Le banche affidano i dati delle carte di credito a CCP Group e CPP si affida a Forcepoint per proteggerli

Fondata nel Regno Unito nel 1980, CPP Group oggi genera circa il 65% dei suoi ricavi in India, principalmente attraverso attività di protezione delle carte, garanzia estesa e assicurazione sulla telefonia mobile. Il cambiamento della geografia produttiva della sua attività ha creato nuove sfide per il team di sicurezza IT di CPP.

I servizi CPP per la protezione delle carte e l'assicurazione sulla telefonia sono particolarmente sensibili ai rischi per la sicurezza. Queste attività implicano la tutela dei dati finanziari sensibili dei titolari per gli emittenti di carte di pagamento di terzi, ad esempio banche e società di carte di credito. In qualità di società britannica, durante il trattamento di tali dati CPP deve rispettare il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea. Ma deve anche rispettare lo Standard PCI DSS (Payment Card Industry Data Security Standard), le linee guida ISO 27001 e gli standard nazionali di protezione dei dati nei singoli paesi in cui opera.

Ad esempio, l'India ha recentemente emanato leggi che impongono alle società di servizi finanziari che operano sul territorio di archiviare localmente i dati finanziari, come i dati sulle carte di pagamento ad uso di privati. Altri paesi in cui opera CPP, come la Turchia, stanno studiando normative simili per i dati finanziari.

Affrontare le sfide poste dalle nuove normative sulla residenza dei dati in India

Secondo Patrick Viner, IT Operations Manager di CPP, tutto questo ha messo sotto pressione CPP, spingendola a proteggere i dati a livello locale, consentendone comunque il trasferimento sicuro tra la sede centrale nel Regno Unito e altri uffici internazionali, se e quando necessario.

Fino a poco tempo fa, l'azienda conservava tutti i dati delle carte presso il suo data center nel Regno Unito e gestiva tutti i database sul suo sistema di policy nel Regno Unito. Ora, però, questi dati devono essere protetti in un ambiente cloud AWS (Amazon Web Services), nonché localmente nel Regno Unito, in India e in altre località globali, mentre la policy del database è ancora mantenuta e stabilita nel Regno Unito.

La sfida è quella di preservare la fluidità del flusso di lavoro e, allo stesso tempo, adottare una “policy di sicurezza dei dati più complessa, poiché un numero crescente di paesi esige che la residenza dei dati rimanga locale”, ha dichiarato Viner. “Siamo nel bel mezzo di un imponente progetto di sviluppo di una nuova piattaforma per ospitare il modello in modo che tutti i dati siano conservati localmente nei paesi in cui l'azienda gestisce i servizi delle carte di pagamento”.

Trasferimento degli standard di sicurezza locali al cloud

CPP è un cliente di lunga data di Forcepoint: utilizza le appliance Web Security locali per proteggere il traffico web mediante VPN e proxy web tramite il data center nel Regno Unito. Questo approccio di instradamento del traffico, però, ha cominciato a creare ritardi nella trasmissione delle informazioni, causando un calo della produttività poiché un numero crescente di attività quotidiane della CPP avveniva al di fuori del Regno Unito e, in particolare, in India.

L'azienda voleva recuperare quella perdita di produttività passando a operazioni IT più basate sul cloud, e continuando a salvaguardare i dati sia per proteggere i suoi clienti sia per motivi di conformità alle leggi e di continuità operativa. Per realizzare questo obiettivo, CPP ha scelto Forcepoint come suo partner.

“In primo luogo, siamo passati a un'architettura ibrida, adottando dei client endpoint di Web Security in alcuni dei paesi in cui operiamo”, ha dichiarato Viner. “Poi, abbiamo deciso di smantellare il data center nel Regno Unito e passare a un ambiente VPC (Virtual Private Cloud). A quel punto, ho preso la decisione di eliminare tutte le appliance fisiche per passare completamente al cloud, dove attualmente svolgiamo tutte le nostre operazioni”.

Forcepoint DLP rileva i comportamenti che mettono a rischio i dati

Durante una prova di Data Loss Prevention (DLP) di Forcepoint, il team di sicurezza CPP ha scoperto che colleghi e partner commerciali in India erano potenzialmente in grado di adottare comportamenti a rischio come l'invio per e-mail di fogli di calcolo con i dati dei clienti senza supervisione, con il rischio che dati sensibili fossero inviati accidentalmente o intenzionalmente al destinatario sbagliato. Il team di sicurezza CPP ha notato anche l'assenza di qualsiasi misura volta a impedire ai colleghi di caricare i file dei potenziali clienti su siti web non protetti.

Forcepoint DLP ha aiutato CPP a far emergere questo comportamento potenzialmente rischioso e, allo stesso tempo, le ha evitato i cali della produttività che sarebbero stati causati dall'uso di checkpoint di sicurezza e dal lento instradamento del traffico dati con interruzione del flusso di lavoro.

Forse, come ha ribadito Viner, l'aspetto migliore è che il suo team è stato in grado di ottimizzare la policy DLP sulla base del feedback degli utenti stessi. La robusta libreria di policy pronta all'uso di Forcepoint DLP include policy predefinite che sono conformi alle normative regionali e di settore, come GDPR e PCI-DSS. Altre policy predefinite comunemente utilizzate sono realizzate per conformarsi alle normative sui dati sanitari protetti (PHI), come l'Health Insurance Portability and Accountability Act (HIPAA) negli Stati Uniti e le normative finanziarie derivate dal Comitato di Basilea per la vigilanza bancaria nell'Unione europea.

With the appropriate DLP policies in place, CPP has been able to do some minor fine-tuning to reduce false positives and meet all compliance requirements without impacting employee productivity, Viner said.

“You can set the policy to where it’s too restrictive and the users can’t be as productive. But if you’ve left yourself too open without being able to monitor and alert, then you’re causing yourself security risks. With Forcepoint’s help, we’ve found the right balance between safety and productivity.”
 - Viner