26. März 2019

Assurance nach ISAE 3000 für das ti&m Hosting

Trust 750x410

ti&m hat das Hosting nach dem ISAE 3000 Standard auf Wirksamkeit der FINMA Rundschreiben RS 2018/3 RS 2008/21 prüfen lassen. Im Interview erklärt Karsten Burger, und Head Innovation Hosting & Application Management bei ti&m, die Hintergründe und welche Vorteile ti&m-Kunden davon bekommen. Zudem gibt er einen Einblick in die Erfolgsgeheimnisse des Hostings von ti&m.

ti&m hat das Hosting von einer unabhängigen Schweizer Prüfgesellschaft gemäss dem ISAE 3000 Standard auf Konformität mit den FINMA Rundschreiben prüfen lassen. Was genau beinhaltet das?

Grundsätzlich ist ISAE (International Standard on Assurance Engagements) 3000 ein internationaler Standard für die Berichterstattung. Im Kontext eines Outsourcings kann ein ISAE 3000 Bericht erstellt werden, um die Wirksamkeit eines internen Kontrollsystems oder das Einhalten von regulatorischen Vorgaben zu überprüfen. Falls die Outsourcing-Lösung eine Relevanz für die finanzielle Berichterstattung einer Bank, Versicherer oder eines Effektenhändlers hat, ist auch eine Berichterstattung nach ISAE 3402 verbreitet. Im Falle von ti&m trifft dies für die Outsourcing-Lösungen im Moment jedoch nicht zu.
Zu Beginn einer ISAE 3000 Prüfung werden die im Bericht abzudeckenden Inhalte mit dem Prüfer definiert. In unserem Falle sind dies die Vorgaben aus den beiden FINMA Rundschreiben, welche auf das ti&m Kontrollframework gemapped werden. Der Prüfer beurteilt die Angemessenheit und Wirksamkeit der Kontrollen für eine definierte Periode, z.B. das Geschäftsjahr 2018 und ggf. einen spezifischen Kunden. In dem Bericht ist nun ersichtlich, dass das Hosting und das Kontrollframework der ti&m die entsprechende Anforderung gerecht wird und auch wirksam umgesetzt ist.

 

Was genau regeln die FINMA Rundschreiben RS 2018/3 Outsourcing – Banken und Versicherungen sowie RS 2008/21 Operationelle Risiken – Banken, Anhang 3 in diesem Zusammenhang?

Das FINMA Rundschreiben RS 2018/03 regelt die aufsichtsrechtlichen Anforderungen an Outsourcing-Lösungen von Banken, Effektenhändlern und Versicherungsunternehmen. Für diese enthält es Anforderungen an eine angemessene Organisation und bezweckt eine Risikobegrenzung. Ein Outsourcing im Sinne des Rundschreibens liegt vor, wenn ein Unternehmen einen Dienstleister (z.B. ti&m) beauftragt, selbständig und dauernd eine für die Geschäftstätigkeit des Unternehmens wesentliche Funktion ganz oder teilweise zu erfüllen. Das FINMA Rundschreiben RS 2008/21 Anhang 3 regelt die aufsichtsrechtlichen Anforderungen an den Umgang mit elektronischen Kundendaten von Banken und Effektenhändlern. Für diese enthält es Anforderungen an eine angemessene Organisation und bezweckt deren Risikobegrenzung. Unter CID (Client Identifying Data resp. Kundenidentifikationsdaten) verstehen wir gemäss dem FINMA Rundschreiben diejenigen Kundendaten, die Personendaten nach Art. 3 Bst. A DSG darstellen und es ermöglichen, die betroffenen Kunden zu identifizieren.

 

Welchen zusätzlichen Nutzen gibt es für die Kunden von ti&m damit?

Zum einem ist dies für die durch die FINMA regulierten Kunden eine Assurance eines unabhängigen Prüfers über die Kontrollen von ti&m mit Bezug auf die FINMA Rundschreiben. Abhängig von den internen Vorgaben kann der Bericht eine Prüfung durch den Kunden oder durch den Kunden beauftragen Dritten ersetzen. Dies reduziert auf Kundenseite Kosten und Aufwände.

 

Was waren die grössten Herausforderungen für Euch auf dem Weg dahin?

Ich würde die ti&m bezüglich den Hosting Dienstleistungen als sehr risikoaffin bezeichnen. Vor der eigentlichen Prüfung stand ein langwieriger, aber äusserst erfolgreicher Prozess in der Definition eines umfangreichen Informationssicherheitsmanagementsystems, einer wirksamen Sicherheitsorganisation, sicherer und auch verlässlicher Betriebsprozesse und natürlich auch einem hohen Mass an technischer Sicherheit über alle Stufen der Infrastruktur und der Applikationen. Da wir auch die Wirksamkeit geprüft haben wollten, bedingt dies nicht nur Dokumentationen, sondern auch das dokumentierte Leben der Kontrollen und Prozesse.

 

Das Hosting ist eine Erfolgsgeschichte für ti&m. Was sind die Erfolgsgeheimnisse?

Ich weiss nicht, ob ich diese verraten soll… Ich denke als IT-Unternehmen mit Background in der Beratung, Software-Entwicklung und als Schweizer Marktführer für Digitalisierungslösungen haben wir neben unserer hohen Infrastrukturkompetenz auch alle interdisziplinären Kompetenzen im Haus, um dem Kunden einen Service zu liefern. Hosting ist heute nicht nur noch Hardware, denn Hardware allein generiert keinen Mehrwert. Relevant sind die Lösungen, welche auf diesen Plattformen den Kunden unserer Kunden in hoher Qualität, Verlässlichkeit und Sicherheit zur Verfügung gestellt werden können. Zudem haben wir auch keine Legacy zu bewältigen.

 

Wie unterscheidet sich ti&m von anderen Anbietern in der Schweiz? 

Wir sind agil, dynamisch und garantieren eine kurze Time-to-Market. Als Full Service Provider decken wir alle Facetten von der Infrastruktur bis zum Application Management und der Weiterentwicklung der Lösungen ab. Da wir selbst Lösungen entwickeln, kennen wir die Technologien und Anforderungen für den Betrieb moderner Lösungen bestens.

 

Welche Kunden konntet Ihr bisher überzeugen?

Wir sind sehr stark in der Finanzindustrie verwurzelt. Wir dürfen für die Credit Suisse, CIC (Schweiz), die Basler Kantonalbank, die Bank Cler und weitere Kunden die Innovationslösungen betreiben. Auch betreiben wir in Partnerschaft mit MeaWallet eine PCI DSS Level 1 zertifizierte HCE- (Host Card Emulation) und Paymentinnovationsplattform, auf welcher wiederum mehrere Banken ihre Systeme angeschlossen haben.


Karsten Burger
Karsten Burger

Seit 2014 ist Karsten Burger Head Innovation Hosting bei ti&m. Seine IT-Karriere widmet er hauptsächlich den Themen Infrastruktur, Betrieb und Cloud.

Weitere Beiträge

cloud_bank_now_aws_blog
Der ideale Workload für die Cloud – Buildprozesse mit Spot-Instanzen

Eine der ersten Fragen, die sich im Cloud Kontext stellt, ist: Welche Workloads eignen sich für den ersten Schritt in die Cloud? Lesen Sie im Folgenden, weshalb Build- und Test-Prozesse für Software-Artefakte besonders geeignet sind und was es basierend auf den Erfahrungen aus unserem Projekt mit der BANK-now zu beachten gilt.

Mehr erfahren
digital-identity
Die digitale Identitätskarte

Self-Sovereign Identity // Schon jetzt tätigen wir Einkäufe oder beziehen Dienstleistungen mehr- heitlich online, weitere Bereiche wie das Gesundheitswesen werden ebenfalls immer stärker digitalisiert. Wird die Welt digitaler, so muss es auch unser Verständnis von Identität. Gemeinsam mit Lissi erprobt ti&m neue Lösungen für eine digitale Identität mit Selbstbestimmung für den Nutzer, die für verschiedene Ökosysteme angewandt werden kann.

Mehr erfahren
Why Large Companies Need Small Garages
Why Large Companies Need Small Garages for Their Digitization Initiatives

Many established companies face the challenge of digitization and possible disruption by innovative startups or new market entrants.

Mehr erfahren
Blog 1_Titelbild
AI ist gekommen um zu bleiben

Seit der Geburtsstunde des Computers hat der Mensch Programme entwickelt und perfektioniert. Fast immer mit dem Ziel effizienter zu werden und die Lebensqualität zu erhöhen. Die Informatik hat sich seither in viele Spezialgebiete aufgeteilt und jüngst ist ein neues Gebiet hinzugekommen: Die Künstliche Intelligenz oder kurz AI für das englische «artificial intelligence».

Mehr erfahren
Self-Sovereign 750x410
Self-Sovereign Identity in der Blockchain

Mehr erfahren