Questo sito utilizza i cookie. Visualizza la nostra informativa sui cookie
Chiudere

Conformità e penetration testing

Requisiti di conformità a parte, il penetration testing è un aspetto critico per qualsiasi programma di sicurezza. Il panorama delle minacce in continua evoluzione, causato dalla crescente complessità delle tecniche di attacco, sottolinea la necessità per le organizzazioni di monitorare e gestire continuamente le vulnerabilità.

 

Nell’attuale panorama regolamentato, molte organizzazioni sono alla continua ricerca di strade migliori per valutare la loro conformità. Ci sono norme e standard che hanno molti componenti, che si riferiscono specificamente al controllo e alla sicurezza del sistema e indicano o specificano che i penetration test sono necessari per determinare se le vulnerabilità identificate rappresentano un rischio reale per un'organizzazione.


Il significato della normative/standard

Requisiti

  • Il PCI DSS è stato creato per aiutare le aziende a effettuare in modo sicuro i pagamenti con carte di pagamento e a ridurre le frodi. Questo è possibile attraverso rigidi controlli che riguardano la conservazione, la trasmissione e il trattamento dei dati dei titolari della carta gestiti dalle aziende. Il PCI DSS intende proteggere i dati sensibili dei titolari delle carte.
  • Il requisito 11.3 del PCI DSS descrive la necessità di eseguire periodicamente dei penetration test per identificare problemi di sicurezza e scansionare le reti wireless per controllare accessi non autorizzati.

Scopri di più

 
  • Un elemento fondamentale per la conformità allo standard ISO 27001 (e per l’eventuale conseguimento della certificazione) è l’esecuzione di un penetration test. Con il penetration test, le aziende possono identificare in modo efficace i miglioramenti da apportare nel sistema di gestione della sicurezza informatica (ISMS). Anche i penetration test fanno parte di un regime efficace in continuo miglioramento.
  • Lo scopo del controllo A12.6 dello standard ISO 27001 (Technical Vulnerability Management) afferma che "le informazioni sulle vulnerabilità tecniche dei sistemi informatici utilizzati devono essere ottenute in modo tempestivo, deve essere valutata l'esposizione dell'organizzazione a tali vulnerabilità e devono essere adottate le misure appropriate per affrontare il rischio associato".

Scopri di più

 
  • Il GDPR raccomanda che vengano valutate le applicazioni e l’infrastruttura dal punto di vista delle vulnerabilità della sicurezza e che l’efficacia dei controlli di sicurezza sia testata regolarmente. I servizi come il penetration testing e regolari valutazioni di vulnerabilità, ti aiuteranno a soddisfare tale raccomandazione.
  • Un’organizzazione deve applicare misure tecniche per garantire la sicurezza dei dati. L’articolo 32 afferma che le organizzazioni dovrebbero mettere in atto “un processo per testare regolarmente, accertare e valutare l’efficacia delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio”.

Scopri di più

 
  • La Direttiva PSD2 rappresenta un’evoluzione significativa della normativa esistente per il settore dei pagamenti e dei fornitori di servizi di pagamento. Punta ad accrescere la concorrenza in un settore già competitivo, introducendo nuovi tipi di servizi di pagamento, migliorando la protezione e la sicurezza del consumatore ed estendendo la portata della Direttiva.
  • La PSD2 richiede ai potenziali fornitori di servizi di pagamento di fornire un documento sulla loro policy di sicurezza - inclusa una dettagliata valutazione dei rischi - che descriva le misure adottate per proteggere i consumatori dalle frodi o dall’uso illecito dei dati personali sensibili. Almeno una volta all’anno, i fornitori di servizi di pagamento saranno tenuti a riferire quanto segue all’autorità nazionale competente: le valutazioni operative aggiornate sul rischio della sicurezza e sull’adeguatezza delle misure di controllo e di mitigazione del rischio utilizzate.

Scopri di più

 

Offriamo soluzioni pratiche che ti aiutano a soddisfare i vostri requisiti legali, normativi e contrattuali.

La nostra esperienza con le normative e gli standard PCI DSS , GDPR e ISO 27001, ci consente di offrire un approccio integrato alle tue sfide e di sviluppare soluzione adeguate che ti consentano di ridurre i rischi e garantire la conformità a standard, strutture, normative e altre necessità aziendali.


Parla con un esperto

Il nostro team di esperti è disponibile per qualsiasi tua domanda.