Adempimento

Esiste una grande varietà di regolamenti e norme che le organizzazioni devono rispettare.


SMARTFENSE assicura la conformità ai requisiti obbligatori delle norme di seguito elencate.


ISO / IEC 27001: 2013 - Allegato A / 27002

  • 7.2.2 - Sensibilizzazione, istruzione e formazione sulla sicurezza informatica/ Sensibilizzazione, istruzione e formazione sulla sicurezza informatica.

PCI DSS

  • 9.9.3 - Formare il personale nella rilevazione di indizi di alterazione o sostituzione nei dispositivi . La formazione dovrebbe coprire il seguente:
    • 9.9.3.a. - Revisione del materiale di formazione (copertura)
    • 9.9.3.b - Verificare la formazione e conoscenza delle procedure.

  • 12.6.1 - Formi il personale subito dopo l'assunzione e almeno una volta all'anno.
    • 12.6.1.a - Verificare che il programma di sensibilizzazione alla sicurezza fornisca diversi metodi.
    • 12.6.1.b - Controllare la partecipazione del personale alle attività di sensibilizzazione alla sicurezza al momento dell'assunzione e almeno una volta all'anno.
    • 12.6.1.c - Verificare che abbiano completato la formazione e conoscano l'importanza della sicurezza dei dati del titolare della carta.


Comunicazione "A" 5374 del 2012 della Banca Centrale della Repubblica Argentina (BCRA)

  • 6.2 - Le istituzioni devono avere la funzionalità e lo scopo descritto nel processo di riferimento e informare la Banca centrale, la struttura organizzativa ed operativa e nelle loro interrelazioni organizzazioni pertinenti:
    • 6.2.1 - Sensibilizzazione e Formazione: processo relativo all'acquisizione e la provisione delle conoscenze in pratiche di sicurezza, la sua diffusione, la formazione e l'istruzione, per lo sviluppo della attività di prevenzione, individuazione e rettifica degli incidenti di sicurezza in canali elettronici ( di cui 6.1).
  • 6.3.2.2 - nei compiti di gestione della sicurezza, indipendentemente dall'area, persone o terzi che abbiano funzione di responsabile e esecuzione delle attività, le entità devono avere funzioni e compiti relativi ai seguenti processi di sicurezza per i suoi canali elettronici:
    • 6.3.2.2.1 - Sensibilizzazione e Formazione. In aggiunta all' indicato al punto 6.2.1, le entità devono contare su un programma di sensibilizzazione e formazione annuale sulla sicurezza informatica, misurabile e verificabile, i cui contenuti includano tutte le necessità interne ed esterne nel corso, conoscenza, prevenzione e denuncia di incidenti, scalabilità e responsabilità dei canali elettronici di cui dispongono.
  • 6.7.1 - Tabella dei requisiti minimi di Sensibilizzazione e Formazione (RCC).

COMUNICAZIONE “A” 7266 del 2021 della Banca Centrale della Repubblica Argentina (BCRA)

  • 2.1. - Governo.
    • 2.1.1. - Cultura.
      Si spera che la direzione dell'impresa sostenga la creazione di un ambiente organizzativo in cui si incoraggi a segnalare o scalare gli incidenti informatici attraverso un canale dedicato, considerando:
      • 2.1.1.1. - Lo stabilimento di programmi di formazione per tutti i livelli dell'impresa, volti a promuovere comportamenti proattivi, in cui si accetti la possibilità di insorgenza di incidenti informatici e l'apprendimento basato sugli errori.
      • 2.1.1.2. - Promuovere una cultura positiva verso la gestione degli incidenti informatici, facendo sì che tali informazioni siano usate come fonte per migliorare la fase di preparazione.
      • 2.1.1.3. - Promuovere azioni continue e sostenute con fornitori e terzi nella preparazione di attività di risposta e di recupero in caso di incidenti informatici, affinché possano essere opportune e adattarsi alle diverse situazioni.

CIRCOLARE ESTERNA 007 del 2018 DELLA SOPRINTENDENZA DI FINANZA DELLA COLOMBIA

  • 3 - OBBLIGHI GENERALI IN MATERIA DI CYBERSICUREZZA
    • 3.1. - Stabilire una politica che contenga i principi, le procedure e le linee guida per la gestione della sicurezza delle informazioni e del rischio di cybersicurezza nell'impresa. Questa politica deve avere le seguenti caratteristiche:
      • 3.1.4. - Stabilire i principi e le linee guida per promuovere una cultura della cybersicurezza che includa attività di diffusione, formazione e sensibilizzazione sia all'interno dell'impresa che nei confronti degli utenti e di terzi considerati rilevanti nella politica di cybersicurezza. Tali attività devono essere svolte periodicamente e possono essere incluse anche nei corsi sul rischio operativo organizzati dall'impresa.
    • 3.2. - Istituire un'unità di gestione dei rischi di sicurezza delle informazioni e cybersicurezza. Questa unità deve avere almeno le seguenti caratteristiche e responsabilità:
      • 3.2.5. - Deve suggerire la formazione che devono ricevere regolarmente gli impiegati dell'impresa su questioni relative alla cybersicurezza e tenerli aggiornati sulle nuove minacce informatiche.

Contattateci per maggiori informazioni