Online-Business boomt. Der Durchbruch des bequemen Einkaufens vom Sofa aus gelang unter anderem auch dadurch, dass Kreditkartenzahlungen immer sicherer wurden. Einen Beitrag dazu leistete der «Payment Card Industry Security Standards Council», der einen ganzen Katalog an Sicherheitsanforderungen zum Schutz von Kreditkartendaten definierte und dessen PCI-DSS (Payment Card Industry Data Security Standard) im 2006 lanciert wurde. Mit der Zunahme an Bedrohungsszenarien wird auch der Schutz der Kreditkartendaten immer weiter ausgebaut, so dass der Standard mittlerweile bei Version 4 angelangt ist.
Im Vergleich zur Vorgängerversion 3.2.1 geht 4.0 mit noch weiter erhöhten Sicherheitsmassnahmen, etwa einer Ausweitung der Authentifizierung, verbesserten Anleitungen für die Implementation von Sicherheitsvorkehrungen und deren Testing sowie erweiterten Compliance-Nachweisen einher.
PCI-DSS ist ein weltweiter Standard, der für alle Unternehmen gilt, die Karteninhaberdaten speichern, verarbeiten und übermitteln.
Community-Projekt der Inventx für das neue Release – mit vielen Vorteilen für die Bankkunden
Für die Umstellung auf die neue Version hat Inventx ein Community-Projekt aufgesetzt, mit dem Release 4.0 aufs Mal für alle Finnova-Banken eingespielt werden konnte. Inventx hat die nötigen technischen Implementationen hierfür aufgegleist: In dem Moment, wo Finnova die Option freigegeben und die Scripts für das neue Release geliefert hat, wurden die nötigen Anpassungen in den Datenbanken vollzogen und die «Drehbücher» abgearbeitet.
Die Banken, die ihr Finnova-Kernbankensystem bei Inventx betreiben lassen, profitieren auf mehreren Ebenen:
- Ihr Applikations-Management-Dienstleister ist stets up-to-date im Wissen um neue Regelwerke, Releases und Anforderungen und plant entsprechend in und mit der Community, wie diese am effizientesten und termingerecht umgesetzt werden können. Im vorliegenden Fall wurde das Consulting-Team rechtzeitig vom Finnova Core Banking Operation Team aufgeboten, um das Projekt zu initiieren, so dass alle nötigen Deadlines eingehalten werden können.
- Der Dienstleister verfügt über die Expertise und die nötigen Ressourcen für die technischen Anpassungen, was eine einzelne Bank u. U. im laufenden Tagesgeschäft nicht so einfach «stemmen» kann.
- Auch der Koordinationsaufwand während der Umsetzung ist dank eines solchen Community-Projekts überschaubarer, als wenn jede Bank für sich die Anpassungen vornimmt. Abstimmen müssen sich die Teams, die das Kernbankensystem operativ betreiben, etwa mit den Datenbank-Administratorinnen und Administratoren oder den Application-Management-Teams für Kunden- und Stammdaten sowie für Credit Payments. Eine Inhouse-Koordination macht die Wege kürzer und die Schnittstellen transparenter.
- Last but not least reduziert ein Projekt, das in der Community eines Application-Managing-Partners aufgesetzt wird, die Kosten für alle Beteiligten. Der Gesamtaufwand kann auf mehrere Schultern verteilt und so herunterskaliert werden.
In dem Fall, wo Inventx die Gesamtprojektleitung übernimmt, werden zudem auch weitergehende Abhängigkeiten überprüft und die erforderlichen technischen Anpassungen vollzogen: Wo sind noch Umsysteme betroffen, in denen Kartendaten vorhanden sein können? Wo werden ggfs. noch unstrukturierte Daten vorgehalten? Was bedeutet das für diese Umsysteme in Sachen PCI-DSS und wie werden sie in den neuen Standard eingebunden?
In enger Zusammenarbeit mit Finnova sowie der Kunden-Community konnten alle Banken fristgerecht auf die PCI-DSS-Version 4.0 umgestellt werden, so dass sie gegenüber dem Regulator ihre Compliance nachweisen können.