Categorie
Blog Case Studies

Security Architect Srl per Fintech & Banking

Cyber security e Banking oggi

Il panorama della sicurezza informatica nel settore bancario è cambiato dall’ingresso nel settore delle società di tecnologia finanziaria – fintech. Fintech e Banking sono legati ormai a doppio filo.

Le società fintech sono sempre più coinvolte nei trasferimenti di denaro via mobile, nei pagamenti online, nei sistemi di pagamento elettronico, nei sistemi utente end-to-end e nel trading di criptovalute. Questi ne aumentano l’efficienza, ma comportano anche significativi rischi per la sicurezza.

La sicurezza informatica nel settore bancario viene applicata attraverso normative legali sempre più stringenti. Si richiede alle banche di fornire servizi affidabili e sicuri e di implementare solide procedure di sicurezza informatica e processi operativi volti a ottimizzare tali servizi.

La cyber security si fa fondamentale per i servizi Fintech

Le organizzazioni di tipo Enterprise testano costantemente le loro misure di sicurezza in quanto non vogliono rischiare perdite di dati, danni di immagine o sanzioni. Soprattutto nel caso di grandi banche globali, anche un piccolo incidente può allontanare migliaia di clienti, il che è un rischio troppo grande per qualsiasi Istituto Bancario.

La violazione di una normativa legale comporta spesso gravi sanzioni pecuniarie, così ingenti da causare più danni della stessa perdita di clienti.

Al contrario, le società di tecnologia finanziaria, o fintech, sono spesso start-up, PMI in rapida crescita, che forniscono alcuni dei loro prodotti al settore bancario. Poiché i fornitori di fintech non sono banche, non sono così strettamente regolamentati e hanno una maggiore flessibilità nell’adattarsi ai requisiti esistenti.

In quanto tale, una società fintech può fungere da overlay per le banche, facilitando la fornitura di determinati prodotti finanziari in modo semplificato.

L’ulteriore vantaggio che apportano al settore bancario è il time-to-market dei servizi più breve, motivo per cui le banche si affidano sempre più spesso al fintech. Questa sovrapposizione, tuttavia, è spesso accompagnata da misure di sicurezza deboli, da punti di ingresso scoperti…

Rischi di Banking e FinTech

Banche, istituti finanziari e società fintech sono soggette a problemi di sicurezza peculiari, Security Architect Srl propone soluzioni ad hoc per questi settori:

Le start-up fintech sono particolarmente attraenti per i criminali informatici, i quali sono a conoscenza del fatto che le aziende fintech raramente investono tanto denaro e sforzi in misure di sicurezza quanto le banche.

Errori come la conservazione di dati non crittografati o servizi di terze parti non protetti, o ancora l’assenza di autenticazione a più fattori per l’accesso di interni e clienti creano porte ai cyber criminali, non solo per l’accesso ai dati legati alle transazioni fintech ma anche un modo per raggiungere i colossi dell’economia.

Le violazioni della sicurezza più comuni in questo settore includono:
  • Furto di identità
  • attacchi di social engineering o phishing
  • Furto di denaro e riciclaggio
  • Violazioni delle applicazioni e fughe di dati
  • Conseguenti frodi e ricatti
  • Spoofing
  • Attacchi Malware
  • Attacchi DdoS di larga portata.

Altre criticità del settore Banking e FinTech

Come stiamo iniziando a comprendere mettere in sicurezza il perimetro infinito che si crea dagli scambi di dati tra banche e applicazioni fintech, app e clienti, clienti e aziende che ricevono i pagamenti risulta estremamente difficile. Alcune delle sfide che gravano sulle aziende che si occupano di fintech:

Gestione dell’identità:

La condivisione continua dei dati è un attributo chiave delle operazioni fintech. Questo chiaramente espone al rischio molti soggetti.
Le organizzazioni finanziarie accumulano tonnellate di dati, il che crea problemi di proprietà dei dati e di gestione dell’identità digitale. Cosa succede con le informazioni del cliente dopo aver annullato l’abbonamento? L’azienda potrebbe incontrare problemi di conformità se non implementa meccanismi di eliminazione dei dati. E se qualcuno ruba i dati non eliminati, quindi ormai privi di consenso?

Problemi di sicurezza informatica:

La sicurezza dei dati è la principale preoccupazione per il 70% delle banche. Secondo lo studio del Ponemon Institute 2019, le aziende del mercato dei capitali e le banche spendono circa 18,5 milioni di dollari ogni anno per combattere il crimine informatico. E se ciò non bastasse, il costo annuale degli attacchi degli hacker arriva fino a 18,3 milioni di dollari per fornitore di servizi finanziari.
Questi fornitori raccolgono grandi volumi di informazioni di identificazione personale, inclusi dati finanziari, di contatto e sanitari su clienti, visitatori e dipendenti.
Gli hacker possono sfruttare le debolezze del sistema per accedere a queste informazioni e rivenderle o utilizzarle per frodi finanziarie. La parte peggiore: la maggior parte delle aziende non viene a conoscenza degli attacchi finché non è troppo tardi. Secondo il sondaggio di Bitdefender, circa il 64% delle aziende non è a conoscenza di violazioni dei dati nei propri sistemi.

Rispetto dei requisiti legali:

Le applicazioni di tecnologia finanziaria devono seguire le pratiche KYC (Know Your Customer) e le normative regionali sulla protezione dei dati.
Ad esempio, le aziende che forniscono servizi finanziari per i cittadini dell’Unione Europea devono rispettare il GDPR (General Data Protection Regulation). Ma se, come spesso accade, un’azienda ha a che fare con clienti residenti all’estero deve rispettare anche le normative estere.
La creazione di un’applicazione FinTech sicura richiede strumenti pratici e familiarità con le normative.

I requisiti di sicurezza informatica per le applicazioni FinTech variano in base alla posizione geografica e ai mercati di destinazione. E sono davvero moltissimi i regolamenti sulla protezione dei dati, da soddisfare: RGPD, PSD2, eIDAS, FCA, GPG13, APPI, PIPA- se si hanno rapporti con aziende e/o clienti residenti in oriente, PCI DSS, ISO/IEC 27001…

Security Architect Srl è la soluzione

Molte organizzazioni non dedicano risorse sufficienti per rendere la loro piattaforma più sicura. Come possiamo ridurre gli attacchi informatici e portare presso lo zero il margine di rischio?

Le aziende che hanno a cuore la propria reputazione e il proprio benessere finanziario devono sfruttare le tecniche e gli approcci più recenti per sicurezza dei dati.

Approccio Secure-by-design

La nostra firma… Il modo migliore per eliminare i difetti di sicurezza fintech è incorporare l’approccio secure-by-design nei processi di sviluppo del software e del prodotto. Questo approccio incorpora tecniche di sicurezza specifiche in ogni fase del processo di sviluppo del software: dall’analisi, alla progettazione, implementazione e test, fino alla manutenzione e al monitoraggio.

Crittografia dei dati

La crittografia e la tokenizzazione sono soluzioni di sicurezza finanziaria incredibilmente efficaci.

La crittografia si riferisce alla codifica delle informazioni in un codice che richiede chiavi speciali per decifrarle in un formato leggibile.

Controllo degli accessi in base al ruolo

RBAC limita l’accesso alla rete in base alla relazione dell’utente con l’organizzazione. Ad esempio, la tua applicazione può avere i seguenti ruoli:

  • Amministratore
  • Manager
  • esperto di tecnologia informatica
  • Personale di supporto online
  • Cliente, ecc…

Grazie a un livello di accesso variabile, i dipendenti ordinari e gli utenti finali non accederanno alle informazioni aziendali. Di conseguenza, si riducono le minacce alla sicurezza interne ed esterne.

Secure application logic

Una rigorosa politica delle password è indispensabile per la sicurezza FinTech. Ma questo non è sufficiente per proteggere la tua applicazione da attacchi mirati.

Bisogna implementare dei processi di sicurezza quali: Two factor authentication (2FA) o Multi-factor authentication (MFA), One-Time Password (OTP) system, aggiornamento obbligatorio delle password, sessioni di accesso brevi o limitate nel tempo e ancora un monitoraggio costante, cioè un sistema di tracciamento con cui analizzare attività sospette (come accessi non riusciti) per rilevare casi di accesso non autorizzato.

DevSecOps

La sicurezza informatica è un processo continuo, va integrata, aggiornata e controllata.

Gli istituti di sicurezza delle reti registrano ogni giorno oltre 350.000 applicazioni dannose e potenzialmente dannose. Anche le normative fintech sono in costante aggiornamento. Come puoi stare al passo con l’evoluzione del panorama della sicurezza informatica FinTech?

C’è una risposta. La metodologia DevSecOps rende la sicurezza informatica parte integrante della pipeline di produzione, comprese le fasi di progettazione dell’architettura, codifica e test.

Security Architect si pone come avanguardia nel system integration, integrando la sicurezza in DevOps e guidando i clienti ad una consapevolezza nell’innovazione.

Un team di esperti che organizza e monitora la sicurezza informatica è necessario. È l’approccio ideale per le aziende fintech che desiderano soddisfare elevati standard di sicurezza in modo flessibile, nonché innovare in aree che le banche non possono affrontare con la stessa facilità.

scopri i nostri servizi:
Security e GDPR compliant anche con applicazioni e sistemi obsoleti
Blog

Security e GDPR compliant anche con applicazioni e sistemi obsoleti

Spesso accade che le aziende continuino ad utilizzare software obsoleti per impossibilità alla sostituzione completa esponendosi a rischi per la sicurezza e inosservanza delle norme (GDPR, NIS, DL 231, ecc...). Questa situazione critica...
Leggi tutto
Perché è necessario il monitoraggio continuo della rete?
Blog

Perché è necessario il monitoraggio continuo della rete?

Bollino rosso su strade e autostrade, al via il controesodo estivo per milioni di italiani preparati al rientro in ufficio. Dai bagnasciuga alle scrivanie, la priorità delle aziende è assicurare un re-start a...
Leggi tutto
10 consigli di cyber security per viaggi di lavoro e il remote working
Blog

10 consigli di cyber security per viaggi di lavoro e il remote working

Molti smart business, start-up e organizzazioni operano ad oggi in un modello distribuito (distributed model), con filiali ed endpoint distribuiti al di fuori di un ufficio fisico. Il concetto di perimetro di rete...
Leggi tutto
Profili social hackerati: come difenderci
Blog News

Profili social hackerati: come difenderci

Profili social hackerati: in questo articolo esploreremo la sfera dei social media dal punto di vista degli hacker e della sicurezza informatica. Come possiamo evitare che qualcuno si appropri dei nostri profili social?...
Leggi tutto
LA ROBOTICA COLLABORATIVA A SERVIZIO DELLE IMPRESE: Cyber Defense delle reti OT
Eventi

LA ROBOTICA COLLABORATIVA A SERVIZIO DELLE IMPRESE: Cyber Defense delle reti OT

Security Architect srl si fa portavoce dell'importanza di estendere la sicurezza informatica anche ai sistemi di Operational Technology (Cyber Defense delle reti OT) all'interno del seminario di alta formazione Robotica Collaborativa al servizio...
Leggi tutto
YARA rules: uno strumento contro il malware
Blog

YARA rules: uno strumento contro il malware

Cosa sono le regole YARA? Le regole Yara (acronimo che sta per Yet Another Recursive Acronym) sono uno strumento sviluppato da Victor Alvarez, distribuito all’interno di Kali Linux e viene attualmente utilizzato dagli analisti di...
Leggi tutto
Leave this field blank
Per saperne di piÙ

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *