frameworks, and best practice guidance.

• Business process lead framework
• Comprehensive list of control objectives for IT management
• Business management guidelines and performance management

Analisi e Gestione del Rischio

L'analisi e la gestione del rischio consistono nell'identificare, valutare e mitigare le eventuali conseguenze delle minacce informatiche e delle vulnerabilità di un organizzazione.

L'analisi e la gestione del rischio aiutano le aziende a sviluppare un approccio, basato sulla loro propensione al rischio, e a definire la priorità d'impiego delle risorse disponibili sui rischi che rappresentano la minaccia più grande.

• Adatto alle aziende di qualsiasi settore o dimensione
• Su misura per ogni azienda, in base alla propensione al rischio e alle pratiche operative
• Approccio integrato della gestione del rischio informatico orientato al business
• Un requisito fondamentale di tutti gli standard e le linee guida di sicurezza informatica

Payment Services Directive 2 (PSD2)

La PSD2 è una direttiva emessa dal Parlamento Europeo tramite l'Autorità bancaria europea (EBA), che emana dei requisiti per gli utenti dei servizi di pagamento ed anche relative ai soggetti desiderosi di entrare nel mercato dei pagamenti.

La norma contiene 117 articoli, e il quadro normativo è composto da sei standard tecnici di regolamentazione (RTS), cinque linee guida, con effetti sui diversi servizi di pagamento.

• Direttiva unica per i pagamenti elettronici che si estende su 34 stati dell'Unione Europea (SEPA - Area unica dei pagamenti in Euro)
• Stimola la concorrenza, l'accesso universale ai dati dei conti e promuove la sicurezza
• Consulenza Specifica RTS per revisioni del codice sorgente delle interfacce API, penetration testing e vulnerability assessments
• Valutazione di robustezza dei meccanismi SCA (Strong Customer Authentication)

Regolamento Generale sulla Protezione dei Dati (GDPR)

Il GDPR è la norma europea sui dati e sulla privacy. Essa uniforma le leggi di privacy per tutti gli stati membri, e si applica a qualsiasi organizzazione che memorizza, elabora, o utilizza i dati dei cittadini europei.

Il GDPR protegge i diritti e le libertà individuali dei cittadini europei, in particolare il diritto a salvaguardare i propri dati personali. Conferisce anche maggiori responsabilità alle organizzazioni di controllo ed elaborazione dati soggette alla sua giurisdizione. La consulenza in ambito GDPR fornisce alle aziende le competenze necessarie per integrare i requisiti GDPR e ridurre i rischi di privacy.

• Data Protection Officer (DPO) as a Service: consulenza, consigli e supporto di esperti in materia di protezione dati
• Valutazione d'impatto e della privacy dei dati: identifica e minimizza i rischi alla privacy dei dati
• Valutazione della terze parti: comprendi e controlla i rischi nella tua supply chain

Data Protection Officer as a Service (DPOaaS)

Il Data Protection Officer as a Service è una soluzione pratica ed economicamente efficiente che esternalizza le operazioni di protezione dati per le aziende a cui mancano le competenze o le conoscenze interne.

Il DPOaaS fornisce un servizio gestito su misura, rapido e flessibile alla tua azienda, in sede e da remoto. Il DPOaaS può gestire le implementazioni GDPR, le valutazioni d'impatto sulla protezione dati, le nuove integrazioni di sistema, le violazioni di dati, le richieste di accesso ai dati dei vari soggetti, e molto altro.

• Consulenza di esperti su misura
• Soluzioni cost-effective su richiesta
• Servizi gestiti flessibili e scalabili in base ai requisiti aziendali
• Soddisfa i requisiti del GDPR e della normativa sulla protezione dei dati

Gestione della Sicurezza delle Informazioni ISO27001

L'ISO 27001 è uno standard sulla sicurezza delle informazioni che appartiene alla famiglia ISO27000. L'ISO 27001 fornisce indicazioni di best practice per lo sviluppo, gestione e manutenzione dei sistemi di gestione della sicurezza delle informazioni (ISMS).

Lo standard promuove una serie di best practice fondamentali, tra cui la gestione del rischio, il continuo miglioramento dei servizi, la gestione degli incidenti, i cambi amministrativi e l'implementazione di una suite di politiche e controlli tecnici. Un ISMS si applica a tutte le tipologie aziendali, in quanto la serie ISO è stata progettata per campi d'applicazione molto ampi, e per adattarsi ai bisogni e ai requisiti delle singole aziende.

• Un approccio sistematico alla gestione del rischio
• Applicabile a tutte le tipologie di azienda
• Certificato in modo indipendente per assicurazione totale di allineamento
• Una suite completa di controlli tecnici e procedurali

Standard Internazionale sulla Continuità Operativa ISO 22301

L'ISO 22301 fornisce alle aziende un framework standard per pianificare, stabilire, implementare, operare, monitorare, revisionare, manutenere, e migliorare continuamente i sistemi di gestione della continuità aziendale (BCMS).

Le aziende implementano dei BCMS per proteggersi e prepararsi a reagire a qualsiasi inconveniente che possa interrompere le regolari attività operative.

• Business Impact Analysis: identificazione delle attività e delle risorse aziendali più importanti
• Certificato in modo indipendente da un ente di terza parte
• In linea con altri standard ISO, tra cui l'ISO 27001
• Aiuta le aziende a prepararsi agli imprevisti