Regulierung

IAM Compliance - Gesetze und Vorschriften

Unternehmen werden immer stärker mit Vorschriften konfrontiert, die mit Hilfe von Identity & Access Management Lösungen erfüllt werden können. 

Wir helfen Ihnen, die für Sie relevanten Gesetze und Vorschriften in Bezug auf Identity & Access Management zu identifizieren und geeignete Massnahmen zu treffen, damit Sie die Einhaltung der Gesetze und Vorschriften sicherstellen können.

EU-DSGVO

EU-Datenschutz-Grundverordnung
Die Rolle von IAM
Nutzen
IT-gestützte Abläufe
EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung (DSGVO/GDPR) vereinheitlicht den Datenschutz personenbezogener Daten innerhalb der EU. In Konsequenz ist die lückenlose Datensicherheit und Transparenz in der Nutzung personenbezogener Daten einzuhalten. Auf die Organisationen und besonders die IT hat die DSGVO verschiedene Auswirkungen:

Auf die Organisationen und besonders die IT hat die DSGVO verschiedene Auswirkungen:

Haftung bei Datenpannen

  1. Der Verlust von schützenswerten Personendaten – ob als direkter Kundenpartner oder Auftragsverarbeiter – hat erhebliche Geldbußen zur Folge.

Marktortprinzip

  1. Der Ort der Leistungserbringung – also Ihr Sitz – ist irrelevant. Maßgeblich ist der Sitz der betroffenen Personen in der EU.

Datenschutz (Verlust)-Folgeabschätzungen

  1. Eine qualifizierende Inventarisierung der Daten und Verfahren sowie Folgeabschätzungen bei Verlust von Personendaten ist Pflicht.

Rechte der Betroffenen

  1. Betroffene Personen haben weit gehende Rechte, den Umgang mit ihren persönlichen Daten zu bestimmen: Recht auf Information, Zugriff, Berichtigung, Widerspruch, Übertragbarkeit und Löschung. Für die Verarbeitung sind zweckgebundene und ggf. befristete Einwilligungen notwendig.


Die Rolle von IAM

Identity & Access Management unterstützt in der Einhaltung der DSGVO überall dort wo:

  1. Ein Risiko-Inventar erstellt wird und Schutzniveaus eine Rolle spielen.
  2. Zugriff und Verarbeitung auf schützenswerte Daten gesteuert und belegt werden müssen.   
  3. Verarbeitungstätigkeiten geschützt und nachvollzogen werden müssen.
  4. Auftragsverarbeiter ihnen anvertraute Daten DSGVO-konform beherrschen und dies auch belegen müssen.
  5. Die Rechte des Kunden in der Interaktion mit ihm effizient und sicher gewahrt werden sollen.

Nutzen

Zugriff und Verarbeitung schützenswerter Personendaten steuern und belegen Schutzniveau und Risikoorientierung kosteneffizient operationalisieren Wettbewerbsfähigkeit als Auftragsverarbeiter sichern

Transparenz und konsistente Handhabung von Personendaten gegenüber dem Kunden sowie in der internen und weitervergebenen Verarbeitung

IT-gestützte Abläufe
IT-gestützte Abläufe ermöglichen eine effiziente Umsetzung von Informationssicherheit und Datenschutz

Ein effektives Risikomanagement ermöglicht bewusste Entscheidungen darüber, welche Unternehmensrisiken im Fokus stehen, welche Risiken akzeptiert werden können und welchen entgegengesteuert werden muss. Unabhängig der Herkunft der Risiken, erhalten Sie durch die gesamtheitliche Betrachtung die stetige Transparenz für Ihr Unternehmen.

Informationssicherheitsmanagement integriert unternehmerische Belange mit erforderlichen Schritten, um das wertvolle Vermögen vor Verlust, Manipulation oder Schaden zu bewahren.

Begleitet wird der workflowbasierte ISMS durch wesentliche und integrierte Teilprozesse des ISMS wie ein kennzahlenbasiertes Berichtswesen, Security Incident Management und weitere Abläufe die eine nachhaltige Steuerung ermöglichen.

Datenschutz ist eine für jedes Unternehmen und jede Behörde kontinuierliche Aufgabe.  Das Datenschutzmanagement muß in das Unternehmen integriert werden.

Durch eine intelligente Verknüpfung des Datenschutzmanagement mit dem Informationssicherheitsmanagement, können Ressourcen geschont und die Qualität deutlich gesteigert werden.

PSD2 - Payment Services Directive 2

Payment Services Directive 2
Ziele
Technische Regulierungsstandards
Neue Authentifizierungsverfahren
Payment Services Directive 2
Die Zahlungsdiensterichtlinie Payment Services Directive 2 ( PSD2) ist im Januar 2018 in Kraft getreten

Die erste EU-Richtlinie - Zahlungsdienste betreffend - stammte aus dem Jahr 2007: die PSD 2007/64/EC. Durch die zweite, grundlegend überarbeitete Payment Services Directive (PSD) hat die EU nun auch die onlinebasierten Zahlungsdienste abgedeckt. Die neue PSD2, die Richtlinie (EU) 2015/2366

, wurde durch die Europäische Kommission im Oktober 2015 beschlossen und ist im Januar 2018 in Kraft getreten.

Aus Sicht eines Payment Service Providers (PSP) sind zwei Aspekte von großer Bedeutung: Drittanbieter von Zahlungsdienstleistungen werden in Zukunft auf Kundenauthentifizierungsdaten der Bank zugreifen können und durch starke Kundenauthentifizierungsverfahren werden für den Kunden mehr Sicherheit und Komfort bei Onlinezahlungen geschaffen.

Ziele
Ziele der PSD2 für Payment-Dienstleister

Durch PSD2 werden elektronische Zahlungen für die Verbraucher sicherer und bequemer.

Die EU-Kommission hebt vier wichtige Änderungen hervor:

  1. Strengere Sicherheitsanforderungen für die Auslösung und Verarbeitung elektronischer Zahlungen und den Schutz der Finanzdaten der Verbraucher
  2. Öffnung des EU-Zahlungsverkehrsmarktes für sogenannte Zahlungsauslösedienstleister und Kontoinformationsdienstleister
  3. Stärkung der Verbraucherrechte in verschiedenen Bereichen, z.B. durch die Verringerung der Haftung für nicht autorisierte Zahlungsvorgänge und die Einführung eines bedingungslosen Erstattungsrechts bei Lastschriften in Euro
  4. Untersagung der Berechnung von Aufschlägen (etwa für das Recht, mit einer Karte zu zahlen) - unabhängig davon, ob Verbraucher das jeweilige Zahlungsinstrument in einem Geschäft oder online nutzen.

Gemäß Artikel 98 PSD2 obliegt es der Europäischen Bankenaufsichtsbehörde (EBA) in enger Zusammenarbeit mit der Europäischen Zentralbank (EZB), sogenannte Technische Regulierungsstandards für die Authentifizierung und die Kommunikation zu definieren. Die EBA hat diese Regulatory Technical Standards (RTS) am 23. Februar 2017 in einem Final Draft vorgelegt.

Technische Regulierungsstandards
Technische Regulierungsstandards der European Banking Authority (EBA)

Wie die Kommunikationsschnittstelle im Detail aussieht, regelt der Final Draft der RTS der EBA nicht. Die Richtlinie selbst verlangt technische Neutralität gegenüber möglichen Internet-Kommunikationsstandards. Einige formale Anforderungen sind dennoch beschrieben, etwa der Einsatz einer geeigneten Verschlüsselung beim Datenaustausch, möglichst kurze Kommunikationsvorgänge und eindeutige Referenzen für die ausgetauschten Daten.

Auch den 'dritten' Zahlungsdienstleistern, die nun erstmals auf Konto- bzw. Kundendaten der Bank zugreifen dürfen, obliegen besondere Pflichten. So müssen sie die Integrität und Vertraulichkeit der persönlichen Sicherheitsmerkmale und Authentifizierungscodes der Kunden gewährleisten, etwa indem sie sie ausschließlich in einer sicheren Umgebung gemäß ISO 27001 Standard für Informationsmanagement-Sicherheitssysteme verarbeiten.

Neue Authentifizierungsverfahren
Neue Authentifizierungsverfahren für Kunden: sicherer und komfortabler

Bei definierten Zahlungsverfahren werden neue Methoden zur Kundenauthentifizierung notwendig. Beim Mobile Payment ist z.B. eine SMS-TAN auf das Smartphone bald nicht mehr zulässig.

In Artikel 97 schreibt die PSD2 zwingend eine sogenannte starke Kundenauthentifizierung vor, wenn der Zahlende beispielsweise online auf sein Zahlungskonto zugreift oder einen elektronischen Zahlungsvorgang auslöst. Stark wird die Authentifizierung, wenn dabei wenigstens zwei von drei möglichen Kategorien herangezogen werden. Diese drei Authentifizierungskategorien sind:

  1. Wissen: etwas, das nur der Nutzer weiß (etwa ein Passwort)
  2. Besitz: etwas, das nur der Nutzer besitzt (etwa eine Chip-Karte)
  3. Inhärenz: etwas, das dem Nutzer persönlich bzw. körperlich zu eigen ist (etwa ein Fingerabdruck)

Die Forderung der PSD2 nach einer starken Kundenauthentifizierung ist dann erfüllt, wenn das Authentifizierungsverfahren zwei dieser drei voneinander unabhängigen Elemente kombiniert.

Möglich werden auch schnelle Methoden wie ein Iris-Scan oder eine Videoauthentifizierung per Smartphone. Die Kombinationsmöglichkeiten sind durch die PSD2 nicht begrenzt.

VAIT - Versicherungen

Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
Ziele
Darstellung
Module
Fokus
Anforderungen
Die Rolle von IAM
Nutzen
Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
BaFin verschärft die Anforderungen an Berechtigungsmanagement und IAM

Die zunehmende Automatisierung der Geschäftsprozesse im Versicherungswesen geht mit dem digitalen Wandel einher. Informationstechnik wird durch die Digitalisierung und die damit verbundene Digitalisierung der Geschäftsprozesse immer wichtiger, sodass auch IT-Governance und Informationssicherheit bei der ganzheitlichen Betrachtung aller Geschäftsprozesse immer relevanter werden.

Die VAIT bündelt die über sechzig Einzelanforderungen in acht Themenfeldern und lehnt sich in deren Strukturierung eng an die BAIT der Kreditinstitute an. Die VAIT stellt konkrete Anforderungen an die IT, da die übergeordnete Regulierung, v.a. die MaGo, im Vergleich zur MaRisk nur einen geringen Detaillierungsgrad zu IT-spezifischen Fragestellungen aufweist.

Die VAIT wurde vom Bafin im Juli 2018  per Rundschreiben publiziert.

Ziele

Darauf basierend können drei Ziele hervorgehoben werden:

  1. Definitionen einer flexiblen und praxisorientierten Anforderungsbasis für die Banken-IT
  2. Intensivierung des IT-Risikobewusstseins
  3. transparentere Darlegung der IT-Anforderungen
Darstellung

Die VAIT ist modular gestaltet. Die standardisierte Darstellung in Modulen ermöglicht es, zukünftige Änderungen flexibel darstellen zu können. Die VAIT ist dabei in acht Themenfelder über die drei Ebenen Governance, Steuerung und Operativ gegliedert.

Module

IT-Strategie

  1. Formulierung einer detaillierten und konkreten IT-Strategie, die u.a. Organisations- und IT-Risiko- Fragestellungen adressiert.

IT-Governance

  1. Mechanismen zur wirksamen Umsetzung der IT-Strategie durch eine Organisation, die frei von Interessenkonflikten gestaltet ist.

Informationsrisikomanagement

  1. Nutzung von Prozessen zur Erkennung und Steuerung von Risiken für die Schutzziele der Informationssicherheit.

Informationssicherheitsmanagement

  1. Etablierung eines Systems zur Herstellung und Aufrecht-erhaltung eines angestrebten Sicherheitsniveaus.

Benutzerberechtigungsmanagement

  1. Verfahren zur Einrichtung, Änderung und Entfernung von Berechtigungen unter Wahrung von Minimal- und Funktionstrennungsprinzip.

IT-Projekte und Anwendungsentwicklung

  1. Regelungen zur Bereitstellung von Änderungen an IT-Systemen, von der Anforderungsdefinition bis zur Produktivstellung (inkl. individuelle Datenverarbeitung).

IT-Betrieb (inkl. Datensicherung)

  1. Sicherstellung eines sicheren IT-Betriebs und kontrollierter Änderungen der IT-Systeme - unter Zuhilfenahme eines aktuellen Asset-Registers.

Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen

  1. Steuerung insbesondere der Risiken von IT-Auslagerungen und sonstigem Fremdbezug

Fokus

Hierbei liegt der Fokus auf dem IT-Risikobewusstsein in allen acht Themenfeldern und dass die acht Themenfelder partiell ebenen übergreifend signifikant sind und dass Themenfelder interferieren können.

Anforderungen

IT-Berechtigungskonzepte

  1. Bilden zukünftig die Grundlage für die Berechtigungsvergabe und beschreiben die Nutzungsbedingungen der IT-Berechtigungen ausgerichtet am Schutzbedarf des IT-Systems.
  2. Zuweisung von Accounts zu handelnden Personen
  3. Nicht-personalisierte IT-Berechtigungen und Accounts sind zukünftig zweifelsfrei einer handelnden Person zuzuweisen.

Genehmigungs- und Kontrollprozesse

  1. Prozesse stellen unter Einbeziehung der fachlich verantwortlichen Stelle sicher, dass die Einrichtung, Änderung, Deaktivierung und Löschung von IT-Berechtigungen gemäss der IT-Berechtigungskonzepte eingehalten werden.

Rezertifzierung

  1. Regelmässige Überprüfung der vergebenen IT-Berechtigungen hinsichtlich ihrer Notwendigkeit, sowie der damit ggf. verbundene Entzug.

Nachvollziehbarkeit und Dokumentation

  1. Gemäss Anforderungen der BAIT sind sämtliche Prozesse der Einrichtung, Änderung, Deaktivierung und Löschung von Berechtigungen in IT-Systemen nachvollziehbar und auswertbar zu dokumentieren.

Die Rolle von IAM

Identity & Accessmanagement adressiert die Anforderungen der BAIT in Bezug auf:

  1. Automatische Zuweisung von technischen Accounts an natürliche Personen
  2. Nachvollziehbare Genehmigungs- und Kontrollprozesse von Berechtigungen
  3. Einheitliches, unternehmensweites Geschäftsrollenmodell
  4. Regelmässige Rezertifizierung von Berechtigungen

Nutzen
  1. Zuweisung von technischen Accounts zu handelnden Personen
  2. Genehmigung- und Kontrollprozesse effizient umsetzen
  3. Umsetzung eines unternehmensweiten Geschäftsrollenmodells
  4. Regelmässige Rezertifizierungen von Berechtigungen

BAIT - Banken

Bankaufsichtliche Anforderungen an die IT (BAIT)
Ziele
Darstellung
Module
Fokus
Anforderungen
Die Rolle von IAM
Nutzen
Bankaufsichtliche Anforderungen an die IT (BAIT)
BaFin verschärft die Anforderungen an Berechtigungsmanagement und IAM

Die zunehmende Automatisierung der Geschäftsprozesse im Bankwesen geht mit dem digitalen Wandel einher. Informationstechnik wird durch die Digitalisierung und die damit verbundene Digitalisierung der Geschäftsprozesse immer wichtiger, sodass auch IT-Governance und Informationssicherheit bei der ganzheitlichen Betrachtung aller Geschäftsprozesse immer relevanter werden.

Im März 2017 kündigte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den kurzfristigen Beginn der Konsultation zu den "Bankaufsichtlichen Anforderungen an die IT" (BAIT) für Ende März 2017 an. Die öffentliche Konsultation ermöglichte eine praxisorientierte Ausgestaltung, die im Dialog mit den Marktteilnehmern kooperativ weiterentwickelt und als Rundschreiben Anfang November 2017 publiziert wurde.

Die BAIT präzisiert § 25a Absatz 1 Satz 3 Nr. 4 und 5 KWG und § 25b KWG. In § 25a Absatz 1 Satz 3 Nr. 4 und 5 KWG geht es um besondere organisatorische Pflichten in Bezug auf "eine angemessene personelle und technisch organisatorische Ausstattung des Instituts und die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme" (Quelle: KWG). In § 25b wird zudem die Auslagerung von Aktivitäten und Prozessen präzisiert. Zudem werden in der BAIT die IT-relevanten Inhalte der MaRisk konkretisiert.

Ziele

Darauf basierend können drei Ziele hervorgehoben werden:

  1. Definitionen einer flexiblen und praxisorientierten Anforderungsbasis für die Banken-IT
  2. Intensivierung des IT-Risikobewusstseins
  3. transparentere Darlegung der IT-Anforderungen
So wird die Transparenz unter anderem durch den kongruenten Aufbau von BAIT und MaRisk und die direkten Verweise der BAIT auf die MaRisk bestätigt.

Darstellung

Die BAIT ist modular gestaltet. Die standardisierte Darstellung in Modulen ermöglicht es, zukünftige Änderungen flexibel darstellen zu können. Die BAIT ist dabei in acht Themenfelder über die drei Ebenen Governance, Steuerung und Operativ gegliedert.

Module

IT-Strategie

  1. Formulierung einer detaillierten und konkreten IT-Strategie, die u.a. Organisations- und IT-Risiko- Fragestellungen adressiert.

IT-Governance

  1. Mechanismen zur wirksamen Umsetzung der IT-Strategie durch eine Organisation, die frei von Interessenkonflikten gestaltet ist.

Informationsrisikomanagement

  1. Nutzung von Prozessen zur Erkennung und Steuerung von Risiken für die Schutzziele der Informationssicherheit.

Informationssicherheitsmanagement

  1. Etablierung eines Systems zur Herstellung und Aufrecht-erhaltung eines angestrebten Sicherheitsniveaus.

Benutzerberechtigungsmanagement

  1. Verfahren zur Einrichtung, Änderung und Entfernung von Berechtigungen unter Wahrung von Minimal- und Funktionstrennungsprinzip.

IT-Projekte und Anwendungsentwicklung

  1. Regelungen zur Bereitstellung von Änderungen an IT-Systemen, von der Anforderungsdefinition bis zur Produktivstellung (inkl. individuelle Datenverarbeitung).

IT-Betrieb (inkl. Datensicherung)

  1. Sicherstellung eines sicheren IT-Betriebs und kontrollierter Änderungen der IT-Systeme - unter Zuhilfenahme eines aktuellen Asset-Registers.

Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen

  1. Steuerung insbesondere der Risiken von IT-Auslagerungen und sonstigem Fremdbezug

Fokus

Hierbei liegt der Fokus auf dem IT-Risikobewusstsein in allen acht Themenfeldern und dass die acht Themenfelder partiell ebenen übergreifend signifikant sind und dass Themenfelder interferieren können. 

Die Anforderungen sind mit Publikation der BAIT wirksam. Dies ist damit begründet, dass bereits bekannte Anforderungen aus dem KWG und aus der MaRisk präzisierter und konkretisierter dargelegt sind.

Anforderungen

Die Anforderungen sind mit Publikation der BAIT wirksam. Dies ist damit begründet, dass bereits bekannte Anforderungen aus dem KWG und aus der MaRisk präzisierter und konkretisierter dargelegt sind.

IT-Berechtigungskonzepte

  1. Bilden zukünftig die Grundlage für die Berechtigungsvergabe und beschreiben die Nutzungsbedingungen der IT-Berechtigungen ausgerichtet am Schutzbedarf des IT-Systems.
  2. Zuweisung von Accounts zu handelnden Personen
  3. Nicht-personalisierte IT-Berechtigungen und Accounts sind zukünftig zweifelsfrei einer handelnden Person zuzuweisen.

Genehmigungs- und Kontrollprozesse

  1. Prozesse stellen unter Einbeziehung der fachlich verantwortlichen Stelle sicher, dass die Einrichtung, Änderung, Deaktivierung und Löschung von IT-Berechtigungen gemäss der IT-Berechtigungskonzepte eingehalten werden.

Rezertifzierung

  1. Regelmässige Überprüfung der vergebenen IT-Berechtigungen hinsichtlich ihrer Notwendigkeit, sowie der damit ggf. verbundene Entzug.

Nachvollziehbarkeit und Dokumentation

  1. Gemäss Anforderungen der BAIT sind sämtliche Prozesse der Einrichtung, Änderung, Deaktivierung und Löschung von Berechtigungen in IT-Systemen nachvollziehbar und auswertbar zu dokumentieren.

Die Rolle von IAM

Identity & Accessmanagement adressiert die Anforderungen der BAIT in Bezug auf:

  1. Automatische Zuweisung von technischen Accounts an natürliche Personen
  2. Nachvollziehbare Genehmigungs- und Kontrollprozesse von Berechtigungen
  3. Einheitliches, unternehmensweites Geschäftsrollenmodell
  4. Regelmässige Rezertifizierung von Berechtigungen

Nutzen
  1. Zuweisung von technischen Accounts zu handelnden Personen
  2. Genehmigung- und Kontrollprozesse effizient umsetzen
  3. Umsetzung eines unternehmensweiten Geschäftsrollenmodells
  4. Regelmässige Rezertifizierungen von Berechtigungen

Diese Webseite verwendet Cookies. Durch die Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Datenschutzinformationen