Lo Swift Customer Security Controls Framework si aggiorna, per transazioni finanziarie più sicure
Condividi questo articolo
Swift ha aggiornato alla versione 2024 il suo Customer Security Controls Framework, con l’obiettivo di una sicurezza sempre più elevata nelle transazioni finanziarie. Ecco le principali novità
Pubblicato il 06 Set 2023
C
Security Analyst
Con cadenza annuale, nel mese di luglio, Swift (Society for Worldwide Interbank Financial Telecommunication) rilascia una versione aggiornata del Customer Security Controls Framework (CSCF) al fine di rendere sempre più protetta l’infrastruttura Swift degli enti finanziari dagli attacchi informatici, sempre più numerosi e sofisticati.
Analizziamo, quindi, le principali novità della nuova versione del CSCF v2024.
Indice degli argomenti
- Cosa è Swift
- Il Customer Security Controls Framework
- Swift Customer Security Controls Framework v2024: le novità
- Il supporto di SWIFT sul nuovo controllo obbligatorio
- Conformità al CSCF v2024
Cosa è Swift
Swift è una società per le telecomunicazioni finanziarie interbancarie mondiali con sede in Belgio fondata negli anni 70 e a oggi risulta essere il principale sistema di transazioni che permette agli istituti finanziari aderenti di effettuare pagamenti, transfrontalieri e non, in maniera veloce e sicura.
WHITEPAPER
Sbloccare la potenza del cloud business: da FinOps a DevSecOps
SaaS
Cloud application
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)
Fine modulo
Attualmente, aderiscono a Swift oltre 11mila organizzazioni – sia bancarie sia finanziarie – di oltre 200 Paesi in tutto il mondo.
Il Customer Security Controls Framework
Negli ultimi anni, si è intensificato il numero di attacchi informatici relativi ai pagamenti transfrontalieri e, nello specifico, anche verso gli utenti Swift.
Per fronteggiare quindi il cybercrime e supportare i propri utenti nella lotta contro le frodi informatiche, Swift ha lanciato nel 2016 il proprio Customer Security Programme (CSP).
Il CSP mette a disposizione un framework di controlli di sicurezza, distinguibili in obbligatori e consigliati, conosciuto come Customer Security Controls Framework (CSCF).
Tali controlli si basano su framework standard e best practice del settore più utilizzati e riconosciuti a livello globale, quali il Payment Card Industry Data Security Standard (PCI DSS), gli Information Security Management Systems (ISO/IEC 27000) e il National Institute of Standards and Technology (NIST).
Il CSCF è stato redatto al fine di aiutare gli istituti aderenti a rendere più protetti i propri ambienti e a favorire un ecosistema finanziario più sicuro.
Il CSCF si articola intorno a tre principali obiettivi:
- rendere sicuro l’ambiente;
- conoscere e controllare gli accessi;
- individuare e rispondere alle minacce.
Gli obiettivi sono supportati da sette principi cardine di sicurezza che rappresentano le aree di interesse prioritarie all’interno di ciascun obiettivo:
- Limitare gli accessi a Internet e proteggere le infrastrutture critiche dall’infrastruttura generale IT.
- Ridurre al minimo la superficie di attacco e le vulnerabilità.
- Proteggere fisicamente l’ambiente.
- Prevenire la compromissione delle credenziali.
- Gestire l’Identity Access Management.
- Rilevare attività anomale mediante i record di transazione o di sistema.
- Pianificare la condivisione delle informazioni e una risposta efficace agli incidenti.
Annualmente, Swift rilascia una nuova versione del Customer Security Controls Framework che include spesso aggiornamento significativi e modifiche minori.
I controlli di sicurezza del Customer Security Controls Framework
Nella nuova versione del CSCF v2024, rilasciata il 7 luglio scorso, i controlli di sicurezza richiesti sono 32, di cui 24 obbligatori (Mandatory) e 8 consultivi (Advisory).
I controlli di sicurezza obbligatori stabiliscono una base di sicurezza per l’intera comunità e devono essere implementati da tutti gli utenti sulla loro infrastruttura Swift locale. I controlli consultivi sono buone pratiche di sicurezza aggiuntive che Swift raccomanda agli utenti di implementare.
L’implementazione dei controlli opzionali è fortemente consigliata per rafforzare ulteriormente la robustezza dell’infrastruttura locale degli utenti.
Nel CSCF sono illustrate e descritte cinque architetture differenti che vanno a coprire tutte le tipologie di installazioni presenti presso la clientela e Swift richiede che gli enti finanziari identifichino quale delle cinque architetture di riferimento sia più vicina a quanto messo in campo nel proprio ambiente operativo per la trasmissione e ricezione dei messaggi; a seconda del tipo di architettura, l’utente dovrà rispettare o no alcuni controlli di sicurezza.
Swift Customer Security Controls Framework v2024: le novità
Tra le novità rilevanti della v2024 del CSCF spicca solo il passaggio da controllo Advisory a Mandatory per il controllo 2.8 “Outsourced Critical Activity Protection” nell’ambito del principio “Ridurre al minimo la superficie di attacco e le vulnerabilità”.
Nello specifico, l’obiettivo principale di questo controllo di sicurezza è quello di assicurare una maggiore protezione dell’infrastruttura Swift dai rischi derivanti dall’affidamento di attività critiche a fornitori terzi, ad esempio, a un fornitore esterno di servizi informatici, a un fornitore di cloud o a un agente di outsourcing, o a fornitori di servizi come ad esempio un service bureau, ora Business Connect o un fornitore di applicazioni Lite2 for Business.
L’infrastruttura Swift comprende diversi componenti, on-premise o remoti, spesso ospitati o gestiti da una terza parte, e tra tali componenti sono inclusi applicazioni, dispositivi di rete, token e altri supporti rimovibili e hardware di supporto.
Quando le attività critiche vengono esternalizzate a terzi o a fornitori di servizi, è essenziale che venga mantenuto almeno lo standard di sicurezza originario, oltre all’adesione al Customer Security Controls Framework, per garantire che non vengano introdotte nuove debolezze o vulnerabilità.
Pertanto, gli enti finanziari che interagiscono con fornitori di terze parti o fornitori di servizi per quanto su citato, devono, dopo aver identificato il loro tipo di architettura Swift, assicurarsi che le attività esternalizzate siano protette, come minimo, con lo stesso standard di cura come se fossero gestite all’interno dell’organizzazione e in linea con i controlli di sicurezza del CSCF.
Tali terze parti e fornitori di servizi sono autorizzati a fare affidamento sul loro programma di conformità che di solito si basa su certificazioni come ISO27001, NIST ecc. per essere conformi a quanto richiesto dal CSCF.
Il supporto di SWIFT sul nuovo controllo obbligatorio
Per aiutare gli assessor nel valutare la compliance degli enti finanziari al suddetto controllo del CSCF, Swift ha pubblicato nel mese di luglio una prima versione di un documento relativo al mapping dei controlli del CSCF v2024 con i controlli corrispondenti dei vari standard ISO27001, PCI DSS 4.0, SOC2 TSC 2017, NIST CSF v1.1.
Inoltre, Swift definisce delle attività che ritiene siano critiche e che per le quali risulta obbligatorio, da parte dell’ente finanziario, applicare il controllo 2.8 del CSCF.
Nonostante questo, il controllo “Outsourced Critical Activity Protection” rimane fortemente raccomandato anche quando le attività esternalizzate non sono ritenute critiche.
Di seguito, è presente un elenco di alcune attività che possono essere affidate a fornitori terzi e che sono considerate critiche da Swift e quindi oggetto di Assessment per il controllo 2.8:
- gestione della sicurezza e delle modifiche dell’hardware, compreso l’Hardware Security Module (HSM), e del software (comprese le applicazioni, il sistema operativo e la piattaforma o infrastruttura virtualizzata sottostante) che supportano l’infrastruttura Swift dell’ente finanziario;
- accesso a dati sensibili dell’utente (ad esempio, il contenuto dei messaggi) elaborati dall’infrastruttura Swift dell’ente finanziario;
- monitoraggio degli eventi generati dall’infrastruttura Swift che contengono dati sensibili dell’ente finanziario;
- gestione della rete e configurazione dell’infrastruttura Swift dell’ente finanziario.
Conformità al CSCF v2024
Agli enti finanziari è richiesto di dichiarare la propria compliance al CSCF v2024, attraverso l’utilizzo dell’applicazione KYC Security Attestation Application (KYC-SA), entro il mese di dicembre 2024.
La mancata esecuzione di un Independent Assessment nei tempi previsti e la pubblicazione di un’attestazione non pienamente conforme viene segnalata alle autorità di vigilanza e alle altre autorità di controllo e rese visibili alle controparti nell’applicazione KYC-SA.
Tuttavia, Swift dà la possibilità, tra gennaio e luglio dell’anno successivo, quindi nel corso del 2025, di risolvere le lacune di conformità (compliance gaps) e di ripresentare l’attestazione.
WEBINAR
14 Novembre 2023 - 12:00
Usa l’AI per l’IT Governance: strategie e strumenti per ambienti ibridi e multicloud
Multicloud
Hybrid cloud
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)
Fine modulo
@RIPRODUZIONE RISERVATA
Valuta la qualità di questo articolo
Cloud transformation: 3 fattori determinanti per un percorso senza ostacoli
- Scaricalo gratis!DOWNLOAD
Personaggi
Argomenti
Canali
Speciale PNRR
filter_listFiltra per topic
chevron_left
chevron_right
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
Competenze digitali, ecco il nuovo piano operativo nazionale
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Accordi per l’innovazione, per le imprese altri 250 milioni
PNRR, opportunità e sfide per le smart city
Brevetti, il Mise mette sul piatto 8,5 milioni
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
PNRR, si sbloccano i fondi per l’agrisolare
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
PNRR e PA digitale: non dimentichiamo la dematerializzazione
DIGITAL HEALTHCARE TRANSFORMATION
La trasformazione digitale degli ospedali
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Comuni e digitale, come usare il PNRR senza sbagliare
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Competenze digitali, partono le Reti di facilitazione
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
PNRR 2, è il turno della space economy
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Competenze digitali e servizi automatizzati pilastri del piano Inps
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management in Italia: verso una transizione “smart” e “circular”
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Smart City: quale contributo alla transizione ecologica
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
Competenze digitali, ecco il nuovo piano operativo nazionale
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Accordi per l’innovazione, per le imprese altri 250 milioni
PNRR, opportunità e sfide per le smart city
Brevetti, il Mise mette sul piatto 8,5 milioni
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
PNRR, si sbloccano i fondi per l’agrisolare
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
PNRR e PA digitale: non dimentichiamo la dematerializzazione
DIGITAL HEALTHCARE TRANSFORMATION
La trasformazione digitale degli ospedali
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Comuni e digitale, come usare il PNRR senza sbagliare
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Competenze digitali, partono le Reti di facilitazione
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
PNRR 2, è il turno della space economy
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Competenze digitali e servizi automatizzati pilastri del piano Inps
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management in Italia: verso una transizione “smart” e “circular”
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Smart City: quale contributo alla transizione ecologica
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Zero Trust in ambito OT: come mitigare la debolezza dei sistemi industriali basati sulla fiducia
Quantificazione e gestione del rischio cyber: concentrarsi sulle priorità
La sicurezza della catena di fornitura, tra normativa e standard applicativi
Formàti per vincere: Sprigiona il tuo potenziale con l’AI generativa
- Il webcast è disponibileGUARDA
Prossimo
Zero Trust in ambito OT: come mitigare la debolezza dei sistemi industriali basati sulla fiducia
Articoli correlati
- Lo Swift Customer Security Controls Framework si aggiorna, per transazioni finanziarie più sicure
- Zero Trust in ambito OT: come mitigare la debolezza dei sistemi industriali basati sulla fiducia
- Quantificazione e gestione del rischio cyber: concentrarsi sulle priorità
- La sicurezza della catena di fornitura, tra normativa e standard applicativi
Articolo 1 di 4
NetworkDigital360 è il più grande network in Italia di testate e portali B2B dedicati ai temi della Trasformazione Digitale e dell’Innovazione Imprenditoriale. Ha la missione di diffondere la cultura digitale e imprenditoriale nelle imprese e pubbliche amministrazioni italiane.
Indirizzo
Via Copernico, 38
Milano - Italia
CAP 20125
Contatti