Che cos'è?
Consulenza PSD 2 – Adeguamento e Compliance
La direttiva PSD2, Payment Services Directive n.2 è la Direttiva europea 2015/2366 sui servizi di pagamento nel mercato interno, entrata in vigore a gennaio 2018. Ha aperto le porte del mondo bancario ai soggetti Fintech e standardizzando anche sistemi di pagamento digitali.
La direttiva include indicazioni di carattere tecnico per la messa in sicurezza dei servizi e dell’infrastruttura informatica. Gli esperti di Safecore, forti di un background legato alla sicurezza IT, possono fornire la consulenza necessaria alle aziende che intendono recepirla.
La direttiva, che spazia dall’uso di nuove possibilità di pagamento alla limitazione delle commissioni interbancarie, dalla regolamentazione degli strumenti di pagamento proprietari alle disposizioni di vigilanza a cui devono attenersi gli istituti di pagamento, dalle misure di sicurezza per l’accesso online ai rapporti bancari alla tutela dei fondi della clientela, introduce anche la possibilità di inserirsi nel mondo dei pagamenti a soggetti completamente estranei al mondo bancario-finanziario. Questa ha rappresentato una interessante opportunità soprattutto per le aziende del segmento fintech, che ora possono agire in modo analogo agli istituti bancari, a condizione che rispettino le direttive PSD2.
Certificazione PSD 2: l'obiettivo
Lo scopo della direttiva è quello di rafforzare la tutela degli utenti dei servizi di pagamento, aumentare la trasparenza e la sicurezza, implementando efficienza e innovazione in questo ambito, che essendo in costante crescita, spesso si rivela privo di adeguata tutela normativa. Con la PSD2 si vuole, quindi, promuovere una maggiore concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
Come funziona
Le società che già erogano i servizi devono recepire le indicazioni entro le date stabilite dal calendario di pianificazione degli adeguamenti. Le società che invece intendono entrare nel mercato devono progettare i servizi e le infrastrutture in modo che rispondono pienamente ai requisiti, secondo un principio che potremmo definire PSD2 by design.
Consapevole del fatto che i pagamenti si stanno sempre più spostando dalla moneta fisica alla moneta elettronica, la direttiva PSD2 ha recepito e regolamentato l’esistenza di queste realtà, (definite PISP, Payment Initiation Service Providers) regolamentandone l’accesso al mercato e contemporaneamente garantendo nuove opportunità alle realtà nate in ambito digitale. In questo contesto il cuore di ogni servizio finanziario è rappresentato dal sistema informativo su cui poggia:
la direttiva contiene numerose indicazioni per la messa in sicurezza dei servizi e dell’infrastruttura che devono essere rispettate da tutti coloro, siano essi società di provata esperienza in campo bancario-finanziario o start-up che desiderano esplorare le nuove possibilità di business offerte dalla direttiva stessa, che già erogano o intendono erogare servizi di natura bancaria o finanziaria.
Come avviene la direttiva PSD 2
L’attività di consulenza PSD2 si concretizza nella definizione, implementazione e mantenimento di meccanismi e soluzioni di sicurezza a livello fisico, logico ed organizzativo, che possano garantire almeno il livello di protezione richiesto dalla direttiva per la tipologia di attività eseguita.
Cosa prevede l'intervento dei consulenti di Safecore
Il supporto offerto da Safecore segue quindi lo stesso schema metodologico utilizzato per qualsiasi altro adeguamento normativo e può comprendere:
- valutazione dell’applicabilità e delle modalità di applicazione della direttiva;
- gap analysis e definizione del piano di intervento;
- consulenza in fase di scelta ed implementazione delle soluzioni tecnologiche da adottare;
- consulenza, formazione e valutazione della sicurezza in ambito applicativo;
- supporto nella definizione della struttura organizzativa;
- redazione documentale;
- supporto nella predisposizione delle pratiche di accreditamento.
La portata del supporto dipende dalla tipologia dei servizi erogati dal cliente che devono osservare la compliance PSD2 per poter essere erogati a termini di legge.
Perché scegliere Safecore
Il team Safecore è composto da persone appassionate da sempre alle sfide, soprattutto quelle legate alla sicurezza informatica. Le numerose esperienze affrontate in importanti contesti come quello bancario e assicurativo, l’eterogeneità e il forte legame del team rende Safecore un’ottima arma di prevenzione.
Nel tempo sono state acquisite elevate capacità di Problem Solving e un metodo di pensiero fuori dagli schemi (“Think Outside The Box”) che si è rivelato vitale per raggiungere ottimi risultati.
Il team Safecore è altamente qualificato e vanta svariate certificazioni riconosciute a livello aziendale, tra cui:
- OSCP (Offensive Security Certified Professional)
- OSWE (Offensive Security Web Expert)
- eWPT (eLearnSecurity Web application Penetration Tester)
- eMAPT (eLearnSecurity Mobile Application Penetration Tester)
- eJPT (eLearnSecurity Junior Penetration Tester)
- eCDFP (eLearnSecurity Certified Digital Forensics Professional)
- ISO 27001 Lead Auditor
- ISO 22301 Lead Auditor
La nostra metodologia
Safecore ha sviluppato un approccio olistico che consiste nell’analisi periodica dei rischi provenienti dalle tre componenti fondamentali all’interno di un’organizzazione quali le PERSONE, i PROCESSI e le TECNOLOGIE.
attuare politiche di sicurezza a tutela di tutto il personale, interno ed esterno, coinvolto nell’erogazione di servizi
inclusione dei principi di sicurezza in tutti i processi aziendali nel rispetto di “Security by design”
verificare la sicurezza di tutte le tecnologie adottate all”interno dell’organizzazione con particolare riferimento a quelle dedicate per l’erogazione dei servizi
Il percorso nel tempo con Safecore
Safecore offre anche il servizio di consulenza nelle fasi successive, per l’aggiornamento del personale e il mantenimento dei requisiti necessari nel corso del tempo.
In particolare, i servizi di Safecore comprendono:
- definizione dell’ambito di applicazione dell’ISMS in fase di prima implementazione o ampliamento;
- gap analysis e definizione del piano di intervento;
- consulenza in fase di implementazione o certificazione per la risoluzione di eventuali non conformità;
- redazione dell’apparato documentale;
- analisi dei rischi;
- supporto per audit interni;
- attività di riesame;
- formazione;
- affiancamento durante gli audit degli enti certificatori.
Inoltre assistiamo le aziende nelle revisioni della propria organizzazione o degli obiettivi aziendali, a seguito dell’emissione di nuove versioni della norma, oppure nell’adozione di nuovi standard dedicati a specifici settori. Non da ultimo diamo supporto per l’integrazione dell’ISMS con altri sistemi di gestione (ISO 9001, ISO 20000, COBIT, ecc.) o con la compliance aziendale (231, GDPR, PCI DSS).
Chi ne può beneficiare?
Tutte le entità che sono coinvolte in una delle attività che rientrano nel campo di applicazione della direttiva PSD2: banche, prestatori di servizi di pagamento già abilitati, TPP o Third Party Payment service provider PISP, Payment Initiator Service Provider, e AISP, Account Information Service Provider e più in generale aziende e startup operanti nel fintech, oppure aziende che intendano inserire fra le loro attività servizi di pagamento digitale.
