Q_PERIOR schafft Sicherheit bei Internetzahlungen

Größe: px

Ab Seite anzeigen:

Download "Q_PERIOR schafft Sicherheit bei Internetzahlungen"

Marie Sylvia Albert
vor 8 Jahren
Abrufe

1 Q_PERIOR schafft Sicherheit bei Internetzahlungen Mindestanforderungen an die Sicherheit von Internetzahlungen

2 Was Sie jetzt wissen müssen und wie Sie sich bestmöglich auf die neuen Anforderungen vorbereiten! und Umsetzungsfrist Die BaFin hat am das Rundschreiben zu den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) veröffentlicht. Damit soll der Betrug im Zahlungsverkehr bekämpft und das Vertrauen der Verbraucher in Internetzahlungsdienste gefestigt werden. Das Rundschreiben deckt wesentliche Aspekte der Sicherheit im Retail-Zahlungsverkehr ab: Governance, Risikomanagement sowie die Überwachung, Überprüfung und Dokumentation von Internetzahlungsvorgängen. Die weiteren Anforderungen der MaSI sind die Einführung einer starken Kundenauthentifizierung, der Schutz sensibler Zahlungsdaten und die Verbesserung des Kundenschutzes. Die MaSI gilt für Zahlungsdienste durch Zahlungsdienstleister, die über das Internet angeboten werden. Dies sind unter anderem: Kreditinstitute im Sinne des Artikels 4 Nr. 1 der europäischen Eigenmittelverordnung CRR (Capital Requirements Regulation), die im Inland zum Geschäftsbetrieb berechtigt sind E-Geld-Institute im Sinne des Artikels 1 Absatz 1b und Artikel 2 Nr. 1 der E-Geld-Richtlinie Die Europäische Zentralbank, die Deutsche Bundesbank sowie andere Zentralbanken in der Europäischen Union oder den anderen Staaten des Europäischen Wirtschaftsraums, wenn sie nicht in ihrer Eigenschaft als Währungsbehörde oder andere Behörde handeln Der Bund, die Länder, die Gemeinden und Gemeindeverbände sowie die Träger bundesoder landesmittelbarer Verwaltung, soweit sie nicht hoheitlich handeln Unternehmen, die gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, Zahlungsdienste erbringen, ohne unter die Nummern 1 bis 4 zu fallen (Zahlungsinstitute) Umsetzungsfrist Das Rundschreiben tritt mit Veröffentlichung in Kraft. Der Umsetzungszeitraum beträgt sechs Monate, somit sind die Anforderungen inklusive der Meldungen spätestens ab dem 5. November 2015 umzusetzen. Im Internetzahlungsverkehr kommen durch die überarbeitete Zahlungsdiensterichtlinie (engl. PSD II = Payment Services Directive II) demnächst weitere Anforderungen auf die Unternehmen zu. Eine Verabschiedung der PSD II ist daher im weiteren Jahresverlauf zu erwarten. Die Europäische Bankenaufsichtsbehörde (EBA) erwartet jedoch bereits jetzt von Zahlungsdienstleistern, dass sie sich durch die konsequente Umsetzung der MaSI fit für die PSD II machen. Anforderungen Allgemeine Anforderungen an das Sicherheitsmanagement von Zahlungsdienstleistern Durchführung und Dokumentation detaillierter Risikoidentifikation und Schwachstellenanalyse in Bezug auf Internetzahlungen und damit verbundene Dienste. Die Risikoanalysen sollen Technologielösung des Zahlungsdienstleisters, extern bezogene Dienste sowie die technische Umgebung des Kunden berücksichtigen. Berücksichtigung der Risiken der Technologieplattformen, Anwendungsarchitekturen, Programmiertechniken und Prozeduren sowie der Ergebnisse des Überwachungsprozesses für IT-Sicherheitsvorfälle. Einheitliche und integrierte Überwachung und Bearbeitung von IT-Sicherheitsvorfällen, einschließlich sicherheitsbezogener Kundenbeschwerden. Einführung von Meldeprozessen für solche Vorfälle an die Geschäftsleitung. Einführung von Verfahren zur sofortigen Meldung von schwerwiegenden Zahlungssicherheitsvorfällen gegenüber der BaFin. Darüber hinaus aktive Zusammenarbeit mit Strafverfolgungsbehörden. Implementierung eines gestaffelten Sicherheitskonzepts zur dauerhaften Minimierung identifizierter Risiken, etwa durch eine angemessene Trennung von Aufgaben im Bereich der IT, geeignete Sicherheitslösungen gegen Angriffe und Missbrauch von Webseiten. Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch unabhängige Sachverständige. Seite 2

3 Besondere Anforderungen an das Sicherheitsmanagement von Zahlungsdienstleistern Starke Kundenauthentifizierung: Identifizierung der Kunden nach nationalen und europäischen Geldwäschegesetzen. Einholung der Willenserklärung der Kunden vor der Nutzung der angebotenen Zahlungsdienste. Schutz sensibler Zugangsdaten: Besondere Sicherung sensibler Zahlungsdaten bei der Speicherung, Verarbeitung und Übermittlung. Außerdem Verbesserung des Schutzes der Kunden-Web-Schnittstelle gegen Diebstahl, unerlaubten Zugriff und Modifizierung. Kundenschutz und -information Verbesserung des Kundenschutzes: Planung gesicherter Kommunikationsanforderungen sowie Inkenntnissetzung des Kunden über Aktualisierung der Sicherheitsverfahren. Limits für Internetzahlungsdienste: Festlegung von Limits sowie Zurverfügungstellung von Informationen zum Status der Zahlungsvorgänge für den Kunden. Unser Beratungsangebot Wir bringen Sie bei der Sicherheit von Internetzahlungen einen deutlichen Schritt voran und sorgen dafür, dass Sie die Mindestanforderungen problemlos erfüllen! Gerne unterstützen wir Sie bei der detaillierten Risikoidentifikation, der Schwachstellenanalyse sowie der Einführung eines Informationssicherheitsmanagementsystems (ISMS). Einführung Planung, Implementierung, Überprüfung und Zertifizierung eines ISMS ISO/IEC START 1. Management - Unterstützung einholen 2. Definition des s 3. Inventar der Informationswerte Inventar 4. Durchführung des Risiko Assessments 5a. Vorbereiten des Statement of Applicability 5b. Vorbereiten des Risikobehandlungsplan 6. Erstellen des ISMS Einführungs- Programms SOA ISMS Wirtschaftlichkeitsbetrachtung Risikobehandlungsplan 9. Operative ISMS Artefakte Sicherheitslogs usw. IS Policies Standards Prozeduren Leitfäden 10. Compliancebewertung 8. ISMS 11. Korrekturmaßnahmen ung ung Erstellen eines internen ISMS Audit Programms Compliance & Auditberichte Bewusstsein & Teilnahme an Trainings 12. Prä- Zertifizierungsassessment 7. ISMS Einführungsprogramm Schlüssel 13. Zertifizierungsaudit Zertifikat Dokument oder Ergebnis ISO/IEC Standard Datenbank Aktivität

4 Erstellung der Sicherheitskonzeption im Informationssicherheitsmanagement Strukturanalyse Analyse des Ist-Zustandes Feststellung des Schutzbedarfs Modellierung des Verbundes (Auswahl der Maßnahmen) Basis-Sicherheitscheck (Soll/Ist-Vergleich) Im Einzelnen unterstützen wir Sie bei der Implementierung von Überwachungsprozessen für IT-Sicherheitsvorfälle und Verfahren zur sofortigen Meldung derartiger Vorfälle. Darüber hinaus führen wir ein gestaffeltes Sicherheitskonzept ein, das Ihnen und Ihren Kunden einen umfangreichen Schutz bietet. Ergänzende Sicherheitsanalyse ca. 80% ca. 20% Risikoanalyse Zusätzlich etablieren wir effektive Prozesse zur Kundenauthentifizierung, -autorisierung und -information und führen regelmäßige Sicherheitsaudits durch. Konsolidierung der Maßnahmen Basis-Sicherheitscheck (Teil 2) Realisierung der Maßnahmen Unser Beratungsportfolio: Zertifizierung der ISMS Implementierung Erlangung der ISO Zertifizierung Vorbereitung und Durchführung der ISO Zertifizierung durch zertifizierte Auditoren ISO/IEC START 1. Management - Unterstützung einholen 2. Definition des s 3. Inventar der Informationswerte Inventar 4. Durchführung des Risiko Assessments 5a. Vorbereiten des Statement of Applicability 5b. Vorbereiten des Risikobehandlungsplan 6. Erstellen des ISMS Einführungs- Programms SOA ISMS Wirtschaftlichkeitsbetrachtung Risikobehandlungsplan 9. Operative ISMS Artefakte Sicherheitslogs usw. IS Policies Standards Prozeduren Leitfäden 10. Compliancebewertung 8. ISMS 11. Korrekturmaßnahmen ung ung Erstellen eines internen ISMS Audit Programms Compliance & Auditberichte Bewusstsein & Teilnahme an Trainings 12. Prä- Zertifizierungsassessment 7. ISMS Einführungsprogramm Schlüssel 13. Zertifizierungsaudit Zertifikat Dokument oder Ergebnis ISO/IEC Standard Datenbank Aktivität Seite 4

5 Erfolgsfaktor #1: Durchführung einer Vorabbewertung und Umsetzung von Korrekturmaßnahmen zur Sicherstellung einer erfolgreichen Auditierung Mehrwert der ISO Zertifizierung für Ihr Unternehmen: Gewissheit, dass mit IS-Risiken systematisch umgegangen wird Vermeidung bzw. Minderung der Schäden durch Informationssicherheitsvorfälle Steigerung der Rentabilität (Ausfallreduzierung, schneller Wiederanlauf nach IS-Vorfällen) Mehrwert der ISO Zertifizierung in der Außendarstellung: Erhöhung der Zufriedenheit und des Vertrauens von Kunden, Lieferanten und Aktionären in das Unternehmen Kontakt Sie interessieren sich für das Thema MaSI und unsere konkreten Leistungen hierzu? Dann kontaktieren Sie uns! Q_PERIOR unterstützt Sie gerne bei der Analyse, Konzeption und Umsetzung geeigneter Maßnahmen zur Erfüllung regulatorischer Anforderungen im Bereich des Internetzahlungsverkehrs. Ihr Ansprechpartner Christof Merz Tel.: Ellerau (Hamburg) Frankfurt München Rosenheim Bern Zürich Wien

Ähnliche Dokumente

Informationssicherheitsmanagement

Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage