Come proteggere l’accesso remoto dei fornitori nel settore finanziario

Gli istituti finanziari si affidano molto a fornitori terzi come processori di pagamento, fornitori di piattaforme bancarie e integrazioni fintech per mantenere l’efficienza operativa. Infatti, secondo il Data Breach Investigations Report 2025 di Verizon, il 30% delle violazioni dei dati coinvolgeva terze parti, inclusi fornitori con accesso diretto e remoto ai sistemi finanziari. Man mano che gli ambienti diventano sempre più distribuiti e consentono il lavoro a distanza, la gestione dell’accesso dei fornitori è diventata una sfida di sicurezza moderna. I metodi tradizionali, come le reti private virtuali (VPN) e le credenziali condivise, spesso garantiscono un ampio accesso ai sistemi critici, aumentando notevolmente la superficie di attacco. I fornitori richiedono solitamente l’accesso a questi sistemi ma, in assenza di controlli adeguati, tale accesso può esporre le organizzazioni a furti di credenziali, minacce interne e violazioni di conformità. La protezione dell’accesso remoto dei fornitori ai servizi finanziari richiede l’applicazione dell’accesso con privilegi minimi, l’eliminazione dell’accesso permanente e l’adozione di un approccio zero-trust per ogni sessione.

Continua a leggere per scoprire otto modi per proteggere l’accesso remoto dei fornitori e come Keeper^® può aiutarti.

1. Applicare l’accesso con privilegi minimi

I fornitori dovrebbero avere accesso solo ai sistemi e ai dati di cui hanno effettivo bisogno per completare le loro attività. Concedere un ampio accesso ai fornitori crea rischi per la sicurezza inutili e aumenta l’impatto potenziale di una violazione dei dati. Ad esempio, un fornitore di core banking che effettua la manutenzione di un sistema di elaborazione dei prestiti non ha bisogno di accedere ai dati dei clienti o alle piattaforme di trading non correlate. Limitare l’accesso dei fornitori esclusivamente ai sistemi necessari garantisce che, in caso di compromissione delle credenziali del fornitore, i criminali informatici non possano spostarsi lateralmente all’interno di una rete o accedere ad altri dati sensibili.

Applicando l’accesso con privilegi minimi, gli istituti finanziari possono ridurre l’impatto delle credenziali compromesse e prevenire l’aumento incontrollato dei privilegi nei sistemi critici. Negli ambienti finanziari, dove anche un accesso limitato può esporre enormi quantità di dati sensibili dei clienti o compromettere i sistemi transazionali, è fondamentale applicare l’accesso con privilegi minimi.

2. Eliminare i privilegi permanenti con l’accesso just-in-time (JIT).

I team di sicurezza non dovrebbero mai concedere ai fornitori l’accesso permanente a sistemi critici, dati sensibili o infrastrutture di trading. L’accesso permanente crea un rischio costante perché le credenziali attive possono essere sfruttate molto tempo dopo che il fornitore ha terminato il proprio lavoro. Ad esempio, se un fornitore deve risolvere problemi su una piattaforma di trading, dovrebbe essergli accordato solo un accesso Just-in-Time (JIT) temporaneo per il tempo necessario per completare il compito. Una volta risolto il problema, l’accesso dei fornitori deve essere revocato automaticamente, garantendo che non rimangano permessi residui.

3. Ridurre il rischio di esposizione delle credenziali

Dipendenti e fornitori non dovrebbero mai condividere credenziali, chiavi API o altri segreti attraverso email, piattaforme di messaggistica o fogli di calcolo. Negli ambienti finanziari, le credenziali esposte possono portare ad accessi non autorizzati, frodi o compromissione dei dati dei clienti. Per ridurre questo rischio, tutte le credenziali devono essere memorizzate in una cassaforte crittografata che impone l’accesso in base ai ruoli, registra tutti gli utilizzi e regola gli accessi senza rivelare all’utente la credenziale sottostante. Ad esempio, un fornitore che richiede un accesso temporaneo a un database finanziario dovrebbe connettersi attraverso la cassaforte utilizzando un accesso limitato nel tempo, con le credenziali ruotate automaticamente al termine della sessione per prevenirne un uso improprio.

4. Richiedere l’autenticazione a più fattori (MFA)

L’autenticazione a più fattori (MFA) dovrebbe essere applicata per tutti gli accessi di dipendenti e fornitori, in particolare per gli account privilegiati. Negli ambienti finanziari, le sole credenziali compromesse non dovrebbero mai essere sufficienti per consentire l’accesso alle piattaforme di pagamento o ai database dei clienti. Senza l’autenticazione a più fattori (MFA), le credenziali rubate possono consentire ai criminali informatici di accedere a sistemi critici, aumentando così il rischio di frodi e violazioni dei dati.

Gli istituti finanziari dovrebbero inoltre estendere l’autenticazione a più fattori (MFA) ai sistemi che non la supportano in modo nativo, incluse le piattaforme legacy di core banking e i sistemi di trading obsoleti che gestiscono dati finanziari. Applicare l’autenticazione a più fattori (MFA) sia alle infrastrutture legacy sia a quelle moderne contribuisce a rafforzare la sicurezza in ambienti ibridi complessi e a proteggere meglio i punti di accesso dei fornitori da accessi non autorizzati.

5. Monitorare e registrare tutte le sessioni con i fornitori

I team di sicurezza devono avere piena visibilità sull’attività dei fornitori monitorando a quali sistemi hanno avuto accesso, quando è avvenuto l’accesso e quali azioni sono state intraprese. Questo livello di supervisione è fondamentale negli ambienti finanziari in cui i fornitori interagiscono con sistemi critici come le piattaforme di elaborazione dei pagamenti e l’infrastruttura di trading. Il monitoraggio e la registrazione delle sessioni privilegiate in tempo reale forniscono questa visibilità acquisendo l’attività dei fornitori in tempo reale. Questo consente ai team di sicurezza di rilevare immediatamente attività sospette, intervenire quando necessario e mantenere la responsabilità. Ad esempio, il monitoraggio delle sessioni può rivelare tentativi di modificare i log delle transazioni o di esportare dati finanziari sensibili. La registrazione delle sessioni dei fornitori supporta anche i requisiti di conformità e audit.

6. Impedire i movimenti laterali tra sistemi finanziari

Se le credenziali di un fornitore vengono compromesse, i criminali informatici possono utilizzarle per accedere ad altri sistemi e spostarsi lateralmente all’interno della rete. Questo tipo di movimento laterale può degenerare rapidamente, trasformando una violazione minore in un incidente grave che influisce su larga scala sui dati finanziari dei clienti. Uno dei rischi maggiori negli ambienti finanziari è che un criminale informatico si sposti da un sistema a cui un fornitore può accedere a un’infrastruttura bancaria o di elaborazione dei pagamenti critica. Per ridurre il rischio di spostamenti laterali, le istituzioni finanziarie dovrebbero limitare l’accesso dei fornitori solo ai sistemi specifici di cui effettivamente hanno bisogno. Invece di concedere ai fornitori l’accesso a un’intera rete, i team di sicurezza dovrebbero garantire loro l’accesso attraverso metodi sicuri basati su sessioni. Limitare l’accesso in questo modo aiuta a contenere le minacce e a ridurre le opportunità di spostamento laterale.

7. Centralizzare il controllo degli accessi

In assenza di un controllo degli accessi centralizzato, l’accesso dei fornitori è spesso distribuito su diversi strumenti e sistemi scollegati, rendendo più difficile l’applicazione delle policy e il monitoraggio delle attività. Centralizzare la gestione degli accessi offre ai team di sicurezza una migliore visibilità delle attività privilegiate, aiuta a far rispettare l’accesso a privilegi minimi e garantisce un controllo costante dell’accesso dei fornitori. Questo livello di trasparenza è fondamentale per garantire il rispetto dei rigorosi standard di conformità come SOX, PCI DSS e GLBA, in quanto i revisori richiedono la prova che i controlli di accesso siano applicati e che i sistemi critici siano protetti. Per gli istituti finanziari che operano nell’UE o servono clienti europei, il controllo centralizzato degli accessi è richiesto anche ai sensi del Digital Operational Resilience Act (DORA), che impone la supervisione documentata dell’accesso dei fornitori ICT terzi.

8. Stabilire un processo formale di offboarding dei fornitori

Gli istituti finanziari devono assicurarsi che l’accesso ai fornitori venga revocato immediatamente non appena non sarà più necessario per progetti o sistemi. In assenza di un formale processo di offboarding, gli account dei fornitori inattivi e le credenziali inutilizzate possono rappresentare un’opportunità per i criminali informatici. Un processo efficace di offboarding dei fornitori dovrebbe includere la revoca automatica dell’accesso, la disabilitazione o la cancellazione degli account dei fornitori, la rotazione di tutte le credenziali a cui il fornitore aveva accesso e la revisione delle tracce di audit per confermare che non si siano verificate attività non autorizzate. Ad esempio, se un fornitore completa un progetto che coinvolge l’accesso a database di clienti o sistemi di pagamento, il suo accesso dovrebbe essere revocato istantaneamente e tutte le credenziali associate dovrebbero essere reimpostate. Questo garantisce che, anche se le credenziali del fornitore vengono compromesse o esposte, non possono essere utilizzate per accedere a dati finanziari sensibili.

Come Keeper garantisce la sicurezza dell’accesso remoto dei fornitori

Keeper protegge l’accesso remoto dei fornitori applicando principi di sicurezza zero-trust a ogni sessione privilegiata, il che significa che ogni richiesta di accesso viene verificata, nessun utente è implicitamente affidabile e le credenziali non sono mai visibili ai fornitori. Con Keeper, le credenziali vengono memorizzate in modo sicuro in una cassaforte criptata e ruotate automaticamente al termine di ogni sessione, assicurandosi che non vengano mai esposte ai fornitori. Per gli istituti finanziari, Keeper aiuta a garantire che i fornitori possano accedere in modo sicuro a sistemi critici come piattaforme di pagamento e database dei clienti senza introdurre rischi di sicurezza non necessari.

Concedi accesso a tempo limitato senza esporre le credenziali

Keeper fa rispettare l’accesso JIT, consentendo ai fornitori di connettersi ai sistemi critici solo quando necessario e per un periodo limitato. Le sessioni vengono avviate direttamente dalla cassaforte Keeper e, dal momento che i fornitori non vedono né gestiscono mai le credenziali sottostanti, questo aiuta a prevenire il furto delle credenziali ed elimina l’accesso permanente.

Monitora e registra ogni sessione in tempo reale

Tutte le attività dei fornitori vengono tracciate tramite il monitoraggio e la registrazione delle sessioni in tempo reale, inclusi la registrazione dei tasti premuti e la registrazione dello schermo. Gli istituti finanziari devono verificare che le pratiche di registrazione delle sessioni siano conformi alle normative applicabili in materia di lavoro e privacy nelle proprie giurisdizioni operative prima della relativa implementazione. Questa funzionalità offre la piena visibilità delle azioni intraprese durante una sessione con il fornitore e può essere integrata con gli strumenti di gestione delle informazioni e degli eventi di sicurezza (SIEM) per il monitoraggio centralizzato. Con KeeperAI, i team di sicurezza possono analizzare automaticamente l’attività della sessione man mano che si verifica e individuare comportamenti sospetti in tempo reale. Le registrazioni delle sessioni offrono anche una traccia completa delle prove per la revisione forense successiva all’incidente.

Impedisci lo spostamento laterale con sicurezza zero-trust

Keeper utilizza connessioni gateway esclusivamente in uscita per offrire un accesso remoto sicuro senza richiedere regole in ingresso del firewall o un’esposizione diretta della rete. Limitando l’accesso dei fornitori a determinate risorse ed eliminando l’accesso diretto alla rete, Keeper aiuta a impedire agli utenti non autorizzati di spostarsi lateralmente tra i sistemi finanziari. Con KeeperDB, l’accesso ai database è ulteriormente protetto consentendo ai fornitori di gestire i database direttamente dalla cassaforte Keeper in un ambiente isolato. Questo garantisce che le credenziali rimangano nascoste, che tutte le attività siano completamente registrate e che i fornitori non possano creare ulteriori percorsi per lo spostamento laterale.

Supporta la conformità tramite tracce di audit dettagliate

Keeper genera tracce di audit dettagliate e registrazioni di sessione che le organizzazioni possono utilizzare come prova per rispettare gli standard normativi, inclusi SOX, PCI DSS, GLBA e DORA. Con il reporting automatico e la piena visibilità sull’accesso dei fornitori, gli istituti finanziari possono dimostrare la conformità, semplificare le attività di audit e garantire che i controlli di accesso dettagliati vengano applicati in modo coerente.

Gestisci l’accesso remoto dei fornitori con Keeper

Garantire l’accesso remoto dei fornitori è fondamentale per gli istituti finanziari moderni che cercano di proteggere i propri sistemi critici, mantenere la fiducia dei clienti e soddisfare i requisiti normativi. L’accesso dei fornitori deve essere monitorato e verificato con attenzione e continuità per prevenire l’uso improprio delle credenziali e garantire la conformità a framework rigorosi come SOX, PCI DSS e GLBA.

Un singolo account di un fornitore compromesso può innescare sanzioni normative, obblighi di notifica ai clienti e danni alla reputazione duraturi. Keeper offre a banche e società finanziarie una soluzione di gestione degli accessi privilegiati (PAM) zero-trust sviluppata per affrontare le moderne sfide di sicurezza. Combinando la sicurezza zero-trust con un’architettura zero-knowledge, Keeper garantisce che i fornitori non vedano o gestiscano mai le credenziali, che ogni sessione sia verificata e che tutte le attività siano completamente verificabili.

Richiedi oggi una demo di KeeperPAM per scoprire come gestire in modo sicuro l’accesso dei fornitori senza mettere a rischio la sicurezza o la conformità.