prescrizioni in materia di circolazione delle informazioni ... › sites › default › files ›...

Prescrizioni in materia di circolazione delle informazioni in ambito bancario…

Giancarlo Butti – SDS AIEA, Milano – 19/12/2014

Prescrizioni in materia di circolazione delle informazioni in ambito

bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011

(Pubblicato sulla Gazzetta Ufficiale n. 127 del 3 giugno 2011)

Verifiche, implementazioni, opportunità



Giancarlo Butti (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM

Master di II livello in Gestione aziendale e Sviluppo Organizzativo (MIP-Politecnico di Milano).

Mi occupo di ICT, organizzazione e normativa dai primi anni 80:

• analista di organizzazione, security manager, project manager ed auditor presso gruppi bancari

• consulente in ambito documentale, sicurezza, privacy… presso aziende di diversi settori e dimensioni.

Come divulgatore ho all’attivo:

• oltre 600 articoli su 20 diverse testate

• 19 fra libri e white paper, alcuni dei quali utilizzati come testi universitari

• 5 opere collettive nell’ambito di ABI LAB e Oracle Community for Security

Corsi e seminari:

• docente presso ITER, ABI Formazione, CETIF in ambito privacy, audit ICT e auditnormativo e membro della faculty di ABI Formazione.

Socio e proboviro di AIEA (www.aiea.it) e socio del CLUSIT (www.clusit.it).

Partecipo ai gruppi di lavoro di ABI LAB sulla Business Continuity, di ISACA-AIEA su Privacy EU e 263, del Comitato degli esperti per l'innovazione di OMAT360, di Oracle Community forSecurity.



La normativa

Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011


Chiarimenti in ordine alla delibera n. 192/2011 in tema di circolazione delle informazioni riferite a clienti all'interno dei gruppi bancari e 'tracciabilità' delle operazioni bancarie; proroga del termine per completare l'attuazione delle misure originariamente prescritte - 18 luglio 2013

(Pubblicato sulla Gazzetta Ufficiale n. 185 dell'8 agosto 2013)

Proroga del termine per l’adempimento delle prescrizioni di cui al Provvedimento n. 192 del 12 maggio 2011 in materia di circolazione delle informazioni bancarie -22 maggio 2014




Variazioni normative intervenute

b) "dato personale", qualunque informazione relativa a persona

fisica, identificata o identificabile, anche indirettamente,

mediante riferimento a qualsiasi altra informazione, ivi

compreso un numero di identificazione personale; (1)

(1) Lettera così modificata dall'art. 40, comma 2, lett. a), del decreto legge 6 dicembre 2011, n.

201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214. Si riporta, per

completezza, il testo originale: ""dato personale", qualunque informazione relativa a persona

fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente,

mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione

personale;".



Normative collegate

•Normativa privacy che impatta sulla gestione dei dati bancari– Dlgs 196/03 e relativi Allegati

– Linee-guida per il trattamento di dati dei dipendenti privati – 23 novembre 2006

– Lavoro: le linee guida del Garante per posta elettronica e internet - 01 marzo 2007

– Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili - 19 giugno 2008

– Semplificazione delle misure di sicurezza contenute nel disciplinare

– tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali -27 novembre 2008

– Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre 2008

– Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008

•Legge 300/70 (Statuto dei lavoratori)



Normative di interesse

Nuove disposizioni di vigilanza prudenziale per le banche

(Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013)

DECRETO LEGISLATIVO 8 giugno 2001, n. 231

Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300.



Misure necessarie:

valutazione degli outsourcer

a) Designazione dell'outsourcer quale responsabile del trattamento

(punto 3.2).

Quando il trattamento di dati personali dei clienti da parte di

outsourcer è svolto restando riservati alle banche i poteri riconosciuti

dal Codice solo al titolare (artt. 4, comma 1, lett. f) e 28), e dunque, in

concreto, detti poteri, non risultino posti effettivamente in capo

all'outsourcer, le stesse banche, quali unici titolari del trattamento,

devono designare le società operanti in outsourcing responsabili ai

sensi degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice.



Outsourcer: punti di attenzione

Designazione dell’outsourcer come responsabile

Cosa succede quando è la banca ad essere designata

responsabile del trattamento (ad esempio nell’attività

di tesoreria) se ha designato terzi quali responsabili?



Misure necessarie: tracciatura

b) Tracciamento delle operazioni (punto 4.2.1).

Devono essere adottate idonee soluzioni informatiche per il controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database. Tali soluzioni comprendono la registrazione dettagliata, in un apposito log, delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari, quando consistono o derivano dall'uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti di consultazioni di dati in forma aggregata non

riconducibili al singolo cliente.

In particolare, i file di log devono tracciare per ogni operazione di accesso ai dati bancari effettuata da un incaricato, almeno le seguenti informazioni:

• il codice identificativo del soggetto incaricato che ha posto in essere l'operazione di accesso;

• la data e l'ora di esecuzione;

• il codice della postazione di lavoro utilizzata;

• il codice del cliente interessato dall'operazione di accesso ai dati bancari da parte dell'incaricato;

• la tipologia di rapporto contrattuale del cliente a cui si riferisce l'operazione effettuata (es. numero del conto corrente, fido/mutuo, deposito titoli).



Misure necessarie: tracciatura 2

3. Accesso massivo ai dati della clientela.

In caso di accesso massivo ai dati della clientela, si chiarisce che il trattamento deve riguardare i dati relativi all'incaricato che ha effettuato la query, la data, l'ora e il dettaglio della relativa richiesta; inoltre, dal dettaglio di quest'ultima deve risultarepossibile verificare se la posizione di un cliente sia stata oggetto di attenzione nell'ambito di una query che abbia prodotto risultati riferibili a più soggetti o a più rapporti.

Chiarimenti in ordine alla delibera n. 192/2011 in tema di circolazione delle informazioni riferite a clienti all'interno dei gruppi bancari e 'tracciabilità' delle operazioni bancarie; proroga del termine per completare l'attuazione delle misure originariamente prescritte - 18 luglio 2013 (Pubblicato sulla Gazzetta Ufficiale n. 185 dell'8 agosto 2013)



Misure necessarie:

conservazione dei log

c) Conservazione dei log di tracciamento delle

operazioni (punto 4.2.2).

Il periodo di conservazione dei file di log delle

operazioni di inquiry non deve essere inferiore a 24

mesi dalla data di registrazione dell'operazione.



Misure necessarie:

implementazione di alert

d) Implementazione di alert (punto 4.3.1).

i. Deve essere prefigurata da parte delle banche

l'attivazione di specifici alert che individuino

comportamenti anomali o a rischio relativi alle

operazioni di inquiry.

ii. Negli strumenti di business intelligence devono

confluire i log relativi a tutti gli applicativi utilizzati per

gli accessi.



Tracciatura: punti di attenzione

I tipi i log sono 2

• I tempi di conservazione sono regolamentati

solo per le attività di inquiry

• Gli alert sono regolamentati solo per le

attività di inquiry



Misure necessarie: audit

e) Audit interno di controllo–Rapporti periodici (punto 4.3.2).

i. La gestione dei dati bancari deve essere oggetto, con cadenza almeno annuale, di un'attività di controllo interno da parte dei titolari del trattamento.

ii. L'attività di controllo deve essere demandata a un'unità organizzativa o, comunque, a personale diverso rispetto a quello cui è affidato il trattamento dei dati bancari dei clienti.

iii. I controlli devono comprendere anche verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di alerting e di anomaly detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull'integrità dei dati e delle procedure informatiche adoperate per il loro trattamento. Sono svolte, altresì, verifiche periodiche sulla corretta conservazione dei file di log per il periodo previsto al punto 4.2.2.

iv. L'attività di controllo deve essere adeguatamente documentata e il relativo esito deve essere comunicato ai soggetti indicati al punto 4.3.2.



Attività di audit: punti di attenzione

Vengono richieste 2 distinte attività di verifica:

• specifica nell’ambito del provvedimento con

periodicità variabile

• di carattere generale del rispetto della

normativa privacy (relativamente alla gestione

dei dati bancari ) con cadenza almeno annuale



Misure opportune:

informativa

f) Informativa all'interessato (punto 2.2)

L'informativa resa all'interessato ai sensi

dell'art. 13 del Codice, potrà contenere anche

l'indicazione che i dati della clientela potranno

circolare tra le agenzie o filiali di ciascuna

banca.



Misure opportune:

informazioni all'interessato

g) Informazioni all'interessato (punto 5.1).

Le banche comunicano, senza ritardo,

all'interessato le operazioni di trattamento

illecito effettuate -sui dati personali allo stesso

riferiti dagli incaricati.



Misure opportune:

comunicazioni al Garante

h) Comunicazioni al Garante (punto 5.2).

Le banche comunicano tempestivamente al

Garante i casi in cui risulti accertata una

violazione, accidentale o illecita, nella

protezione dei dati personali, di particolare

rilevanza.



Informazioni e comunicazione:

punti di attenzione

Art. 32-bis Adempimenti conseguenti ad una violazione di dati personali (1)

1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senzaindebiti ritardi detta violazione al Garante.

2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione.

(1) Articolo inserito dall'art. 1, comma 3, del decreto legislativo 28 maggio 2012, n. 69.



OggiL’ Art. 32-bis Adempimenti conseguenti ad una violazione di dati personali

si applica oggi solo ai fornitore di servizi di comunicazione elettronica accessibili al

pubblico

DomaniIl nuovo REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente

la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera

circolazione di tali dati (regolamento generale sulla protezione dei dati)

Estende tale obbligo a tutti i responsabili (titolari) di trattamento.



Informazioni e comunicazione:

punti di attenzione (Circ. 263)

I gravi incidenti di sicurezza informatica sono comunicati tempestivamente alla Banca d’Italia, con l’invio di un rapporto sintetico recante una descrizione dell’incidente e dei disservizi provocati agli utenti interni e alla clientela nonché i seguenti dati, accertati o presunti: i) data e ora dell’accadimento o della manifestazione dell’incidente; ii) risorse e servizi coinvolti; iii) cause, tempi e modalità previsti per il pieno ripristino dei livelli di disponibilità e sicurezza definiti e per il completo accertamento dei fatti connessi; iv) descrizione delle azioni intraprese e dei risultati ottenuti; v) una valutazione dei danni delle perdite economiche o danni d’immagine.



Le verifiche interne:

il sistema dei controlli (Circ. 263)

• g) “funzioni aziendali di controllo”: la funzione di conformità alle norme (compliance), la funzione di controllo dei rischi (risk management function) e la funzione di revisione interna (internal audit) (1);

• h) “funzioni di controllo”: l’insieme delle funzioni che per disposizione legislativa, regolamentare, statutaria o di autoregolamentazione hanno compiti di controllo;



Compliance (Circ. 263)

Per le norme più rilevanti ai fini del rischio di non conformità, quali quelle che riguardano l’esercizio dell’attività bancaria e di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti della clientela e, più in generale, la disciplina posta a tutela del consumatore, e per quelle norme per le quali non siano già previste forme di presidio specializzato all’interno della banca, la funzione è direttamente responsabile della gestione del rischio di non conformità.

Con riferimento ad altre normative per le quali siano già previste forme specifiche di presidio specializzato (ad es.: normativa sulla sicurezza sul lavoro, in materia di trattamento dei dati personali), la banca, in base a una valutazione dell’adeguatezza dei controlli specialistici a gestire i profili di rischio di non conformità, può graduare i compiti della compliance, che comunque è responsabile, in collaborazione con le funzioni specialistiche incaricate, almeno della definizione delle metodologie di valutazione del rischio di non conformità e della individuazione delle relative procedure, e procede alla verifica dell’adeguatezza delle procedure medesime a prevenire il rischio di non conformità.



A prescindere dalle strutture dove sono collocate, si possono individuare le seguenti tipologie di controllo:

• controlli di linea (c.d. “controlli di primo livello”), diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture operative (ad es., controlli di tipo gerarchico, sistematici e a campione), anche attraverso unitàdedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell’ambito del back office; per quanto possibile, essi sono incorporati nelle procedure informatiche. Le strutture operative sono le prime responsabili del processo di gestione dei rischi: nel corso dell’operativitàgiornaliera tali strutture devono identificare, misurare o valutare, monitorare, attenuare e riportare i rischi derivanti dall’ordinaria attività aziendale in conformitàcon il processo di gestione dei rischi; esse devono rispettare i limiti operativi loro assegnati coerentemente con gli obiettivi di rischio e con le procedure in cui si articola il processo di gestione dei rischi;

Tipologie di Controllo:

controlli di linea (Circ. 263)



• …controlli sui rischi e sulla conformità (c.d. “controlli di secondo livello”), che hanno l’obiettivo di assicurare, tra l’altro: a) la corretta attuazione del processo di gestione dei rischi; b) il rispetto dei limiti operativi assegnati alle varie funzioni; c) la conformità dell’operatività aziendale alle norme, incluse quelle di autoregolamentazione. Le funzioni preposte a tali controlli sono distinte da quelle produttive; esse concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi;

Tipologie di Controllo :

controlli sui rischi e sulla conformità (Circ. 263)



• …revisione interna (c.d. “controlli di terzo livello”), volta a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni e del sistema informativo (ICT audit), con cadenza prefissata in relazione alla natura e all’intensità dei rischi.

Presupposto di un sistema dei controlli interni completo e funzionale è l’esistenza di una organizzazione aziendale adeguata per assicurare la sana e prudente gestione delle banche e l’osservanza delle disposizioni loro applicabili.

Tipologie di Controllo :

revisione interna (Circ. 263)



Il ruolo dell’audit

• L’audit è l’unica struttura aziendale che può avere

una visione trasversale sui processi dai vari punti di

vista:

– Tecnico

– Organizzativo

– Normativo

• Spesso è l’unico che dispone di determinate

informazioni



Le verifiche nel provvedimento

L'attività di controllo deve essere demandata a

un'unità organizzativa o, comunque, a personale

diverso rispetto a quello cui è affidato il

trattamento dei dati bancari dei clienti.



La verifica della corretta

implementazione del provvedimento

• Organizzativo

– Ruoli

– Procedure

– Contratti

– …

• Tecnico

– Registrazione log

– Tempi di conservazione

– Implementazione di alert

– …

• Normativo

– Designazioni outsourcer

– Informative aggiornate

– Accordi sindacali

– …



Verifiche richieste dal provvedimento

• Verifica annuale in ambito privacy sul trattamento dei dati bancari(La gestione dei dati bancari deve essere oggetto, con cadenza almeno annuale, di un'attivitàdi controllo interno da parte dei titolari del trattamento.)

• Verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di alerting e di anomaly detection– sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati

– sull'integrità dei dati e delle procedure informatiche adoperate per il loro trattamento

– corretta conservazione dei file di log per il periodo previsto al punto 4.2.2.



Verifiche richieste dal provvedimento:

modalità

L’attività di controllo:

• “deve essere adeguatamente documentata in modo tale che sia sempre possibile risalire ai sistemi verificati, alle operazioni tecniche su di essi effettuate, alle risultanze delle analisi condotte sugli accessi e alle eventuali criticità riscontrate”;

• deve avvenire con cadenza almeno annuale;

• deve produrre un esito che sia:• comunicato alle persone e agli organi legittimati ad adottare decisioni

e a esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della banca

• messo a disposizione del Garante, in caso di specifica richiesta



Perimetro (attuale)

• Societario

– Società del gruppo civilistico

– Outsourcer

• Organizzazione interna

– Processi aziendali che si ritiene siano in perimetro

– Funzioni aziendali che si ritiene siano in perimetro

• Tecnico

– Applicazioni/transazioni/funzioni applicative in perimetro (transazioni interattive)

– Distinzione fra dispositive/inquiry

• Verifiche di coerenza

– Ad esempio lo stesso dato può essere presente in più applicazioni



Dati personali

(persone fisiche)

Dati bancari

Perimetro: tracciatura

Transazioni interattive

Operazioni

bancarie

Operazioni

bancarie

informatizzate



Dati personali

(persone fisiche)

Dati bancari

Perimetro: audit annuale


Operazioni

bancarie

Operazioni

bancarie

informatizzate



Situazioni particolari

• Dati portati su pc

• Estrazioni effettuate e poi rese disponibili via e-mail o share di rete

• Stampa di tabulati

• Estrazioni fatte per terzi (ad esempio superiori)

• Dal CRM o altri DB di sintesi è possibile estrarre fogli Excel con granularità che può arrivare al singolo cliente/prodotto, consultabili in locale



Ambito delle verifiche interne

• Nell’attività di verifica interna non è importante verificare solo che il risultato finale sia conforme alla norma, ma anche il come si è arrivati al risultato

• E’ necessario verificare che le decisioni prese siano state adeguatamente:

– condivise

– documentate

– abbiamo coinvolto tutte le strutture preposte

• In altre parole che esista una governance del processo di adeguamento



Modalità di esecuzione delle verifiche

L’attività di verifica avviene mediante:

• Raccolta ed analisi documentazione

• Interviste

• Accesso ai sistemi

• Raccolta ed analisi delle evidenze



Raccolta evidenze

• Esempi di log

– Inquiry

– Dispositive

• Alert



Raccolta documenti

• Documentazione relativa al processo

decisionale sulle assunzioni aziendali

• Procedure aziendali e normativa interna

• Elenco applicazioni/transazioni/funzioni

• Contratti con i vari outsourcer e fornitori

• Accordi sindacali

• Informative privacy



Verifica documentazione

• Esistenza

• Completezza

• Aggiornamento

• Processo di gestione

• Formalizzazione



Verifica documentazione

• Alcuni documenti, come ad esempio l’elenco delle

applicazioni, l’elenco di tutte le transazioni e funzioni

disponibili…, dovevano già essere presenti in

azienda.

• Se sono stati realizzati appositamente per il

provvedimento ed in precedenza non esistevano si

ha una evidenza della mancata implementazione di

alcune misure minime di sicurezza



Adeguamento: assunzioni aziendali

• Operazione bancaria

• Dato bancario

• Funzioni aziendali interessate

• Informazioni che si intendono registrare

• Alert che si intendono implementare

Verifica:

• del processo di condivisione e della documentazione a supporto delle scelte

• che le decisioni prese siano state condivise ed approvate dai vertici aziendali



Adeguamento: ruoli e responsabilità

• Implementazione iniziale

• Implementazione nel continuo– Variazione perimetro societario

– Variazione perimetro interno

– Variazione applicazioni

• Variazione sulle transazioni

– Nuove applicazioni

• Gestione db log

• Verifiche:– su alert

– annuale

• Adeguamenti della normativa interna

• Adeguamenti di incarichi ed informative

• Adeguamenti contrattuali

• Accordi sindacali

Verifica:

• del processo di condivisione e della documentazione a supporto delle scelte

• che le decisioni prese siano state condivise ed approvate dai vertici aziendali



Adeguamento: censimento applicativi

• Applicazioni

• Transazioni interattive– Dispositive

– Inquiry• Singole

• Massive

Verifica:

• della documentazione a supporto dell’attività– Elenco applicazioni

– Elenco funzioni/transazioni

• degli attori coinvolti, compresi gli outsourcer

• a campione sugli applicativi anche al fine di verificare la coerenza con le assunzioni aziendali



Dispositive Inquiry




Adeguamento: tracciatura in essere

• Censimento:– In ambito dispositivo

– In ambito inquiry• singolo

• massivo

• Delta rispetto ai requisiti normativi e le assunzioni aziendali (il delta può essere sia in eccesso sia in difetto)

Verifica:

• …

• evidenze delle tracciature in essere



Adeguamento: tracciatura

Verifica:

• A campione informazioni registrate:

– Coerenza con il provvedimento

– Coerenza con le assunzioni aziendali

– Profili di accesso ai log

– Caratteristiche dei log (livello di protezione…)

• Capacità di lettura del log in caso di variazioni aziendali



Adeguamento: tempi di conservazione

Verifica:

• delle scelte effettuate per i log di inquiry

• a campione sui log delle dispositive (il termine

non è definito in base a questo

provvedimento)



Adeguamento: definizione di alert

Verifica:

• della coerenza con le scelte aziendali



Adeguamento: soglie degli alert

Verifica:

• dei criteri utilizzati

• campione esaminato per tarare le soglie



Rapporti con gli esterni

• Outsourcer

• Fornitori di servizi/applicazioni

• Partner commerciali



Outsourcing

1.2. Ambito soggettivo di applicazione del provvedimento.

…Le misure in questione, inoltre, debbono essere osservate pure dalle società che operano in outsourcing – anche quando non appartengono al gruppo bancario - allorché l'attività esternalizzata sia connessa all'esecuzione di rapporti contrattuali (intercorrenti tra banca e cliente) e richieda l'utilizzo di funzioni applicative a supporto dell'operatività bancaria.



Esternalizzazioni (Circ. 263)

Le banche che ricorrono all’esternalizzazione di funzioni aziendali presidiano i rischi derivanti dalle scelte effettuate e mantengono la capacità di controllo e la responsabilità sulle attività esternalizzate nonché le competenze tecniche e gestionali essenziali per re-internalizzare, in caso di necessità, il loro svolgimento.

La decisione di ricorrere all’outsourcing per lo svolgimento di determinate funzioni aziendali (anche non importanti) è coerente con la politica aziendale in materia di esternalizzazione.



Esternalizzazione (Circ. 263)

il fornitore di servizi:

a) dispone della competenza, della capacità e delle autorizzazioni richieste dalla legge per esercitare, in maniera professionale eaffidabile, le funzioni esternalizzate; b) informa la banca di qualsiasi evento che potrebbe incidere sulla sua capacità di svolgere le funzioni esternalizzate in maniera efficace e in conformità con la normativa vigente; in particolare, comunica tempestivamente il verificarsi di incidenti di sicurezza, anche al fine di consentire la pronta attivazione delle relative procedure di gestione o di emergenza; c) garantisce la sicurezza delle informazioni relative all’attività della banca, sotto l’aspetto della disponibilità, integrità e riservatezza; in quest’ambito, assicura il rispetto delle norme sulla protezione dei dati personali.



Sub fornitura

la sub-esternalizzazione (ovverosia la possibilità del fornitore di esternalizzare a sua volta una parte delle attività oggetto del contratto di esternalizzazione) non deve mettere a repentaglio il rispetto dei principi e delle condizioni per l’esternalizzazione previste nella presente disciplina; a tal fine, il contratto con il fornitore di servizi prevede che eventuali rapporti di sub-esternalizzazione siano preventivamente concordati con la banca e siano definiti in modo da consentire il pieno rispetto di tutte le condizioni sopra elencate relative al contratto primario, inclusa la possibilità per l’Autorità di vigilanza di avere accesso ai dati relativi alle attività esternalizzate e ai locali in cui opera il sub-fornitore di servizi.



Sub fornitura

Nel caso di sub fornitori la banca deve valutare:

Se procedere alla designazione quale responsabile

esterno

Nel caso in cui personale del subfornitore acceda ai dati

bancari sono da valutare le relative posizioni ed

adempimenti



Forniture di applicazioni

Aspetti contrattuali

• Previsioni che l’applicazione abbia un sistema di tracciatura

proprio conforme alle norme o comunque compatibile con la

soluzione adottata dalla banca



Casistiche di accesso degli

incaricati

• Interno/Interno

• Interno/esterno

• Esterno/esterno

• Esterno/interno

• Prroblemi

– Proprietà dei log

– Compatibilità dei log registrati esternamente con le

soluzioni interne

– Chi effettua i controlli sugli esterni?



Incaricati: aspetti da considerare

• Interni (dipendenti, stagisti, interinali…)

– Dove operano• Sul s.i. della banca

• Sul s.i. dell’outsourcer

• Esterni

– Tipo di rapporto in essere• Consulenti della banca

• Consulenti del fornitore/ousourcer

• Dipendenti del fornitore/ousourcer

– Dove operano• Sul s.i. della banca

• Sul s.i. dell’outsourcer



Incaricati: aspetti da considerare

Adempimenti verso gli incaricati

• Incarico

– dalla banca

– dall’outsourcer

– dal fornitore di applicazioni/servizi

• Informativa

– Della banca

– Del terzo

• Accordo sindacale

– E se sono esterni?

• Consulenti

• Dipendenti di terzi



Differenze rispetto ai log degli ADS

• Ads– Solo accessi o tentativi di accesso

– Solo degli Ads designati come tali

– Inalterabili

– Conservazione per 6 mesi

• Operatori– Attività svolta

– Solo con transazioni interattive di operazioni bancarie su dati bancari

– Conservazione per 24 mesi



Opportunità

• La registrazione dei log di accesso consente di verificare nel

concreto se i profili sono corretti, ovviamente unicamente per

gli utenti che si collegano agli applicativi per i quali è attiva

l’operativi tà di log



Grazie per l’attenzione

Riferimenti

[email protected]

prescrizioni in materia di circolazione delle informazioni ... › sites › default › files ›...

Documents