devono designare le società operanti in
outsourcing
responsabili ai
sensi degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice.
b) Tracciamento delle operazioni (punto 4.2.1).
Devono essere adottate idonee soluzioni informatiche per il controllo
dei trattamenti condotti sui singoli elementi di informazione presenti
sui diversi database. Tali soluzioni comprendono la registrazione
dettagliata, in un apposito log, delle informazioni riferite alle
operazioni bancarie effettuate sui dati bancari, quando consistono o
derivano dall'uso interattivo dei sistemi operato dagli incaricati,
sempre che non si tratti di consultazioni di dati in forma aggregata non
riconducibili al singolo cliente.
In particolare, i file di log devono tracciare per ogni operazione di
accesso ai dati bancari effettuata da un incaricato, almeno le seguenti
informazioni:
• il codice identificativo del soggetto incaricato che ha
posto in essere l'operazione di accesso;
• la data e l'ora di esecuzione;
• il codice della postazione di lavoro utilizzata;
• il codice del cliente interessato dall'operazione di accesso
ai dati bancari da parte dell'incaricato;
• la tipologia di rapporto contrattuale del cliente a cui si
riferisce l'operazione effettuata (es. numero del conto
corrente, fido/mutuo, deposito titoli).
c) Conservazione dei
log
di tracciamento delle operazioni (punto
4.2.2).
Il periodo di conservazione dei file di log delle operazioni di inquiry
non deve essere inferiore a 24 mesi dalla data di registrazione
dell'operazione.
d) Implementazione di
alert
(punto 4.3.1).
i. Deve essere prefigurata da parte delle banche
l'attivazione di specifici
alert
che individuino
comportamenti anomali o a rischio relativi alle operazioni
di inquiry.
ii. Negli strumenti di
business intelligence
devono
confluire i
log
relativi a tutti gli applicativi utilizzati per
gli accessi.
e)
Audit
interno di controllo–Rapporti periodici (punto 4.3.2).
i. La gestione dei dati bancari deve essere oggetto, con cadenza
almeno annuale, di un'attività di controllo interno da parte dei titolari
del trattamento.
ii. L'attività di controllo deve essere demandata a un'unità