26. März 2019

Assurance nach ISAE 3000 für das ti&m-Hosting

Trust 750x410

ti&m hat das Hosting nach dem ISAE 3000-Standard auf Wirksamkeit der FINMA, Rundschreiben RS 2018/3 und RS 2008/21, prüfen lassen. Im Interview erklärt Karsten Burger, Head Innovation Hosting & Application Management bei ti&m, die Hintergründe und was dies für Vorteile für ti&m-Kunden hat. Zudem gibt er einen Einblick in die Erfolgsgeheimnisse des Hostings von ti&m.

 

ti&m hat das Hosting von einer unabhängigen Schweizer Prüfgesellschaft gemäss dem ISAE 3000-Standard auf Konformität mit den FINMA-Rundschreiben prüfen lassen. Was genau beinhaltet das?

Grundsätzlich ist ISAE (International Standard on Assurance Engagements) 3000 ein internationaler Standard für die Berichterstattung. Im Kontext eines Outsourcings kann ein ISAE 3000-Bericht erstellt werden, um die Wirksamkeit eines internen Kontrollsystems oder das Einhalten von regulatorischen Vorgaben zu überprüfen. Falls die Outsourcing-Lösung eine Relevanz für die finanzielle Berichterstattung einer Bank, eines Versicherers oder eines Effektenhändlers hat, ist auch eine Berichterstattung nach ISAE 3402 verbreitet. Im Falle von ti&m trifft dies für die Outsourcing-Lösungen im Moment jedoch nicht zu.
Zu Beginn einer ISAE 3000-Prüfung werden die im Bericht abzudeckenden Inhalte mit dem Prüfer definiert. In unserem Falle sind dies die Vorgaben aus den beiden FINMA-Rundschreiben, welche auf das ti&m-Kontroll-Framework gemapped werden. Der Prüfer beurteilt die Angemessenheit und Wirksamkeit der Kontrollen für eine definierte Periode, z. B. das Geschäftsjahr 2018 und ggf. einen spezifischen Kunden. In dem Bericht ist nun ersichtlich, dass das Hosting und das Kontroll-Framework der ti&m der entsprechenden Anforderung gerecht wird und auch wirksam umgesetzt ist.

 

Was genau regeln die FINMA-Rundschreiben RS 2018/3 Outsourcing – Banken und Versicherungen sowie RS 2008/21 Operationelle Risiken – Banken, Anhang 3, in diesem Zusammenhang?

Das FINMA-Rundschreiben RS 2018/03 regelt die aufsichtsrechtlichen Anforderungen an Outsourcing-Lösungen von Banken, Effektenhändlern und Versicherungsunternehmen. Für diese enthält es Anforderungen an eine angemessene Organisation und bezweckt eine Risikobegrenzung. Ein Outsourcing im Sinne des Rundschreibens liegt vor, wenn ein Unternehmen einen Dienstleister (z. B. ti&m) beauftragt, selbständig und dauernd eine für die Geschäftstätigkeit des Unternehmens wesentliche Funktion ganz oder teilweise zu erfüllen. Das FINMA-Rundschreiben RS 2008/21, Anhang 3, regelt die aufsichtsrechtlichen Anforderungen an den Umgang mit elektronischen Kundendaten von Banken und Effektenhändlern. Für diese enthält es Anforderungen an eine angemessene Organisation und bezweckt deren Risikobegrenzung. Unter CID (Client Identifying Data resp. Kundenidentifikationsdaten) verstehen wir gemäss dem FINMA-Rundschreiben diejenigen Kundendaten, die Personendaten nach Art. 3 Bst. A DSG darstellen und es ermöglichen, die betroffenen Kunden zu identifizieren.

 

Welchen zusätzlichen Nutzen gibt es für die Kunden von ti&m damit?

Zum einen ist dies für die durch die FINMA regulierten Kunden eine Assurance eines unabhängigen Prüfers über die Kontrollen von ti&m mit Bezug auf die FINMA-Rundschreiben. Abhängig von den internen Vorgaben kann der Bericht eine Prüfung durch den Kunden oder durch den vom Kunden beauftragten Dritten ersetzen. Dies reduziert auf Kundenseite Kosten und Aufwände.

 

Was waren die grössten Herausforderungen für euch auf dem Weg dahin?

Ich würde die ti&m bezüglich den Hosting-Dienstleistungen als sehr risikoaffin bezeichnen. Vor der eigentlichen Prüfung stand ein langwieriger, aber äusserst erfolgreicher Prozess in der Definition eines umfangreichen Informationssicherheitsmanagementsystems, einer wirksamen Sicherheitsorganisation, sicherer und auch verlässlicher Betriebsprozesse und natürlich auch einem hohen Mass an technischer Sicherheit über alle Stufen der Infrastruktur und der Applikationen. Da wir auch die Wirksamkeit geprüft haben wollten, bedingt dies nicht nur Dokumentationen, sondern auch das dokumentierte Leben der Kontrollen und Prozesse.

 

Das Hosting ist eine Erfolgsgeschichte für ti&m. Was sind die Erfolgsgeheimnisse?

Ich weiss nicht, ob ich diese verraten soll… Ich denke, als IT-Unternehmen mit Background in der Beratung, Software-Entwicklung und als Schweizer Marktführer für Digitalisierungslösungen haben wir neben unserer hohen Infrastrukturkompetenz auch alle interdisziplinären Kompetenzen im Haus, um dem Kunden einen guten Service zu liefern. Hosting ist heute nicht nur noch Hardware, denn Hardware allein generiert keinen Mehrwert. Relevant sind die Lösungen, welche auf diesen Plattformen den Kunden unserer Kunden in hoher Qualität, Verlässlichkeit und Sicherheit zur Verfügung gestellt werden können. Zudem haben wir auch keine Legacy zu bewältigen.

 

Wie unterscheidet sich ti&m von anderen Anbietern in der Schweiz? 

Wir sind agil, dynamisch und garantieren eine kurze Time-to-Market. Als Full Service Provider decken wir alle Facetten, von der Infrastruktur bis zum Application Management und der Weiterentwicklung der Lösungen, ab. Da wir selbst Lösungen entwickeln, kennen wir die Technologien und Anforderungen für den Betrieb moderner Lösungen bestens.

 

Welche Kunden konntet ihr bisher überzeugen?

Wir sind sehr stark in der Finanzindustrie verwurzelt. Wir dürfen für die Credit Suisse, CIC (Schweiz), Basler Kantonalbank, Bank Cler und weitere KundenInnovationslösungen verwalten. Auch betreiben wir in Partnerschaft mit MeaWallet eine PCI DSS Level 1 zertifizierte HCE- (Host Card Emulation) und Payment-Innovationsplattform, auf welcher wiederum mehrere Banken ihre Systeme angeschlossen haben.


Karsten Burger
Karsten Burger

Seit 2014 ist Karsten Burger Head Innovation Hosting bei ti&m. Seine IT-Karriere widmet er hauptsächlichen den Themen Infrastruktur, Betrieb und Cloud.

Weitere Beiträge

Multi-Project Development Environment Setup<br/>
The Developer’s Nightmare: Multi-Project Development Environment Setup

If you are a developer, you have had to set up your development environment for any of your projects. Database, application server, index, and so on. That might go smoothly… or not. If the first applies, CONGRATULATIONS! And get to work ;) but if not, then welcome to the non-smooth environment setup problem. Even worse, what if you need to have different environments for different projects (e.g. database versions)? And what if you need to reset one, but keep the others untouched?

Mehr erfahren
Wie „Joy“ das Einkaufserlebnis revolutionieren wird
Wie „Joy“ das Einkaufserlebnis revolutionieren wird

Nachdem das Jahr 2015 aus unserer Sicht als das Jahr des digitalen Portemonnaies zu Buche schlug, überlegten wir uns, wie wir die Akzeptanz des digitalen, bargeld- und kartenlosen Bezahlens an öffentlichen Verkaufspunkten fördern könnten. Geboren war die Idee einer virtuellen Registrierkasse, welche jegliche Art von digitalen Geldbörsen unterstützen würde.

Mehr erfahren
hackanapp_lead_korr
Kinder programmieren bei hack an app um die Wette

Bei hack an app haben 20 Kinder ihre Programmierkenntnisse unter Beweis gestellt. Die FHNW und ti&m führten das Förderprogramm gemeinsam durch. Die Kinder zeigten, wie kreativ und spielerisch sie mit der IT umgehen können.

Mehr erfahren
2017_09_der-wert-der-identitaet
Der Wert der Identität

Datenschutz // Information ist die Währung des 21. Jahrhunderts. Folgt man diesem Gedanken, so liegt es nahe, dass unsere digitale Identität das Konto ist, über das wir diese Währung handeln.

Mehr erfahren
SAM 750x410
Meet SAM, the Secure Artificial Intelligent Messenger

Back in November, we told you about the very first ti&m code camp, where our employees were tasked with finding innovative solutions to several technical challenges. In today’s interview, we have decided to speak with the winning team about “SAM”, their artificial intelligence application, and find out more about how the solution was built, how accurate it is and what their plans for the future are.

Mehr erfahren