Che cos'è?
Consulenza PSD 2 – Adeguamento e Compliance
La direttiva PSD2, Payment Services Directive n.2 è la Direttiva europea 2015/2366 sui servizi di pagamento nel mercato interno, entrata in vigore a gennaio 2018. Ha aperto le porte del mondo bancario ai soggetti Fintech e standardizzando anche sistemi di pagamento digitali.
La direttiva include indicazioni di carattere tecnico per la messa in sicurezza dei servizi e dell’infrastruttura informatica. Gli esperti di Safecore, forti di un background legato alla sicurezza IT, possono fornire la consulenza necessaria alle aziende che intendono recepirla.
La direttiva, che spazia dall’uso di nuove possibilità di pagamento alla limitazione delle commissioni interbancarie, dalla regolamentazione degli strumenti di pagamento proprietari alle disposizioni di vigilanza a cui devono attenersi gli istituti di pagamento, dalle misure di sicurezza per l’accesso online ai rapporti bancari alla tutela dei fondi della clientela, introduce anche la possibilità di inserirsi nel mondo dei pagamenti a soggetti completamente estranei al mondo bancario-finanziario. Questa ha rappresentato una interessante opportunità soprattutto per le aziende del segmento fintech, che ora possono agire in modo analogo agli istituti bancari, a condizione che rispettino le direttive PSD2.
Certificazione PSD 2: l'obiettivo
L’obiettivo principale della direttiva è migliorare la protezione dei consumatori che utilizzano servizi di pagamento, incrementare la trasparenza e la sicurezza, e favorire l’efficienza e l’innovazione in un settore in rapida espansione, che spesso manca di un’adeguata regolamentazione. La PSD2 mira quindi a stimolare una concorrenza più intensa nel mercato dei pagamenti e a facilitare l’accesso alle informazioni sui conti bancari.
Come funziona
Le aziende che forniscono servizi di pagamento devono conformarsi alle scadenze stabilite nel calendario per gli adeguamenti pianificati. Quelle che aspirano a entrare nel mercato devono invece progettare i loro servizi e infrastrutture in modo che rispettino pienamente i criteri stabiliti, seguendo un approccio che potremmo chiamare ‘PSD2 by design’.
Riconoscendo il crescente passaggio dalla moneta fisica a quella elettronica, la direttiva PSD2 ha integrato e regolamentato queste nuove realtà, conosciute come PISP (Payment Initiation Service Providers), disciplinandone l’ingresso nel mercato e offrendo al contempo nuove opportunità alle imprese nate nell’era digitale. In questo scenario, l’elemento chiave di ogni servizio finanziario è il sistema informativo su cui si basa.
La direttiva include numerose norme per la sicurezza dei servizi e delle infrastrutture, che devono essere osservate da tutti gli operatori, sia che si tratti di società con una consolidata esperienza nel settore bancario-finanziario o di start-up intenzionate a sfruttare le nuove opportunità di business fornite dalla direttiva stessa, che erogano o prevedono di erogare servizi bancari o finanziari.
Come avviene la direttiva PSD 2
La consulenza PSD2 si traduce nell’elaborazione, realizzazione e gestione di sistemi e soluzioni di sicurezza, che coprano aspetti fisici, logici e organizzativi, per assicurare almeno il grado di protezione prescritto dalla direttiva in relazione al tipo di attività svolta.
Cosa prevede l'intervento dei consulenti di Safecore
Il supporto offerto da Safecore segue quindi lo stesso schema metodologico utilizzato per qualsiasi altro adeguamento normativo e può comprendere:
- valutazione dell’applicabilità e delle modalità di applicazione della direttiva;
- gap analysis e definizione del piano di intervento;
- consulenza in fase di scelta ed implementazione delle soluzioni tecnologiche da adottare;
- consulenza, formazione e valutazione della sicurezza in ambito applicativo;
- supporto nella definizione della struttura organizzativa;
- redazione documentale;
- supporto nella predisposizione delle pratiche di accreditamento.
La portata del supporto dipende dalla tipologia dei servizi erogati dal cliente che devono osservare la compliance PSD2 per poter essere erogati a termini di legge.
Perché scegliere Safecore
Il team Safecore è composto da persone appassionate da sempre alle sfide, soprattutto quelle legate alla sicurezza informatica. Le numerose esperienze affrontate in importanti contesti come quello bancario e assicurativo, l’eterogeneità e il forte legame del team rende Safecore un’ottima arma di prevenzione.
Nel tempo sono state acquisite elevate capacità di Problem Solving e un metodo di pensiero fuori dagli schemi (“Think Outside The Box”) che si è rivelato vitale per raggiungere ottimi risultati.
Il team Safecore è altamente qualificato e vanta svariate certificazioni riconosciute a livello aziendale, tra cui:
- OSCP (Offensive Security Certified Professional)
- OSWE (Offensive Security Web Expert)
- eWPT (eLearnSecurity Web application Penetration Tester)
- eMAPT (eLearnSecurity Mobile Application Penetration Tester)
- eJPT (eLearnSecurity Junior Penetration Tester)
- eCDFP (eLearnSecurity Certified Digital Forensics Professional)
- ISO 27001 Lead Auditor
- ISO 22301 Lead Auditor
La nostra metodologia
Safecore ha sviluppato un approccio olistico che consiste nell’analisi periodica dei rischi provenienti dalle tre componenti fondamentali all’interno di un’organizzazione quali le PERSONE, i PROCESSI e le TECNOLOGIE.
attuare politiche di sicurezza a tutela di tutto il personale, interno ed esterno, coinvolto nell’erogazione di servizi
inclusione dei principi di sicurezza in tutti i processi aziendali nel rispetto di “Security by design”
verificare la sicurezza di tutte le tecnologie adottate all”interno dell’organizzazione con particolare riferimento a quelle dedicate per l’erogazione dei servizi
Il percorso nel tempo con Safecore
Safecore offre anche il servizio di consulenza nelle fasi successive, per l’aggiornamento del personale e il mantenimento dei requisiti necessari nel corso del tempo.
In particolare, i servizi di Safecore comprendono:
- definizione dell’ambito di applicazione dell’ISMS in fase di prima implementazione o ampliamento;
- gap analysis e definizione del piano di intervento;
- consulenza in fase di implementazione o certificazione per la risoluzione di eventuali non conformità;
- redazione dell’apparato documentale;
- analisi dei rischi;
- supporto per audit interni;
- attività di riesame;
- formazione;
- affiancamento durante gli audit degli enti certificatori.
Inoltre assistiamo le aziende nelle revisioni della propria organizzazione o degli obiettivi aziendali, a seguito dell’emissione di nuove versioni della norma, oppure nell’adozione di nuovi standard dedicati a specifici settori. Non da ultimo diamo supporto per l’integrazione dell’ISMS con altri sistemi di gestione (ISO 9001, ISO 20000, COBIT, ecc.) o con la compliance aziendale (231, GDPR, PCI DSS).
Chi ne può beneficiare?
Tutte le entità che sono coinvolte in una delle attività che rientrano nel campo di applicazione della direttiva PSD2: banche, prestatori di servizi di pagamento già abilitati, TPP o Third Party Payment service provider PISP, Payment Initiator Service Provider, e AISP, Account Information Service Provider e più in generale aziende e startup operanti nel fintech, oppure aziende che intendano inserire fra le loro attività servizi di pagamento digitale.
