SETTORE · BANCHE E FINANZA

Banche, fintech
e servizi finanziari.

Il settore finanziario europeo opera sotto il regime DORA (Digital Operational Resilience Act), PCI-DSS per le carte, EBA Guidelines on ICT Risk Management, MiFID II e normativa locale delle banche centrali. Itamite copre il livello ICT operativo: inventario, hardening, audit immutabile e controllo remoto verificabile che il tuo dipartimento compliance può dimostrare al supervisore.

Vedi prezzi Demo banca

DORA si applica dal 17 gennaio 2025

DORA è direttamente applicabile: banche, assicuratori, fondi, asset manager, piattaforme crypto, infrastrutture di mercato e fornitori ICT critici. L'Art. 6 richiede un quadro di gestione del rischio ICT, l'Art. 9 protezione+prevenzione+rilevamento, l'Art. 10 rilevamento, l'Art. 11 risposta e ripristino, l'Art. 17 gestione degli incidenti con notifica 4h al supervisore. Senza un inventario ICT aggiornato e un sistema di audit operativo non è possibile conformarsi a DORA.

PCI-DSS v4.0 si applica a qualsiasi entità che elabora, memorizza o trasmette dati di carte: banche emittenti, acquirenti, esercenti, ISV, gateway. Requirement 2 (configurazione hardening), Requirement 6 (patch), Requirement 8 (autenticazione), Requirement 10 (log e audit), Requirement 11 (vulnerability scanning) — Itamite copre la parte di endpoint e server in scope.

Casi tipici: banca media con 5.000 postazioni tra filiali e sedi centrali. Assicuratore con 1.500 dipendenti e rete di intermediari. Fintech con 200 ingegneri e requisiti DORA dopo l'ultimo round. Asset manager con 80 persone e requisiti EBA da parte del supervisore.

CASI D'USO BANCHE E FINANZA

Cosa fa Itamite per le entità finanziarie

Inventario ICT per DORA Art. 8

Inventario completo e aggiornato di tutti gli asset ICT: hardware, software, dipendenze, criticità, ubicazione, proprietario, connessioni. Itamite genera l'"ICT Asset Register" richiesto da DORA con esportazione verificabile e tracciabilità delle modifiche.

Hardening PCI-DSS v4.0 Requirement 2

Template preconfigurati per CIS Benchmarks applicati automaticamente: politiche di password, servizi disabilitati, porte chiuse, BitLocker/FileVault, antivirus EDR, firewall. Rilevamento automatico del drift fuori dal baseline.

Patch management sotto SLA

Conforme a PCI-DSS Req. 6 e DORA Art. 9: patch critiche entro 30 giorni, gravi entro 90 giorni, normali entro 12 mesi. Itamite riporta automaticamente la compliance window. Eccezioni documentate con giustificazione firmata dal CISO.

Audit immutabile per il supervisore

Hash-chain SHA-256 impossibile da manipolare anche dagli amministratori. Ogni azione tecnica, ogni accesso remoto, ogni cambio di configurazione resta con timestamp e hash verificabile. Pronto per ispezioni di Banca d'Italia, ESMA, EBA, supervisori nazionali.

Accesso remoto verificabile ad ambienti sensibili

Sessioni remote ai dispositivi nella zona PCI/cardholder data environment con registrazione opzionale (SHA-256), MFA obbligatoria, autorizzazione just-in-time, retention dell'audit log minimo 12 mesi. Conforme a PCI-DSS Req. 8 e 10.

Reporting di incidenti DORA Art. 17

Quando viene rilevato un incidente ICT classificabile, Itamite fornisce una timeline forense completa: quali endpoint colpiti, quali pattern di accesso anomali, quali azioni tecniche sono state intraprese. Materiale diretto per il report 4h al supervisore.

Programma Itamite Finanza

Per entità finanziarie Enterprise: setup specifico che include template DORA + PCI-DSS + EBA Guidelines, formazione al dipartimento compliance, piano di audit annuale con supporto del partner auditor, hosting opzionale in datacenter finanziario certificato (PCI-DSS Level 1), integrazione nativa con SIEM (Splunk, QRadar, Sentinel), supporto 24x7 con SLA finanziario e linea di escalation al supervisore preparata.

Template DORA Art. 8 ICT Asset Register preconfigurati
Template PCI-DSS v4.0 (Requirements 2, 6, 8, 10, 11) pronti all'uso
Hosting opzionale in datacenter certificato PCI-DSS Level 1
Integrazione nativa con SIEM (Splunk, QRadar, Microsoft Sentinel, Elastic)
Supporto 24x7 con SLA finanziario (incidente critico <15 min)

FAQ

Domande del settore finanziario

Itamite copre tutto DORA?

Itamite copre il livello ICT operativo di DORA: Art. 6 (inventario), Art. 8 (asset register), Art. 9 (protezione/patch/hardening), Art. 10 (rilevamento di anomalie), Art. 17 (forense per il report). Non copre temi non-ICT: governance esecutiva, contratti con fornitori ICT critici, testing di resilienza avanzato (TLPT), Penetration Testing.

Posso usare Itamite in ambiente PCI con CDE (Cardholder Data Environment)?

Sì, Itamite è compatibile con CDE. L'agente può operare su lista controllata di software, senza traffico in uscita verso Internet (proxy white-list), con cifratura mTLS e audit completo. Documentazione PCI-DSS specifica disponibile sotto NDA.

Itrion è un fornitore ICT critico ai sensi di DORA?

Itrion non è un ICT third-party service provider critico (CTPP) dichiarato come tale dalla Commissione. Ma in quanto fornitore di servizi ICT, ti firmiamo il contratto richiesto da DORA Art. 30 con tutte le clausole obbligatorie: diritto di audit, terminazione, escalation, exit plan, ubicazione di elaborazione.

Come si integra con le EBA Guidelines on ICT and Security Risk Management?

Le EBA Guidelines sono la base su cui è costruito DORA. Itamite copre gli stessi punti: inventario asset, identità e accesso, gestione dei cambiamenti, gestione degli incidenti, business continuity per ICT, gestione dei fornitori. Gli stessi template e report funzionano per entrambi i framework.

Pronto per ispezione DORA o audit PCI

Demo Enterprise con template DORA + PCI + EBA preconfigurati. SLA finanziario e BAA legale preparati.