Start building Today
for a brighter tomorrow
Un processo a tre fasi …
Le persone DReA si occupano da anni di compliance, e lo fanno con una attenzione costantemente rivolta alla sua sostenibilita’: si tratta non solo di fare costare poco le attivita’ che consentono il rispetto delle regole, ma di estrarre da queste attivita’ il massimo del valore possibile.
I nostri consulenti sono attenti a “ridurre il perimetro” della compliance, quello che in un contesto tecnologico si direbbe “la superficie offerta all’ attaccante”.
Un buon disegno dei sistemi facilita la compliance, e sopratutto diminuisce i costi e le inefficienze, e rende piu’ semplice l’ evoluzione dei Clienti.
Siamo attivi sul fronte PCI (la sicurezza dei pagamenti con carta di credito) e sul fronte GDPR. Ma questi sono solo i due argomenti più popolari in fatto di compliance. In realtà tutti i sistemi di governo della sicurezza fanno riferimento, diretto o indiretto, alla ISO/IEC 27001, e così facciamo noi. I nostri lead auditor 27001 usano la stessa logica quando affrontano il tema PCI o il tema GDPR, e questa uniformità di approccio (internazionalmente riconosciuta) consente di poter “spendere” i risultati di una consulenza su PCI in un contesto GDPR, e viceversa.
Servizi
Il nostro approccio e’ quello di analizzare la situazione, ridurre al massimo il perimetro delle informazioni soggette a tutela per facilitare la tutela stessa e minimizzarne costi vivi (denaro) e costi indiretti (tempo, energia, attenzione).
Nel mondo dei sistemi di pagamento, si tratta di garantire la sicurezza delle operazioni ai clienti, minimizzare il rischio di furti e di frodi ai danni delle istituzioni finanziarie, garantire ai commercianti il buon esito delle loro vendite.
PCI-DSS
CoMPLIANCE
La conformita’ PCI DSS puo’ essere resa coerente con gli obiettivi di profittabilita’, minimizzazione del rischio e corretta operativita’ che ogni azienda che vende i propri prodotti e servizi ha.
Il nostro intervento parte dallo sforzo di minimizzare il perimetro dell’ intervento, per rendere economico e piu’ facilmente sostenibile il mantenimento nel tempo della conformita’, e prosegue supportando nel tempo la adozione delle migliori soluzioni organizzative, architetturali e tecnologiche che la nostra esperienza puo’ suggerirci.
Ci facciamo carico del rispetto delle scadenze per conto del cliente, lo aiutiamo a pianificare e a portare a termine le attivita’ necessarie, mettendo al suo servizio la nostra esperienza.
PCI-SSF
CoMPLIANCE
Il PCI Software Security Framework (PCI SSF) definisce un nuovo approccio del PCI SSC per la progettazione e lo sviluppo sicuro delle applicazioni di pagamento, esistenti o future. Derivati dallo standard di sicurezza PCI DSS e dalle relative procedure di audit, i requisiti del PCI SSF mirano a ridurre al minimo il rischio di violazioni che portano alla compromissione dei dati presenti su carte di pagamento, dei codici/valori di sicurezza delle carte, dei PIN e PIN block, nonché di frodi derivanti dalla loro compromissione.
La certificazione PCI SSF può essere ottenuta sia su uno solo che su entrambi i seguenti schemi:
1. Secure Software Standard (SSS) per il software di pagamento che vuole essere inserito sull’elenco pubblico del PCI SSC.
2. Secure Software Lifecycle Standard (SSLC) per lo sviluppo di software sicuro.
Il processo di certificazione, stabilito dal PCI SSC, può essere facoltativamente preceduto da un gap analysis utile per fornire indicazioni preziose per il miglioramento delle pratiche di sviluppo del software sicuro eventualmente anche in una prospettiva indipendente dalla stessa certificazione.
Sicurezza gestita
Supporto ATTIVITA E adempimenti
Ci proponiamo di alleviare lo sforzo delle aziende prendendo in carico, con alto livello qualitativo, a prezzi ragionevoli e a costi variabili, i sistemi di sicurezza.
Ci proponiamo di farlo con le tecnologie piu’ innovative e piu’ adatte a risolvere i problemi sia della sicurezza aziendale che del rispetto delle normative.
Security Assessments
COMPLIANCE
Per conseguire la “compliance”, il rispetto delle regole, sono possibili vari approcci.
Il nostro approccio e’ quello di analizzare la situazione, ridurre al massimo il perimetro delle informazioni soggette a tutela per facilitare la tutela stessa e minimizzarne costi vivi (denaro) e costi indiretti (tempo, energia, attenzione).
Nel mondo della privacy, stabilito che la privacy e’ “il diritto dell’ individuo a negoziare le proprie relazioni sociali sulla base del controllo delle informazioni che le definiscono”, si tratta di impedire l’ abuso delle informazioni condivise spesso con troppa facilita’ dai loro titolari, si tratta di non appesantire le legittime e utilissime funzionalita’ che la tecnologia consente (dalla facilita’ nel cercare nel mare magnum della rete le informazioni di interesse alla possibilita’ di risparmiare tempo grazie alla condivisione della propria posizione geografica), si tratta di trovare un equilibrio tra liberta’ del singolo e sicurezza della collettivita’.
Contattaci per il tuo piano
CLIENTI
Lavoriamo su clienti di tutte le dimensioni e di tutti i mercati verticali.
Certificazioni
PCI-DSS, ISO/IEC 27001
CONSULENTI
Esperienza decennale nella risoluzione dei problemi specifici della sicurezza informatica.
PARTNERs
Societa’ come noi, con le quali alle volte si compete e alle volte si condivide la complessita’ di un progetto.
Gli altri nostri partners sono i technology vendors.
Sicurezza gestita
Compliance and managed security services
Da Ros e Associati Srl (DReA)
Piazzale Giovanni Delle Bande Nere, 7
Milano (MI)
20146
Italy
Links diretti:
Da Ros e Associati Srl @2024