Buonasera a tutti,
mi scuso se non sono molto presente, sia per impegni di lavoro che
ovviamente per motivi di opportunità, pur parlando in questa lista a titolo
personale.
molto probabilmente questa sarà la mia ultima email sul 3d, almeno per
adesso.
ho cercato di rispondere a tutti coloro che mi hanno scritto in privato, pur
non potendo entrare in argomenti che sono inopportuni durante questa fase
investigativa, non tanto per me ovviamente.
più in generale, diciamo che condivido alcune affermazioni che sono passate
in lista, mentre altre onestamente non le condivido (ma le rispetto) in
quanto sono -se mi consentite- un pò superficiali rispetto ad un approccio
di una organizzazione complessa come Poste Italiane o più semplicemente come
la nostra società del gruppo che gestisce il sito web da 6 anni, Postecom
(senza scomodare la quantità di asset e l'architettura).
la sicurezza non è solo a parole, questo mi sento di poterlo dire con molta
serenità, specialmente per il settore finanziario e bancario che è molto
presidiato. A titolo di esempio, abbiamo consegnato 300.000 sistemi di
strong authentication ed altri 600.000 sono in distribuzione in tutta
italia, tutto gratuitamente per i clienti. Postamat con microchip e
certificato CAP a bordo, carte di debito con standard EMV, etc. Il tutto
senza oneri per i clienti, anche questa volta. Analogamente, si fanno 4 V.A.
all'anno solo sul sito, facendo job rotation dei consulenti esterni e delle
società. Siamo l'unico merchant in Italia ad avere già dal 2008 la full
compliance per la PCI/DSS (proprio per il sito web), che non è uno standard
"teorico" e necessita di un audit esterno di una QSA del PCI Council (con
tanto di scansioni sui sistemi).
Mai come questa volta è vero il "mio" proverbio: "Quando c'è sicurezza non
succede niente, e il niente non fa rumore." E' ovvio che the day after c'è
poco da dire e molto da fare, e queste mie parole sono come scritte sulla
sabbia. La brutta figura è fatta e siamo tutti più che dispiaciuti per
l'accaduto (specialmente nei confronti dei clienti meno avvezzi), di certo
questa cosa servirà a migliorare a tutti i livelli, anche se non riesco ad
essere così sportivo da ringraziare chi ha defacciato il sito :-))
a chi scherzava sulla mia pressione, posso dire che sono molto sereno e non
è il sottoscritto sotto pressione in questo momento, almeno non nel modo che
mi pareva sottinteso.
in questo momento, pur dovendo offrire il petto (e solo il petto :-)
dell'uomo aziendalista verso l'esterno, (avendo lasciato le altre mie vite
precedenti dal maggio 2006), mi sento più un martello che un incudine.
un caro saluto a tutti
--
Gerardo Costabile
www.iisfa.it
www.costabile.net
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
