La ISO 27001 per Consorzio Triveneto

Consorzio Triveneto viene costituito a Padova, nel 1990, da un gruppo di Banche per erogare servizi telematici alla clientela;  in particolare, l’obiettivo è quello di curare la progettazione, l'erogazione e l'evoluzione di servizi di pagamento, liberando le Banche consorziate da tutte le incombenze operative.
 
Alla fine del 2008 il gruppo Bassilichi ne acquisisce la maggioranza e delibera la sua trasformazione in Società per Azioni.
Attualmente Triveneto Bassilichi opera nel mondo dei sistemi di pagamento a livello nazionale con una struttura flessibile e altamente specializzata di oltre 150 risorse.

Le aree dell’offerta, a supporto di esercenti, merchant e aziende, sono principalmente la Monetica - con la gestione dei servizi POS e di Commercio Elettronico – ed il Corporate Banking.

Oltre alla certificazione ISO 27001 e ISO 9001, vanno menzionate altre certificazioni conseguite per rispondere alle esigenze del mercato in continua evoluzione:

  • certificazione allo standard Payment Card Industry Data Security Standard (PCI DSS);
  • conformità allo standard PCI-PIN;
  • omologazione, da parte del Consorzio Bancomat, in qualità di "Service di Acquiring e Gestione Terminali  POS" secondo il nuovo standard CB2
  • adesione agli standard internazionali Verified By VISA e Securcode di Mastercard.


Quali sono state le principali motivazioni  che vi hanno spinto a certificarvi  a fronte della norma ISO 27001?

 Risponde Dott. Ferdinando Soldan, Direttore Compliance Aziendale di Bassilichi SpA
 
Il motivo di fondo va ricercato nell’attenzione crescente verso la sicurezza delle informazioni, che deriva dalla tipologia di servizi offerti dal Consorzio Triveneto, insieme all’evolversi dei servizi stessi e delle minacce alla sicurezza delle informazioni.
 
La decisione di certificarci ISO 27001 è nata quindi dall’esigenza di rendere evidente, all’esterno ma anche all’interno, e misurabile il sistema di gestione della sicurezza delle informazioni, sfruttando la sinergia delle attività in corso per la certificazione ISO 9001, e valorizzando quanto l’azienda aveva già implementato per la certificazione PCI DSS.
 

Quale soluzione o quale strumento adottato si è rivelato particolarmente importante nel migliorare il vostro sistema di gestione?

L’intranet aziendale si è rivelata strumento utile per la condivisione di notizie e documentazione. Grazie a questo sono aumentati la consapevolezza ed il coinvolgimento del personale. I tools già da noi adottati per l’analisi dei rischi si sono poi integrati perfettamente con le necessità della ISO 27001, in particolare con le linee guida ISO 27005.
 

Quali sono state le principali aree di intervento e quali le vostre valutazioni sul percorso di certificazione?

La certificazione ha riguardato tutti i processi aziendali, dalla progettazione allo sviluppo ed erogazione di servizi di pagamento e complementari, in particolare nell’ambito della monetica e del corporate banking.
Abbiamo cercato di lavorare sull’integrazione tra il PCI DSS e le norme ISO: ne è risultato un progetto efficace, capace di valorizzare le competenze già presenti, senza troppi appesantimenti strutturali.
 
In che modo la certificazione ha contribuito a consolidare la consapevolezza del personale interno sugli aspetti relativi alla sicurezza? Riteniamo che per la tipologia di servizi erogati dall’azienda, la consapevolezza del personale sugli aspetti relativi alla sicurezza delle informazioni fosse già adeguata. Sicuramente il rafforzarsi
del sistema, la formazione aggiuntiva effettuata e le azioni di comunicazione interna hanno accresciuto l’awareness aziendale.
 

Qual è stato per voi il valore aggiunto della certificazione?

 
competitività Considerando il settore di attività dell’azienda, la certificazione ISO 27001 può costituire un elemento preferenziale e a volte necessario in occasione di gare o offerte di servizi.
aumento della fiducia dei clienti Riteniamo che aggiungere alla certificazione PCI DSS la ISO 27001 renda più solida ed argomentata la fiducia dei clienti nei servizi erogati. La certificazione ISO 27001 riguarda tutti i servizi offerti, anche quelli non PCI.
riduzione dei costi Nell’ambito del progetto il parametro di riduzione dei costi non è stato considerato come elemento decisionale.
semplificazione nella gestione degli aspetti cogenti Di per sé questo aspetto non raccoglie benefici diretti dalla certificazione ISO 27001, considerando però che è stato sviluppato un sistema di gestione integrato per la qualità e la sicurezza, anche la gestione di tutti gli altri aspetti cogenti rientra in questo ambito unificato di gestione, ricavandone indubbi benefici di semplificazione e controllo.