Compliance
und Regulatorik betrifft sämtliche Unternehmensbereiche, denn die vielfältigen
Gesetze, Richtlinien und Vorschriften sollen ethisch einwandfreies und
gesetzeskonformes Handeln sicherstellen. Aber auch unternehmensinterne Regeln
oder Branchenregelungen müssen umgesetzt und ihre Einhaltung überwacht werden.
Die stark regulierten Branchen der Versicherungen und Banken sind nur ein
Beispiel für die wichtige und komplexe Aufgabe der IT Compliance, die
Auswirkungen von Datenschutzanforderungen sind für Unternehmen sämtlicher
Branchen nachvollziehbar geworden.
Wir helfen Ihnen, geeignete Maßnahmen zu treffen, damit Sie die Einhaltung der Gesetze und Vorschriften sicherstellen können.
Die erste EU-Richtlinie zu Zahlungsdiensten stammte aus dem Jahr 2007: die PSD 2007/64/EC. Durch die zweite, grundlegend überarbeitete Payment Services Directive (PSD) hat die EU auch onlinebasierte Zahlungsdienste abgedeckt. Die neue PSD2 (Richtlinie (EU) 2015/2366) ist im Januar 2018 in Kraft getreten.
Aus Sicht eines Payment Service Providers (PSP) sind zwei Aspekte von großer Bedeutung:
Durch PSD2 werden elektronische Zahlungen für die Verbraucher sicherer und bequemer.
Die EU-Kommission hebt vier wichtige Änderungen hervor:
Wie die Kommunikationsschnittstelle im Detail aussieht, regelt der Final Draft der RTS der EBA nicht. Die Richtlinie selbst verlangt technische Neutralität gegenüber möglichen Internet-Kommunikationsstandards. Einige formale Anforderungen sind dennoch beschrieben, etwa der Einsatz einer geeigneten Verschlüsselung beim Datenaustausch, möglichst kurze Kommunikationsvorgänge und eindeutige Referenzen für die ausgetauschten Daten.
Auch den "dritten" Zahlungsdienstleistern, die nun erstmals auf Konto- bzw. Kundendaten der Bank zugreifen dürfen, obliegen besondere Pflichten. So müssen sie die Integrität und Vertraulichkeit der persönlichen Sicherheitsmerkmale und Authentifizierungscodes der Kunden gewährleisten, etwa indem sie sie ausschließlich in einer sicheren Umgebung gemäß ISO 27001-Standard für Informationsmanagement-Sicherheitssysteme verarbeiten.
Bei definierten Zahlungsverfahren werden neue Methoden zur Kundenauthentifizierung notwendig. Beim Mobile Payment sind z. B. SMS-TAN auf ein Smartphone bald nicht mehr zulässig.
In Artikel 97 schreibt die PSD2 zwingend eine sogenannte starke Kundenauthentifizierung vor, sobald der Zahlende beispielsweise online auf sein Zahlungskonto zugreift oder einen elektronischen Zahlungsvorgang auslöst. Stark wird die Authentifizierung, wenn dabei wenigstens zwei von drei möglichen Kategorien herangezogen werden. Diese drei Authentifizierungskategorien sind:
Die Forderung der PSD2 nach einer starken Kundenauthentifizierung ist dann erfüllt, wenn das Authentifizierungsverfahren zwei dieser drei voneinander unabhängigen Elemente kombiniert.
Möglich werden auch schnelle Methoden wie ein Iris-Scan oder eine Videoauthentifizierung per Smartphone. Die Kombinationsmöglichkeiten sind durch die PSD2 nicht begrenzt.
Unternehmen der Finanzbranche müssen zum Schutz von Daten und IT-Systemen zahlreiche Regelungen einhalten. Außer DSGVO und IT-Sicherheitsgesetz sind Anforderungen aus BAIT, VAIT, KAIT und ZAIT umzusetzen. Diese Verwaltungsvorschriften der BaFin geben den Rahmen für die technisch-organisatorische Ausstattung der IT in den Unternehmen der deutschen Finanzwirtschaft vor.
Auf den Anforderungen der BaFin basierend können drei Ziele hervorgehoben werden:
Identity & Access Management adressiert die Anforderungen der xAIT in Bezug auf:
Berechtigungskonzepte:
Aufbau der IAM Governance und -Prozesse zur Abdeckung von BaFin-Anforderungen
Die aufsichtlichen Anforderungen zur IT-Sicherheit in der Finanzwirtschaft (BAIT, KAIT, VAIT, ZAIT) verursachen bis heute vielfältige technisch-organisatorische Maßnahmen. Schon sind Nachschärfungen insbesondere in Richtung Identitäts- und Berechtigungsmanagement formuliert.
Anhand des Fallbeispiels eines Versicherungsunternehmens zeigen wir, wie es gelingen kann, effiziente und BaFin-konforme IAM Governance aufzubauen und gleichzeitig bestehende Prozesse zu optimieren.
In unserem Praxisbericht, den sie hier kostenlos herunterladen können, gehen wir u. a. auf folgende Aspekte ein:
Nachhaltige Compliance sichert das Vertrauen
Anforderungen der xAIT am Beispiel Benutzerberechtigungsmanagement
Der Weg zu erfolgreichen Berechtigungskonzepten
Vorgehen und Lösung zur Vereinheitlichung der IAM Governance
Neumodellierung und Umsetzung der IAM-Prozesse
Aufbau zentrale IAM-Organisation
Die EU-Datenschutz-Grundverordnung (DSGVO/GDPR) vereinheitlicht den Datenschutz personenbezogener Daten innerhalb der EU. In Konsequenz sind die lückenlose Datensicherheit und Transparenz in der Nutzung personenbezogener Daten einzuhalten. Auf die Organisationen und besonders die IT hat die DSGVO verschiedene Auswirkungen:
Identity & Access Management unterstützt in der Einhaltung der DSGVO überall dort wo:
IT-gestützte Abläufe ermöglichen eine effiziente Umsetzung von Informationssicherheit und Datenschutz
Ein effektives Risikomanagement ermöglicht
bewusste Entscheidungen darüber, welche Unternehmensrisiken im Fokus stehen,
welche Risiken akzeptiert werden können und welchen entgegengesteuert werden
muss. Unabhängig der Herkunft der Risiken erhalten Sie durch die
gesamtheitliche Betrachtung die stetige Transparenz für Ihr
Unternehmen.
Informationssicherheitsmanagement integriert unternehmerische Belange mit erforderlichen Schritten, um das wertvolle Vermögen vor Verlust, Manipulation oder Schaden zu bewahren. Begleitet wird das workflow-basierte ISMS durch wesentliche und integrierte Teilprozesse des ISMS wie ein kennzahlenbasiertes Berichtswesen, Security Incident Management und weitere Abläufe, die eine nachhaltige Steuerung ermöglichen.
Datenschutz ist eine für jedes Unternehmen und jede Behörde kontinuierliche Aufgabe. Das Datenschutzmanagement muss in das Unternehmen integriert werden. Durch eine intelligente Verknüpfung des Datenschutzmanagements mit dem Informationssicherheitsmanagement können Ressourcen geschont und die Qualität deutlich gesteigert werden.
Ihr Ansprechpartner für das Thema Regulatorik & Compliance:
Jörg Riedel
Geschäftsführer
Telefon: +49 2203 37100 00
E-Mail: j.riedel@fsp-gmbh.com