Regole, policy e certificazioni
Per verificare l'adeguatezza dei propri processi rispetto ai migliori standard nazionali ed internazionali, Intesa Sanpaolo ha ottenuto in diversi ambiti la certificazione da parte di enti esterni accreditati.
| CERTIFICAZIONE | ANNO AVVIO | AMBITO APPLICATIVO | |
| PCI DSS vers. 3.2.1 Service Provider |
Data di ultima certificazione (febbraio 2020) |
Certificazione relativa alla sicurezza nell’elaborazione delle carte di pagamento. Lo standard si applica a tutte le entità che memorizzano, elaborano, trasmettono i dati dei titolari di carta e/o dati sensibili di autenticazione. Nel caso del Gruppo Intesa Sanpaolo, la certificazione ricopre i sistemi gestiti in service per Mercury Payment Services S.p.A. | |
| ISO 37001 | 2019 | Standard internazionale di riferimento per le organizzazioni rispetto alla prevenzione del fenomeno corruttivo e strumento operativo che si aggiunge alle misure in materia di anticorruzione già previste, a livello normativo, dai singoli Paesi. |
|
| ISO 22301 |
Data di ultima certificazione (dicembre 2019) | Processi di regolamento lordo in moneta di Banca Centrale. |
|
| ISO 27001 |
Data di ultima certificazione (novembre 2019) |
Fornitura e gestione delle infrastrutture tecnologiche a supporto dell'operatività delle Banche estere presso i data center sul territorio italiano di Intesa Sanpaolo. | |
| Regolamento (UE) 910/2014 eIDAS |
Data di ultima certificazione (settembre 2019) | Per l’erogazione del servizio di conservazione digitale dei documenti. |
|
| Regolamento (UE) 910/2014 eIDAS |
Data di ultima certificazione (maggio 2019) |
Per i Prestatori di Servizi Fiduciari Qualificati. Per il servizio di Certification Authority. |
|
| UNI ISO 45001:2018 |
2017 | A partire dal 2017 il Sistema di Gestione della Salute e Sicurezza nei Luoghi di Lavoro è sottoposto a verifica annuale da parte di un ente terzo ed indipendente che ne attesta la conformità alle leggi vigenti e agli standard di settore. Nel 2018 è stato esteso a tutte le filiali e nel 2019 è stata effettuata la transizione dal precedente standard (BS OHSAS 18001) a quello attuale. |
|
| ISO 26000 | 2014 | Standard internazionale dedicato all’integrazione della responsabilità sociale nella pratica aziendale. Sono linee guida non certificabili, in coerenza con il concetto di responsabilità che non prevede obblighi ma orientamenti. Gli ambiti previsti dalla ISO26000 sono: governo dell’organizzazione, diritti umani, tutela dei lavoratori, ambiente, correttezza delle pratiche gestionali, tematiche relative ai clienti, coinvolgimento e sviluppo della comunità | |
| ISO/IEC 27001:2013 | 2013* | Sviluppo, delivery e gestione delle applicazioni a supporto dei processi aziendali presidiati dalla Direzione Rischi Finanziari e di Mercato da parte dell'Ufficio Presidio Infrastruttura IT Market Risk |
|
| UNI CEI EN ISO 50001:2011 | 2012 | Certificazione del Sistema di Gestione Energetica (SGE) | |
| ISO/IEC 27001:2013 | 2012* | Analisi, progettazione, sviluppo, manutenzione ed erogazione del servizio di Firma Elettronica su Tavoletta Digitale (Intesa Sanpaolo) | |
| ISO/IEC 27001:2013 | 2010* | Analisi, progettazione, sviluppo, manutenzione ed erogazione del servizio di Corporate Internet Banking (Intesa Sanpaolo) | |
| ISO/IEC 27001:2013 | 2005* | Analisi, progettazione, sviluppo, manutenzione ed erogazione dei servizi di Internet e Phone Banking Retail (Intesa Sanpaolo) | |
| ISO/IEC 27001:2013 | 2005* | Analisi, progettazione, sviluppo, manutenzione ed erogazione del servizio BancaIdentity (Intesa Sanpaolo) | |
| UNI EN ISO 14001:2015 | 2005 | Certificazione del Sistema di Gestione Ambientale (SGA) | |
* certificazione avviata con lo standard ISO/IEC 27001:2005, aggiornata alla versione 2013
Oltre alle certificazioni sopra elencate, esistono altri due ambiti che, pur non avendo una certificazione rilasciata da un ente indipendente, sono comunque oggetto di valutazioni di conformità (“autocertificazioni”) effettuate dall’Ufficio Progettazione e Standard Sicurezza Informatica rispetto a norme internazionali di riferimento:
TARGET 2: è la piattaforma tecnica per gli Europagamenti, avviata nel novembre 2007. I Critical Participants (tra cui Intesa Sanpaolo) hanno un impegno ad autocertificare annualmente che la sicurezza dell’infrastruttura TARGET2 sia allineata allo standard ISO/IEC 27002:2005.
CAI: il regolamento di Banca d’Italia stabilisce che gli Istituti Bancari devono garantire la sicurezza dell’archivio informatico, definito Centrale d’Allarme Interbancaria; tale risultato si ottiene attraverso la verifica di conformità dell’archivio rispetto allo standard ISO/IEC 27002:2005.
EONIA/EURIBOR: sono i due codici rispettivamente di Condotta emesso da EMMI Eonia e di Autodisciplina emanato da EBF Euribor che definiscono le regole che governano il processo di determinazione e contribuzione dell’indice Eonia, a cui devono adeguarsi tutte le banche che concorrono alla sua contribuzione (“Panel Banks”) e le regole generali ed i livelli di sicurezza applicabili al processo di calcolo dell’indice Euribor, nonché le norme specifiche applicabili alle banche che contribuiscono al calcolo dell'indice Euribor (Panel Banks). Intesa Sanpaolo si autocertifica per il perimetro Infrastruttura FCHUB utilizzata per la contribuzione dei tassi EURIBOR / EONIA.
CSP SWIFT: il Customer Security Programme (CSP) introdotto da SWIFT per combattere le minacce cyber, in particolare le possibili frodi, comprende una serie di controlli per aumentare la sicurezza degli utilizzatori di SWIFT e di tutto l’ecosistema finanziario, i quali sono tenuti ad autocertificare la loro conformità a questi controlli. Intesa Sanpaolo autocertifica l’Infrastruttura per la gestione della messaggistica SWIFT.
Data ultimo aggiornamento 2 luglio 2020 alle ore 15:58:50
