26. March 2019

Assurance nach ISAE 3000 für das ti&m Hosting

Trust 750x410

ti&m hat das Hosting nach dem ISAE 3000 Standard auf Wirksamkeit der FINMA Rundschreiben RS 2018/3 RS 2008/21 prüfen lassen. Im Interview erklärt Karsten Burger, und Head Innovation Hosting & Application Management bei ti&m, die Hintergründe und welche Vorteile ti&m-Kunden davon bekommen. Zudem gibt er einen Einblick in die Erfolgsgeheimnisse des Hostings von ti&m.

ti&m hat das Hosting von einer unabhängigen Schweizer Prüfgesellschaft gemäss dem ISAE 3000 Standard auf Konformität mit den FINMA Rundschreiben prüfen lassen. Was genau beinhaltet das?

Grundsätzlich ist ISAE (International Standard on Assurance Engagements) 3000 ein internationaler Standard für die Berichterstattung. Im Kontext eines Outsourcings kann ein ISAE 3000 Bericht erstellt werden, um die Wirksamkeit eines internen Kontrollsystems oder das Einhalten von regulatorischen Vorgaben zu überprüfen. Falls die Outsourcing-Lösung eine Relevanz für die finanzielle Berichterstattung einer Bank, Versicherer oder eines Effektenhändlers hat, ist auch eine Berichterstattung nach ISAE 3402 verbreitet. Im Falle von ti&m trifft dies für die Outsourcing-Lösungen im Moment jedoch nicht zu.
Zu Beginn einer ISAE 3000 Prüfung werden die im Bericht abzudeckenden Inhalte mit dem Prüfer definiert. In unserem Falle sind dies die Vorgaben aus den beiden FINMA Rundschreiben, welche auf das ti&m Kontrollframework gemapped werden. Der Prüfer beurteilt die Angemessenheit und Wirksamkeit der Kontrollen für eine definierte Periode, z.B. das Geschäftsjahr 2018 und ggf. einen spezifischen Kunden. In dem Bericht ist nun ersichtlich, dass das Hosting und das Kontrollframework der ti&m die entsprechende Anforderung gerecht wird und auch wirksam umgesetzt ist.

 

Was genau regeln die FINMA Rundschreiben RS 2018/3 Outsourcing – Banken und Versicherungen sowie RS 2008/21 Operationelle Risiken – Banken, Anhang 3 in diesem Zusammenhang?

Das FINMA Rundschreiben RS 2018/03 regelt die aufsichtsrechtlichen Anforderungen an Outsourcing-Lösungen von Banken, Effektenhändlern und Versicherungsunternehmen. Für diese enthält es Anforderungen an eine angemessene Organisation und bezweckt eine Risikobegrenzung. Ein Outsourcing im Sinne des Rundschreibens liegt vor, wenn ein Unternehmen einen Dienstleister (z.B. ti&m) beauftragt, selbständig und dauernd eine für die Geschäftstätigkeit des Unternehmens wesentliche Funktion ganz oder teilweise zu erfüllen. Das FINMA Rundschreiben RS 2008/21 Anhang 3 regelt die aufsichtsrechtlichen Anforderungen an den Umgang mit elektronischen Kundendaten von Banken und Effektenhändlern. Für diese enthält es Anforderungen an eine angemessene Organisation und bezweckt deren Risikobegrenzung. Unter CID (Client Identifying Data resp. Kundenidentifikationsdaten) verstehen wir gemäss dem FINMA Rundschreiben diejenigen Kundendaten, die Personendaten nach Art. 3 Bst. A DSG darstellen und es ermöglichen, die betroffenen Kunden zu identifizieren.

 

Welchen zusätzlichen Nutzen gibt es für die Kunden von ti&m damit?

Zum einem ist dies für die durch die FINMA regulierten Kunden eine Assurance eines unabhängigen Prüfers über die Kontrollen von ti&m mit Bezug auf die FINMA Rundschreiben. Abhängig von den internen Vorgaben kann der Bericht eine Prüfung durch den Kunden oder durch den Kunden beauftragen Dritten ersetzen. Dies reduziert auf Kundenseite Kosten und Aufwände.

 

Was waren die grössten Herausforderungen für Euch auf dem Weg dahin?

Ich würde die ti&m bezüglich den Hosting Dienstleistungen als sehr risikoaffin bezeichnen. Vor der eigentlichen Prüfung stand ein langwieriger, aber äusserst erfolgreicher Prozess in der Definition eines umfangreichen Informationssicherheitsmanagementsystems, einer wirksamen Sicherheitsorganisation, sicherer und auch verlässlicher Betriebsprozesse und natürlich auch einem hohen Mass an technischer Sicherheit über alle Stufen der Infrastruktur und der Applikationen. Da wir auch die Wirksamkeit geprüft haben wollten, bedingt dies nicht nur Dokumentationen, sondern auch das dokumentierte Leben der Kontrollen und Prozesse.

 

Das Hosting ist eine Erfolgsgeschichte für ti&m. Was sind die Erfolgsgeheimnisse?

Ich weiss nicht, ob ich diese verraten soll… Ich denke als IT-Unternehmen mit Background in der Beratung, Software-Entwicklung und als Schweizer Marktführer für Digitalisierungslösungen haben wir neben unserer hohen Infrastrukturkompetenz auch alle interdisziplinären Kompetenzen im Haus, um dem Kunden einen Service zu liefern. Hosting ist heute nicht nur noch Hardware, denn Hardware allein generiert keinen Mehrwert. Relevant sind die Lösungen, welche auf diesen Plattformen den Kunden unserer Kunden in hoher Qualität, Verlässlichkeit und Sicherheit zur Verfügung gestellt werden können. Zudem haben wir auch keine Legacy zu bewältigen.

 

Wie unterscheidet sich ti&m von anderen Anbietern in der Schweiz? 

Wir sind agil, dynamisch und garantieren eine kurze Time-to-Market. Als Full Service Provider decken wir alle Facetten von der Infrastruktur bis zum Application Management und der Weiterentwicklung der Lösungen ab. Da wir selbst Lösungen entwickeln, kennen wir die Technologien und Anforderungen für den Betrieb moderner Lösungen bestens.

 

Welche Kunden konntet Ihr bisher überzeugen?

Wir sind sehr stark in der Finanzindustrie verwurzelt. Wir dürfen für die Credit Suisse, CIC (Schweiz), die Basler Kantonalbank, die Bank Cler und weitere Kunden die Innovationslösungen betreiben. Auch betreiben wir in Partnerschaft mit MeaWallet eine PCI DSS Level 1 zertifizierte HCE- (Host Card Emulation) und Paymentinnovationsplattform, auf welcher wiederum mehrere Banken ihre Systeme angeschlossen haben.


Karsten Burger
Karsten Burger

Karsten Burger has been Head of Innovation Hosting at ti&m since 2014. His IT career is mainly dedicated to infrastructure, operation and the cloud.

Weitere Beiträge

Gruppenbild Code Camp Cloud
Coding in the Clouds – das vierte ti&m code camp zum Thema Cloud

Beim vierten Code Camp von ti&m hat sich alles um die Cloud gedreht. 26 Entwickler kamen in den Flumserbergen zusammen, um dazu neue Lösungen zu entwickeln. In 30 Stunden Programmieren konnten die Teilnehmer so einiges erreichen.

find more information
Internet of Things: Sicherheit lässt zu wünschen übrig
Internet of Things: Sicherheit lässt zu wünschen übrig

Thema Nummer Eins an der diesjährigen CES (Consumer Electronics Show) in Las Vegas war das Internet of Things und die Erkenntnis, dass keines dieser neuen IoT Geräte mit einem verlässlichen Sicherheitskonzept aufwarten kann. Damit drängt sich die Frage auf, ob nun das IoT das Ende von Security und Privacy bedeutet, oder aber ob Security – oder genauer das Fehlen von Security – das Ende des IoT bedeutet.

find more information
digitaltag_visual_blog
Das waren die Digitaltage von ti&m

Wir haben mit mehreren Learning Labs und einem hack an app an den Digitaltagen teilgenommen. Im Fokus standen Themen wir die Cloud, E-ID mit Blockchain oder die Bedeutung von Design. Hier kannst du alle Beiträge nachschauen.

find more information
cloud_bank_now_aws_blog
Der ideale Workload für die Cloud – Buildprozesse mit Spot-Instanzen

Eine der ersten Fragen, die sich im Cloud Kontext stellt, ist: Welche Workloads eignen sich für den ersten Schritt in die Cloud? Lesen Sie im Folgenden, weshalb Build- und Test-Prozesse für Software-Artefakte besonders geeignet sind und was es basierend auf den Erfahrungen aus unserem Projekt mit der BANK-now zu beachten gilt.

find more information
2017_07_HCE-payment
How Does HCE Address the EMV Goals?

Not a day goes by without new mobile payment apps popping up or the Original Equipment Manufacturers, also called OEMs, launching their own mobile wallets (Apple Pay, Samsung Pay, Android Pay) in additional countries. Especially Switzerland plays an interesting role by focusing on the payment solution TWINT to solve the local mobile payment needs. However, regardless of the payment app and underlying technology, all solutions need to balance usability and security in order to justify a valid business case.

find more information