26. März 2019

Assurance nach ISAE 3000 für das ti&m Hosting

Trust 750x410

ti&m hat das Hosting nach dem ISAE 3000 Standard auf Wirksamkeit der FINMA Rundschreiben RS 2018/3 RS 2008/21 prüfen lassen. Im Interview erklärt Karsten Burger, und Head Innovation Hosting & Application Management bei ti&m, die Hintergründe und welche Vorteile ti&m-Kunden davon bekommen. Zudem gibt er einen Einblick in die Erfolgsgeheimnisse des Hostings von ti&m.

ti&m hat das Hosting von einer unabhängigen Schweizer Prüfgesellschaft gemäss dem ISAE 3000 Standard auf Konformität mit den FINMA Rundschreiben prüfen lassen. Was genau beinhaltet das?

Grundsätzlich ist ISAE (International Standard on Assurance Engagements) 3000 ein internationaler Standard für die Berichterstattung. Im Kontext eines Outsourcings kann ein ISAE 3000 Bericht erstellt werden, um die Wirksamkeit eines internen Kontrollsystems oder das Einhalten von regulatorischen Vorgaben zu überprüfen. Falls die Outsourcing-Lösung eine Relevanz für die finanzielle Berichterstattung einer Bank, Versicherer oder eines Effektenhändlers hat, ist auch eine Berichterstattung nach ISAE 3402 verbreitet. Im Falle von ti&m trifft dies für die Outsourcing-Lösungen im Moment jedoch nicht zu.
Zu Beginn einer ISAE 3000 Prüfung werden die im Bericht abzudeckenden Inhalte mit dem Prüfer definiert. In unserem Falle sind dies die Vorgaben aus den beiden FINMA Rundschreiben, welche auf das ti&m Kontrollframework gemapped werden. Der Prüfer beurteilt die Angemessenheit und Wirksamkeit der Kontrollen für eine definierte Periode, z.B. das Geschäftsjahr 2018 und ggf. einen spezifischen Kunden. In dem Bericht ist nun ersichtlich, dass das Hosting und das Kontrollframework der ti&m die entsprechende Anforderung gerecht wird und auch wirksam umgesetzt ist.

 

Was genau regeln die FINMA Rundschreiben RS 2018/3 Outsourcing – Banken und Versicherungen sowie RS 2008/21 Operationelle Risiken – Banken, Anhang 3 in diesem Zusammenhang?

Das FINMA Rundschreiben RS 2018/03 regelt die aufsichtsrechtlichen Anforderungen an Outsourcing-Lösungen von Banken, Effektenhändlern und Versicherungsunternehmen. Für diese enthält es Anforderungen an eine angemessene Organisation und bezweckt eine Risikobegrenzung. Ein Outsourcing im Sinne des Rundschreibens liegt vor, wenn ein Unternehmen einen Dienstleister (z.B. ti&m) beauftragt, selbständig und dauernd eine für die Geschäftstätigkeit des Unternehmens wesentliche Funktion ganz oder teilweise zu erfüllen. Das FINMA Rundschreiben RS 2008/21 Anhang 3 regelt die aufsichtsrechtlichen Anforderungen an den Umgang mit elektronischen Kundendaten von Banken und Effektenhändlern. Für diese enthält es Anforderungen an eine angemessene Organisation und bezweckt deren Risikobegrenzung. Unter CID (Client Identifying Data resp. Kundenidentifikationsdaten) verstehen wir gemäss dem FINMA Rundschreiben diejenigen Kundendaten, die Personendaten nach Art. 3 Bst. A DSG darstellen und es ermöglichen, die betroffenen Kunden zu identifizieren.

 

Welchen zusätzlichen Nutzen gibt es für die Kunden von ti&m damit?

Zum einem ist dies für die durch die FINMA regulierten Kunden eine Assurance eines unabhängigen Prüfers über die Kontrollen von ti&m mit Bezug auf die FINMA Rundschreiben. Abhängig von den internen Vorgaben kann der Bericht eine Prüfung durch den Kunden oder durch den Kunden beauftragen Dritten ersetzen. Dies reduziert auf Kundenseite Kosten und Aufwände.

 

Was waren die grössten Herausforderungen für Euch auf dem Weg dahin?

Ich würde die ti&m bezüglich den Hosting Dienstleistungen als sehr risikoaffin bezeichnen. Vor der eigentlichen Prüfung stand ein langwieriger, aber äusserst erfolgreicher Prozess in der Definition eines umfangreichen Informationssicherheitsmanagementsystems, einer wirksamen Sicherheitsorganisation, sicherer und auch verlässlicher Betriebsprozesse und natürlich auch einem hohen Mass an technischer Sicherheit über alle Stufen der Infrastruktur und der Applikationen. Da wir auch die Wirksamkeit geprüft haben wollten, bedingt dies nicht nur Dokumentationen, sondern auch das dokumentierte Leben der Kontrollen und Prozesse.

 

Das Hosting ist eine Erfolgsgeschichte für ti&m. Was sind die Erfolgsgeheimnisse?

Ich weiss nicht, ob ich diese verraten soll… Ich denke als IT-Unternehmen mit Background in der Beratung, Software-Entwicklung und als Schweizer Marktführer für Digitalisierungslösungen haben wir neben unserer hohen Infrastrukturkompetenz auch alle interdisziplinären Kompetenzen im Haus, um dem Kunden einen Service zu liefern. Hosting ist heute nicht nur noch Hardware, denn Hardware allein generiert keinen Mehrwert. Relevant sind die Lösungen, welche auf diesen Plattformen den Kunden unserer Kunden in hoher Qualität, Verlässlichkeit und Sicherheit zur Verfügung gestellt werden können. Zudem haben wir auch keine Legacy zu bewältigen.

 

Wie unterscheidet sich ti&m von anderen Anbietern in der Schweiz? 

Wir sind agil, dynamisch und garantieren eine kurze Time-to-Market. Als Full Service Provider decken wir alle Facetten von der Infrastruktur bis zum Application Management und der Weiterentwicklung der Lösungen ab. Da wir selbst Lösungen entwickeln, kennen wir die Technologien und Anforderungen für den Betrieb moderner Lösungen bestens.

 

Welche Kunden konntet Ihr bisher überzeugen?

Wir sind sehr stark in der Finanzindustrie verwurzelt. Wir dürfen für die Credit Suisse, CIC (Schweiz), die Basler Kantonalbank, die Bank Cler und weitere Kunden die Innovationslösungen betreiben. Auch betreiben wir in Partnerschaft mit MeaWallet eine PCI DSS Level 1 zertifizierte HCE- (Host Card Emulation) und Paymentinnovationsplattform, auf welcher wiederum mehrere Banken ihre Systeme angeschlossen haben.


Karsten Burger
Karsten Burger

Seit 2014 ist Karsten Burger Head Innovation Hosting bei ti&m. Seine IT-Karriere widmet er hauptsächlich den Themen Infrastruktur, Betrieb und Cloud.

Weitere Beiträge

Schumann_Marie_Portrait
«Für mich war art@work eine Superchance»

Mit der Eventreihe art@work fördert ti&m junge Künstler aus der Schweiz. Marie Schumann machte in diesem Jahr aus ti&m-Daten Kunst. Im Interview blickt sie auf ihre Erfahrungen zurück. Sie würde sich jeder Zeit wieder für art@work bewerben.

Mehr erfahren
aikido 750x410
Digitales Aikido in der Finanzindustrie

Technologische Fortschritte wie Automatisierung und künstliche Intelligenz gehen auch am Private Banking nicht vorbei. Matthias Plattner plädiert für eine Verbindung alter Werte und neuer Technologien und zieht eine Analogie zur Kampfsportart Aikido.

Mehr erfahren
Stefan Tschumi / art@work
Open Banking als Geschäftsmodell – Implikationen für Banken

Wenn Open Banking im Rahmen der digitalen Transformationsstrategie sinnvoll positioniert und implementiert wird, dann sind Banken besser für die Zukunft gerüstet. Dabei gibt es auch kulturelle Fragen zu bedenken.

Mehr erfahren
hackanapp_lead_korr
Kinder programmieren bei hack an app um die Wette

Bei hack an app haben 20 Kinder ihre Programmierkenntnisse unter Beweis gestellt. Die FHNW und ti&m führten das Förderprogramm gemeinsam durch. Die Kinder zeigten, wie kreativ und spielerisch sie mit der IT umgehen können.

Mehr erfahren
Trust 750x410
Authentication Is Good, Trust Is Better. What About Trusting Delegated Identity?

Trust in a relationship is a must and this is not only holds true for private lives but also in the virtual life. While trustworthiness for established authentication protocols is mainly based on agreement between entities, certificates and keys, trust in the identity delegation context is ambiguous because the owner might not be the consumer of the API. This post addresses some trust concerns when introducing protocols based on identity delegation that de-facto lead to an identity paradigm shift.

Mehr erfahren