Kategorie: Regulatorik

Bleiben Sie auf dem Laufenden - der Regulatorik RSS-Feed

Aufbau und Nutzen eines Datenschutzmanagementsystems

Mit der Datenschutzgrundverordnung (DSGVO) sind umfassende Anforderungen rund um die Verarbeitung personenbezogener Daten definiert worden. Verantwortlich fĂŒr die Umsetzung eines angemessenen Datenschutzniveaus ist die Unternehmensleitung und nicht – wie mancherorts auch heute noch erwartet – der Datenschutzbeauftragte. Letzter hat im Sinne der DSGVO neben der Beratung der Unternehmensleitung u.a. die Überwachung der eingerichteten Maßnahmen zur Einhaltung der DSGVO als Aufgabe.

Obwohl die Datenschutzgrundverordnung den Aufbau eines strukturierten Datenschutzmanagementsystems (DSMS) u.a. zur ErfĂŒllung der Rechenschaftspflicht nahelegt, sind die konkreten Anforderungen an die Ausgestaltung eines solchen DSMS vom Gesetzgeber und den Aufsichtsbehörden bisher nicht weiter spezifiziert. Trotzdem ist der Aufbau eines DSMS ein lohnendes Investment, da gem. DSGVO die vom Unternehmen ergriffenen Maßnahmen bei der Sanktionierung angerechnet werden und somit ein wirksames Datenschutzmanagement neben Reputationsrisiken auch Bußgeldrisiken sowie die Eintrittswahrscheinlichkeit fĂŒr Datenschutzverletzungen reduzieren kann.

Balance zwischen FlexibilitĂ€t und OrdnungsmĂ€ĂŸigkeit im Umgang mit IDV

Umgang mit individueller Datenverarbeitung (IDV) – Der Hintergrund

Die klassische IT-Landschaft der Kredit- und Finanzdienstleistungsinstitute ist durch standardisierte Kernanwendungen bestimmt. Zur UnterstĂŒtzung der ProzessablĂ€ufe in den Fachbereichen werden darĂŒber hinaus unterschiedliche IDV-Anwendungen (z.B. auf der Basis von MS-Office-Anwendungen) eingesetzt. Diese Anwendungen beinhalten teilweise umfangreiche FunktionalitĂ€ten und werden von den Fachbereichen selbststĂ€ndig entwickelt und betrieben.

Der Einsatz von IDV wird reguliert und muss die regulatorischen Mindestanforderungen zur IntegritĂ€t, VerfĂŒgbarkeit, AuthentizitĂ€t sowie Vertraulichkeit erfĂŒllen.

IDW veröffentlicht neue PrĂŒfungshinweise

In der Mai und Juni Ausgabe seiner Mitgliederzeitschrift hat das Institut der WirtschaftsprĂŒfer (IDW) je einen PrĂŒfungshinweis veröffentlicht, welche den PrĂŒfungsstandard IDW PS 860 konkretisieren. Der PrĂŒfungsstandard regelt die GrundsĂ€tze und Vorgehensweisen nach denen IT-PrĂŒfungen außerhalb der AbschlussprĂŒfung durchzufĂŒhren sind. Er korrespondiert dabei mit dem internationalen „International Standard on Assurance Engagements (ISAE) 3000 (Revised)“.

Covid-19-Update: Anforderungen des SWIFT Customer Security Programme (CSP) in 2020

Covid-19-Update

Aufgrund der Covid-19 Pandemie hat SWIFT die ZeitplĂ€ne fĂŒr die Attestierung des Customer Security Controls Framework (CSCF) ĂŒberarbeitet. FĂŒr 2020 ist eine Selbstzertifizierung in Bezug auf das SWIFT CSCF in der Version v2019 fĂŒr alle SWIFT-Nutzer ausreichend, SWIFT empfiehlt jedoch aufgrund der Klarstellungen zu den Kontrollen die Version v2020 zu nutzen.

Das von SWIFT gemĂ€ĂŸ “Independent Assessment Framework” vorgeschriebene unabhĂ€ngige interne oder externe Assessment (“Community Standard Assessment”) verschiebt sich in das Jahr 2021 und wird auf Basis der Kontrollen des SWIFT CSCF in der Version v2021 durchzufĂŒhren sein. Insofern empfiehlt sich dennoch eine frĂŒhzeitige Auseinandersetzung mit den zugehörigen Kontrollen (bspw. mittels Health Check/ Gap Analyse), um fĂŒr das unabhĂ€ngige Assessment gewappnet zu sein.

DarĂŒber hinaus regt SWIFT seine Nutzer nach Möglichkeit dazu an, bereits im aktuellen Jahr 2020 ein unabhĂ€ngiges Assessment durchzufĂŒhren.

Gerne unterstĂŒtzen wir mit einem Health Check zur Vorbereitung auf entsprechende Assessments, oder natĂŒrlich auch bei der Attestierung der SWIFT CSCF Kontrollen mit unserem etablierten Verfahren auf Basis von ISAE-Standards.

Die PSD 2 Richtlinie und ihre Anforderungen

Mit der Verabschiedung der zweiten Zahlungsdiensterichtlinie (PSD 2) ist eine Art „Grundgesetz“ fĂŒr den EU-Zahlungsverkehrsmarkt in Kraft getreten. ErgĂ€nzt um diverse delegierte Rechtsverordnungen durch 2nd-Level (RTS/ITS) und 3rd-Level Dokumente (Guidelines) sind vielfĂ€ltige Anforderungen definiert worden. Die neuen Anforderungen erweitern u.a. den Zahlungsdienstebegriff sowie den Anwendungsbereich und haben Auswirkungen auf bestehende Prozesse, wie die VorfallĂŒberwachung, -meldung oder operative Sicherheitsmaßnahmen. Die Anforderungen bedingen ebenso die Gestaltung neuer Prozesse, wie die Nutzung starker Kundenauthentifizierung bei bestimmten Transaktionen oder die Bereitstellung des Kontozugangs fĂŒr Dritte nach Kundeneinwilligung.

/* */