26. März 2019

Assurance nach ISAE 3000 für das ti&m-Hosting

Trust 750x410

ti&m hat das Hosting nach dem ISAE 3000-Standard auf Wirksamkeit der FINMA, Rundschreiben RS 2018/3 und RS 2008/21, prüfen lassen. Im Interview erklärt Karsten Burger, Head Innovation Hosting & Application Management bei ti&m, die Hintergründe und was dies für Vorteile für ti&m-Kunden hat. Zudem gibt er einen Einblick in die Erfolgsgeheimnisse des Hostings von ti&m.

 

ti&m hat das Hosting von einer unabhängigen Schweizer Prüfgesellschaft gemäss dem ISAE 3000-Standard auf Konformität mit den FINMA-Rundschreiben prüfen lassen. Was genau beinhaltet das?

Grundsätzlich ist ISAE (International Standard on Assurance Engagements) 3000 ein internationaler Standard für die Berichterstattung. Im Kontext eines Outsourcings kann ein ISAE 3000-Bericht erstellt werden, um die Wirksamkeit eines internen Kontrollsystems oder das Einhalten von regulatorischen Vorgaben zu überprüfen. Falls die Outsourcing-Lösung eine Relevanz für die finanzielle Berichterstattung einer Bank, eines Versicherers oder eines Effektenhändlers hat, ist auch eine Berichterstattung nach ISAE 3402 verbreitet. Im Falle von ti&m trifft dies für die Outsourcing-Lösungen im Moment jedoch nicht zu.
Zu Beginn einer ISAE 3000-Prüfung werden die im Bericht abzudeckenden Inhalte mit dem Prüfer definiert. In unserem Falle sind dies die Vorgaben aus den beiden FINMA-Rundschreiben, welche auf das ti&m-Kontroll-Framework gemapped werden. Der Prüfer beurteilt die Angemessenheit und Wirksamkeit der Kontrollen für eine definierte Periode, z. B. das Geschäftsjahr 2018 und ggf. einen spezifischen Kunden. In dem Bericht ist nun ersichtlich, dass das Hosting und das Kontroll-Framework der ti&m der entsprechenden Anforderung gerecht wird und auch wirksam umgesetzt ist.

 

Was genau regeln die FINMA-Rundschreiben RS 2018/3 Outsourcing – Banken und Versicherungen sowie RS 2008/21 Operationelle Risiken – Banken, Anhang 3, in diesem Zusammenhang?

Das FINMA-Rundschreiben RS 2018/03 regelt die aufsichtsrechtlichen Anforderungen an Outsourcing-Lösungen von Banken, Effektenhändlern und Versicherungsunternehmen. Für diese enthält es Anforderungen an eine angemessene Organisation und bezweckt eine Risikobegrenzung. Ein Outsourcing im Sinne des Rundschreibens liegt vor, wenn ein Unternehmen einen Dienstleister (z. B. ti&m) beauftragt, selbständig und dauernd eine für die Geschäftstätigkeit des Unternehmens wesentliche Funktion ganz oder teilweise zu erfüllen. Das FINMA-Rundschreiben RS 2008/21, Anhang 3, regelt die aufsichtsrechtlichen Anforderungen an den Umgang mit elektronischen Kundendaten von Banken und Effektenhändlern. Für diese enthält es Anforderungen an eine angemessene Organisation und bezweckt deren Risikobegrenzung. Unter CID (Client Identifying Data resp. Kundenidentifikationsdaten) verstehen wir gemäss dem FINMA-Rundschreiben diejenigen Kundendaten, die Personendaten nach Art. 3 Bst. A DSG darstellen und es ermöglichen, die betroffenen Kunden zu identifizieren.

 

Welchen zusätzlichen Nutzen gibt es für die Kunden von ti&m damit?

Zum einen ist dies für die durch die FINMA regulierten Kunden eine Assurance eines unabhängigen Prüfers über die Kontrollen von ti&m mit Bezug auf die FINMA-Rundschreiben. Abhängig von den internen Vorgaben kann der Bericht eine Prüfung durch den Kunden oder durch den vom Kunden beauftragten Dritten ersetzen. Dies reduziert auf Kundenseite Kosten und Aufwände.

 

Was waren die grössten Herausforderungen für euch auf dem Weg dahin?

Ich würde die ti&m bezüglich den Hosting-Dienstleistungen als sehr risikoaffin bezeichnen. Vor der eigentlichen Prüfung stand ein langwieriger, aber äusserst erfolgreicher Prozess in der Definition eines umfangreichen Informationssicherheitsmanagementsystems, einer wirksamen Sicherheitsorganisation, sicherer und auch verlässlicher Betriebsprozesse und natürlich auch einem hohen Mass an technischer Sicherheit über alle Stufen der Infrastruktur und der Applikationen. Da wir auch die Wirksamkeit geprüft haben wollten, bedingt dies nicht nur Dokumentationen, sondern auch das dokumentierte Leben der Kontrollen und Prozesse.

 

Das Hosting ist eine Erfolgsgeschichte für ti&m. Was sind die Erfolgsgeheimnisse?

Ich weiss nicht, ob ich diese verraten soll… Ich denke, als IT-Unternehmen mit Background in der Beratung, Software-Entwicklung und als Schweizer Marktführer für Digitalisierungslösungen haben wir neben unserer hohen Infrastrukturkompetenz auch alle interdisziplinären Kompetenzen im Haus, um dem Kunden einen guten Service zu liefern. Hosting ist heute nicht nur noch Hardware, denn Hardware allein generiert keinen Mehrwert. Relevant sind die Lösungen, welche auf diesen Plattformen den Kunden unserer Kunden in hoher Qualität, Verlässlichkeit und Sicherheit zur Verfügung gestellt werden können. Zudem haben wir auch keine Legacy zu bewältigen.

 

Wie unterscheidet sich ti&m von anderen Anbietern in der Schweiz? 

Wir sind agil, dynamisch und garantieren eine kurze Time-to-Market. Als Full Service Provider decken wir alle Facetten, von der Infrastruktur bis zum Application Management und der Weiterentwicklung der Lösungen, ab. Da wir selbst Lösungen entwickeln, kennen wir die Technologien und Anforderungen für den Betrieb moderner Lösungen bestens.

 

Welche Kunden konntet ihr bisher überzeugen?

Wir sind sehr stark in der Finanzindustrie verwurzelt. Wir dürfen für die Credit Suisse, CIC (Schweiz), Basler Kantonalbank, Bank Cler und weitere KundenInnovationslösungen verwalten. Auch betreiben wir in Partnerschaft mit MeaWallet eine PCI DSS Level 1 zertifizierte HCE- (Host Card Emulation) und Payment-Innovationsplattform, auf welcher wiederum mehrere Banken ihre Systeme angeschlossen haben.


Karsten Burger
Karsten Burger

Seit 2014 ist Karsten Burger Head Innovation Hosting bei ti&m. Seine IT-Karriere widmet er hauptsächlichen den Themen Infrastruktur, Betrieb und Cloud.

Weitere Beiträge

Internet of Things: Sicherheit lässt zu wünschen übrig
Internet of Things: Sicherheit lässt zu wünschen übrig

Thema Nummer Eins an der diesjährigen CES (Consumer Electronics Show) in Las Vegas war das Internet of Things und die Erkenntnis, dass keines dieser neuen IoT Geräte mit einem verlässlichen Sicherheitskonzept aufwarten kann. Damit drängt sich die Frage auf, ob nun das IoT das Ende von Security und Privacy bedeutet, oder aber ob Security – oder genauer das Fehlen von Security – das Ende des IoT bedeutet.

Mehr erfahren
code_camp_5_lead
«Unleash your creativity» - das Code Camp mit ungebremster Kreativität

Die Kreativität stand im Mittelpunkt der fünften Ausgabe des ti&m code camp in den Flumserbergen. Über 30 Entwickler und 1 Designer stellten sich verschiedenen Challenges und versuchten diese innerhalb von 30 Stunden zu lösen.

Mehr erfahren
mongol_rally_blogpost1_lead
Mongol Rally Sprint 1: Von Zürich bis in den Iran

Die ti&m-Surfer Julio Naya und Andrea Magazzini haben auf der Mongol Rally schon mehr als 8'000 Kilometer zurückgelegt und 12 Länder durchquert. Das Liquid Working von ti&m macht das Abenteuer möglich. Im Blogpost gibt Julio Naya Einblick, wie sie die auf dem ersten Drittel der Reise bis zum Iran aufgetretenen Probleme agil lösen konnten.

Mehr erfahren
Frankfurt 750x410
ti&m auch in Frankfurt auf Wachstumskurs

Seit August 2016 ist Marco Berg Leiter der ti&m Niederlassung in Frankfurt am Main. Wir haben mit ihm über seine ersten Eindrücke von ti&m, über seinen Werdegang und seine Ziele gesprochen.

Mehr erfahren
cloud_man_mountain
Von der Hybrid Cloud zur Multi-Cloud – Neue Möglichkeiten für Ihren Erfolg

So. Da haben wir jetzt Private Cloud, Public Cloud und Hybrid Cloud. Und jetzt kommt dann noch eine Multi-Cloud. Wozu? Was ist da überhaupt der Unterschied?

Mehr erfahren