Regulatorik & Compliance

Rechtssichere Regelungen sind unser oberstes Gesetz

Compliance und Regulatorik betrifft sämtliche Unternehmensbereiche, denn die vielfältigen Gesetze, Richtlinien und Vorschriften sollen ethisch einwandfreies und gesetzeskonformes Handeln sicherstellen. Aber auch unternehmensinterne Regeln oder Branchenregelungen müssen umgesetzt und ihre Einhaltung überwacht werden. Die stark regulierten Branchen der Versicherungen und Banken sind nur ein Beispiel für die wichtige und komplexe Aufgabe der IT Compliance, die Auswirkungen von Datenschutzanforderungen sind für Unternehmen sämtlicher Branchen nachvollziehbar geworden.

Wir helfen Ihnen, geeignete Maßnahmen zu treffen, damit Sie die Einhaltung der Gesetze und Vorschriften sicherstellen können.

  • Analyse aufsichtsrechtlicher/gesetzlicher Anforderungen
  • Sicherstellung der IT Compliance mit praxiserprobten Identity- & Access Management-Lösungen

Mit uns sind Sie auf der sicheren Seite

Payment Services Directive 2
BAIT/KAIT/VAIT/ZAIT
EU-DSGVO
Payment Services Directive 2
1.Payment
2. Register

Zahlungsdiensterichtlinie Payment Services Directive 2 (PSD2) im Januar 2018 in Kraft getreten

Die erste EU-Richtlinie zu Zahlungsdiensten stammte aus dem Jahr 2007: die PSD 2007/64/EC. Durch die zweite, grundlegend überarbeitete Payment Services Directive (PSD) hat die EU auch onlinebasierte Zahlungsdienste abgedeckt. Die neue PSD2 (Richtlinie (EU) 2015/2366) ist im Januar 2018 in Kraft getreten.

Aus Sicht eines Payment Service Providers (PSP) sind zwei Aspekte von großer Bedeutung:

  • Drittanbieter von Zahlungsdienstleistungen werden in Zukunft auf Kundenauthentifizierungsdaten der Bank zugreifen können
  • Durch starke Authentifizierungsverfahren werden für den Kunden mehr Sicherheit und Komfort bei Onlinezahlungen geschaffen

Ziele der PSD2 für Payment-Dienstleister

Durch PSD2 werden elektronische Zahlungen für die Verbraucher sicherer und bequemer.

Die EU-Kommission hebt vier wichtige Änderungen hervor:

  • Strengere Sicherheitsanforderungen für die Auslösung und Verarbeitung elektronischer Zahlungen und den Schutz der Finanzdaten der Verbraucher
  • Öffnung des EU-Zahlungsverkehrmarktes für sogenannte Zahlungsauslösedienstleister und Konto-Informationsdienstleister
  • Stärkung der Verbraucherrechte in verschiedenen Bereichen, z. B. durch die Verringerung der Haftung für nicht autorisierte Zahlungsvorgänge und die Einführung eines bedingungslosen Erstattungsrechts bei Lastschriften in Euro
  • Untersagung der Berechnung von Aufschlägen (etwa für das Recht, mit einer Karte zu zahlen) unabhängig davon, ob Verbraucher das jeweilige Zahlungsinstrument in einem Geschäft oder online nutzen

Technische Regulierungsstandards der European Banking Authority (EBA)

Wie die Kommunikationsschnittstelle im Detail aussieht, regelt der Final Draft der RTS der EBA nicht. Die Richtlinie selbst verlangt technische Neutralität gegenüber möglichen Internet-Kommunikationsstandards. Einige formale Anforderungen sind dennoch beschrieben, etwa der Einsatz einer geeigneten Verschlüsselung beim Datenaustausch, möglichst kurze Kommunikationsvorgänge und eindeutige Referenzen für die ausgetauschten Daten.

Auch den "dritten" Zahlungsdienstleistern, die nun erstmals auf Konto- bzw. Kundendaten der Bank zugreifen dürfen, obliegen besondere Pflichten. So müssen sie die Integrität und Vertraulichkeit der persönlichen Sicherheitsmerkmale und Authentifizierungscodes der Kunden gewährleisten, etwa indem sie sie ausschließlich in einer sicheren Umgebung gemäß ISO 27001-Standard für Informationsmanagement-Sicherheitssysteme verarbeiten.

Neue Authentifizierungsverfahren für Kunden: sicherer und komfortabler

Bei definierten Zahlungsverfahren werden neue Methoden zur Kundenauthentifizierung notwendig. Beim Mobile Payment sind z. B. SMS-TAN auf ein Smartphone bald nicht mehr zulässig.

In Artikel 97 schreibt die PSD2 zwingend eine sogenannte starke Kundenauthentifizierung vor, sobald der Zahlende beispielsweise online auf sein Zahlungskonto zugreift oder einen elektronischen Zahlungsvorgang auslöst. Stark wird die Authentifizierung, wenn dabei wenigstens zwei von drei möglichen Kategorien herangezogen werden. Diese drei Authentifizierungskategorien sind:

  • Wissen: etwas, das nur der Nutzer weiß (etwa ein Passwort)
  • Besitz: etwas, das nur der Nutzer besitzt (etwa eine Chip-Karte)
  • Inhärenz: etwas, das dem Nutzer persönlich bzw. körperlich zu eigen ist (etwa ein Fingerabdruck)

Die Forderung der PSD2 nach einer starken Kundenauthentifizierung ist dann erfüllt, wenn das Authentifizierungsverfahren zwei dieser drei voneinander unabhängigen Elemente kombiniert.

Möglich werden auch schnelle Methoden wie ein Iris-Scan oder eine Videoauthentifizierung per Smartphone. Die Kombinationsmöglichkeiten sind durch die PSD2 nicht begrenzt.

BAIT/KAIT/VAIT/ZAIT
1. Regeln
Module
2. Anforderungen
Praxisbericht

Gesetzliche Regeln zur IT-Sicherheit in der Finanzwirtschaft

Unternehmen der Finanzbranche müssen zum Schutz von Daten und IT-Systemen zahlreiche Regelungen einhalten. Außer DSGVO und IT-Sicherheitsgesetz sind Anforderungen aus BAIT, VAIT, KAIT und ZAIT umzusetzen. Diese Verwaltungsvorschriften der BaFin geben den Rahmen für die technisch-organisatorische Ausstattung der IT in den Unternehmen der deutschen Finanzwirtschaft vor.

Ziele

Auf den Anforderungen der BaFin basierend können drei Ziele hervorgehoben werden:

  • Definition einer flexiblen und praxisorientierten Anforderungsbasis für die IT von Banken, Kapitalverwaltungsgesellschaften und Versicherungen
  • Intensivierung des IT-Risikobewusstseins
  • Transparentere Darlegung der IT-Anforderungen

Rolle und Nutzen von IAM

Identity & Access Management adressiert die Anforderungen der xAIT in Bezug auf:

  • Automatische Zuweisung von technischen Accounts an natürliche Personen
  • Nachvollziehbare Genehmigungs- und Kontrollprozesse von Berechtigungen
  • Einheitliches, unternehmensweites Geschäftsrollenmodell
  • Regelmäßige Rezertifizierung von Berechtigungen

Module

  • IT-Strategie: Formulierung einer detaillierten und konkreten IT-Strategie, die u. a. Organisations- und IT-Risiko-Fragestellungen adressiert
  • IT Governance: Mechanismen zur wirksamen Umsetzung der IT-Strategie durch eine Organisation, die frei von Interessenkonflikten gestaltet ist
  • Informationsrisikomanagement: Nutzung von Prozessen zur Erkennung und Steuerung von Risiken für die Schutzziele der Informationssicherheit
  • Informationssicherheitsmanagement: Etablierung eines Systems zur Herstellung und Aufrechterhaltung eines angestrebten Sicherheitsniveaus
  • Benutzerberechtigungsmanagement: Verfahren zur Einrichtung, Änderung und Entfernung von Berechtigungen unter Wahrung des Minimal- und Funktionstrennungsprinzips
  • IT-Projekte und Anwendungsentwicklung: Regelungen zur Bereitstellung von Änderungen an IT-Systemen, von der Anforderungsdefinition bis zur Produktivstellung (inkl. individuelle Datenverarbeitung)
  • IT-Betrieb (inkl. Datensicherung): Sicherstellung eines sicheren IT-Betriebs und kontrollierter Änderungen der IT-Systeme – unter Zuhilfenahme eines aktuellen Asset-Registers
  • Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen: Steuerung –insbesondere der Risiken –  von IT-Auslagerungen und sonstigem Fremdbezug

Anforderungen

Berechtigungskonzepte:

  • Bilden zukünftig die Grundlage für die Berechtigungsvergabe und beschreiben die Nutzungsbedingungen der IT-Berechtigungen, ausgerichtet am Schutzbedarf des IT-Systems
  • Zuweisung von Accounts zu handelnden Personen
  • Nicht-personalisierte Berechtigungen und Accounts sind zukünftig zweifelsfrei einer handelnden Person zuzuweisen
  • Genehmigungs- und Kontrollprozesse: Prozesse stellen unter Einbeziehung der fachlich verantwortlichen Stelle sicher, dass die Einrichtung, Änderung, Deaktivierung und Löschung von IT-Berechtigungen gemäß der IT-Berechtigungskonzepte eingehalten werden
  • Rezertifzierung: Regelmäßige Überprüfung der vergebenen IT-Berechtigungen hinsichtlich ihrer Notwendigkeit sowie der damit ggf. verbundene Entzug
  • Nachvollziehbarkeit und Dokumentation: Sämtliche Prozesse der Einrichtung, Änderung, Deaktivierung und Löschung von Berechtigungen sind in IT-Systemen nachvollziehbar und auswertbar zu dokumentieren

Praxisbericht

Aufbau der IAM Governance und -Prozesse zur Abdeckung von BaFin-Anforderungen

Die aufsichtlichen Anforderungen zur IT-Sicherheit in der Finanzwirtschaft (BAIT, KAIT, VAIT, ZAIT) verursachen bis heute vielfältige technisch-organisatorische Maßnahmen. Schon sind Nachschärfungen insbesondere in Richtung Identitäts- und Berechtigungsmanagement formuliert.

Anhand des Fallbeispiels eines Versicherungsunternehmens zeigen wir, wie es gelingen kann, effiziente und BaFin-konforme IAM Governance aufzubauen und gleichzeitig bestehende Prozesse zu optimieren.

In unserem Praxisbericht, den sie hier kostenlos herunterladen können, gehen wir u. a. auf folgende Aspekte ein:

  • Nachhaltige Compliance sichert das Vertrauen

  • Anforderungen der xAIT am Beispiel Benutzerberechtigungsmanagement

  • Der Weg zu erfolgreichen Berechtigungskonzepten

  • Vorgehen und Lösung zur Vereinheitlichung der IAM Governance

  • Neumodellierung und Umsetzung der IAM-Prozesse

  • Aufbau zentrale IAM-Organisation

EU-DSGVO
1. Verordnungen
2. Rolle
3. Nutzen

EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung (DSGVO/GDPR) vereinheitlicht den Datenschutz personenbezogener Daten innerhalb der EU. In Konsequenz sind die lückenlose Datensicherheit und Transparenz in der Nutzung personenbezogener Daten einzuhalten. Auf die Organisationen und besonders die IT hat die DSGVO verschiedene Auswirkungen:


  • Haftung bei Datenpannen: Der Verlust von schützenswerten Personendaten – ob als direkter Kundenpartner oder Auftragsverarbeiter – hat erhebliche Geldbußen zur Folge
  • Marktortprinzip: Der Ort der Leistungserbringung – also Ihr Sitz – ist irrelevant. Maßgeblich ist der Sitz der betroffenen Personen in der EU
  • Datenschutz (Verlust)-Folgeabschätzungen: Eine qualifizierende Inventarisierung der Daten und Verfahren sowie Folgeabschätzungen bei Verlust von Personendaten ist Pflicht
  • Rechte der Betroffenen: Betroffene Personen haben weitgehende Rechte, den Umgang mit ihren persönlichen Daten zu bestimmen: Recht auf Information, Zugriff, Berichtigung, Widerspruch, Übertragbarkeit und Löschung; für die Verarbeitung sind zweckgebundene und ggf. befristete Einwilligungen notwendig

Rolle von IAM

Identity & Access Management unterstützt in der Einhaltung der DSGVO überall dort wo:

  • Ein Risikoinventar erstellt wird und Schutzniveaus eine Rolle spielen
  • Zugriff und Verarbeitung auf schützenswerte Daten gesteuert und belegt werden müssen   
  • Verarbeitungstätigkeiten geschützt und nachvollzogen werden müssen
  • Auftragsverarbeiter ihnen anvertraute Daten DSGVO-konform beherrschen und dies auch belegen müssen
  • Die Rechte des Kunden in der Interaktion mit ihm effizient und sicher gewahrt werden sollen

Nutzen von IAM

  • Zugriff und Verarbeitung schützenswerter Personendaten steuern und belegen
  • Schutzniveau und Risikoorientierung kosteneffizient operationalisieren
  • Wettbewerbsfähigkeit als Auftragsverarbeiter sichern
  • Transparenz und konsistente Handhabung von Personendaten gegenüber dem Kunden sowie in der internen und weitervergebenen Verarbeitung

IT-gestützte Abläufe ermöglichen eine effiziente Umsetzung von Informationssicherheit und Datenschutz

Ein effektives Risikomanagement ermöglicht bewusste Entscheidungen darüber, welche Unternehmensrisiken im Fokus stehen, welche Risiken akzeptiert werden können und welchen entgegengesteuert werden muss. Unabhängig der Herkunft der Risiken erhalten Sie durch die gesamtheitliche Betrachtung die stetige Transparenz für Ihr Unternehmen.

Informationssicherheitsmanagement integriert unternehmerische Belange mit erforderlichen Schritten, um das wertvolle Vermögen vor Verlust, Manipulation oder Schaden zu bewahren. Begleitet wird das workflow-basierte ISMS durch wesentliche und integrierte Teilprozesse des ISMS wie ein kennzahlenbasiertes Berichtswesen, Security Incident Management und weitere Abläufe, die eine nachhaltige Steuerung ermöglichen.

Datenschutz ist eine für jedes Unternehmen und jede Behörde kontinuierliche Aufgabe. Das Datenschutzmanagement muss in das Unternehmen integriert werden. Durch eine intelligente Verknüpfung des Datenschutzmanagements mit dem Informationssicherheitsmanagement können Ressourcen geschont und die Qualität deutlich gesteigert werden.

Kontakt und Beratung

Sie haben Fragen oder möchten sich direkt beraten lassen? Gerne helfen wir Ihnen weiter!


Ihr Ansprechpartner für das Thema Regulatorik & Compliance:

Jörg Riedel
Geschäftsführer
Telefon: +49 2203 37100 00
E-Mail: j.riedel@fsp-gmbh.com