CONSULTING – FINANCE ADVISORY Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSIn) Die Mindestanforderungen an den Zahlungsverkehr im Internet werden EU-weit zunehmend verschärft und sind für alle Anbieter von Geschäften im Massenzahlungsverkehr verpflichtend. KPMG begleitet Sie bei der Umsetzung der neuen Vorgaben. Die Herausforderung Die BaFin hat mit Rundschreiben vom 5. Mai dieses Jahres die in Deutschland geltenden Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSIn) bekannt gegeben. Sie sind innerhalb von nur sechs Monaten umzusetzen. Da nach Ablauf dieser Frist bei nicht erfolgter Umsetzung aufsichtsrechtliche Sanktionen zu erwarten sind, ist eine sofortige Befassung mit den Anforderungen und Pflichten für das eigene Unternehmen dringend angeraten, auch hinsichtlich der Budget- und der IT-Release-Planungen. Die MaSIn stellen neue Vorgaben für die Governance, das Risikomanagement sowie die Überwachung, Überprüfung und Dokumentation von Internetzahlungsvorgängen dar. Sie sollen der Bekämpfung von Betrug im Zahlungsverkehr dienen und das Vertrauen in Zahlungen über das Internet stärken. Die MaSIn gehen über die Empfehlung des SecurePay-Forums zu solchen Zahlungen hinaus, berücksichtigen entsprechende EZB-Empfehlungen und EBA-Leitlinien und nehmen dabei Regelungen der überarbeiteten Zahlungsdiensterichtlinie (PSD2) vorweg, die voraussichtlich erst Mitte 2017 ihre Wirkung entfalten wird. Eine Nichtanwendung der Leitlinien wäre von Seiten der BaFin gegenüber der EBA zu begründen, daraus ergibt sich für Zahlungsdienstleister eine zwingende Umsetzung. Die wichtigsten regulatorischen Anforderungen sind: • interner Katalog von Maßnahmen zur Sicherheit von Internetzahlungsdiensten, die zu dokumentieren, umzusetzen und regelmäßig von Führungskräften zu kontrollieren sind, beispielsweise in Bezug auf Prozessstrukturen, Dokumentationen und Berichtslinien • im Rahmen des Risikomanagements Identifikation, Analyse und Protokollierung von Risiken, aber auch Vorgaben für den Umgang mit sensiblen Daten • Registrierung, Beobachtung und Weiterverfolgung von IT-Sicherheitsvorfällen und erhöhte Sicherheitsmaß nahmen zur Risikovermeidung sowie Überprüfung der betreffenden Systeme • Bereitstellung von Hard- und Software für Kunden für eine sichere und vertrauenswürdige Umgebung, effiziente und sichere Prozesse für zahlungsbezogene Software und personalisierte Hardware für die Anmeldung • Identifizierung und starke Authentifizierung des jeweiligen Kunden anhand von mindestens zwei Validierungsmerkmalen • Schutz vor Manipulationen, zum Beispiel Sessions- und Transaktionsmonitoring, und Schutz sensibler Zahlungsdaten vor unerlaubtem Zugriff, Modifikation oder Diebstahl • Sensibilisierung und Schulung von Kunden im Hinblick auf Sicherheitsrisiken; Bereitstellung eines sicheren Kommunikationskanals für den Kundenzugang zu Zahlungsinformationen; Festlegung von Limiten für Transaktionen Unsere Leistung Bei der Analyse der Auswirkungen und bei der Umsetzung der MaSIn müssen die komplexen Zusammenhänge und Wechselwirkungen mit anderen Richtlinien und Regulierungsvorhaben berücksichtigt werden. Durch rechtzeitiges Erkennen von Schnittstellen zu anderen Regulierungs themen können Synergiepotenziale gehoben werden. KPMG begleitet die Umsetzung der regulatorischen Anforderungen mit folgenden Maßnahmen: Definition der Auswirkungen der MaSIn für Ihr Institut • Analyse der Regularien in Bezug auf Relevanz für Ihre Geschäftsfelder, Prozesse und Systeme • Erhebung des Ist-Zustands der elektronischen Zahlungsund Kartenzahlungsmethoden Analyse des Handlungsbedarfs Begleitung der Umsetzung in Prozessen und Systemen • Unterstützung durch Prüfung von Entwürfen und Gestaltung von Prozessen • Prozessbeschreibungen (Handbücher, Anweisungen, Richtlinien und Dienstleistungsvereinbarungen) Bestens für Sie aufgestellt Unsere Experten verfügen über exzellentes operatives und juristisch-regulatorisches* Fachwissen. Ihr Experten wissen wird durch zahlreiche ähnlich gelagerte Projekte und Kunden-Workshops ständig erweitert. Unser Know-how: • dezidierte Kenntnisse von Umsetzungsmaßnahmen aus vergleichbaren Projekten • fundiertes Verständnis der den Zahlungsverkehr betreffenden Regulatorik • breiter Erfahrungsschatz zu möglichen Herausforderungen für Banken und andere Zahlungsdienstleister, die sich bei derartigen Projekten in der Umsetzung ergeben • Erfahrung aus verschiedenen Referenzprojekten zur situationsgerechten Einschätzung des unmittelbaren Aufwands bei der Umsetzung Für weitere Informationen und bei Fragen stehen wir Ihnen stets gern zur Verfügung. Sprechen Sie uns an. • Review und Analyse des Deltas zwischen aktuellem und erforderlichem Umsetzungsstand • Qualitätssicherung der abgeleiteten Handlungsfelder zur vollständigen und fristgerechten Umsetzung der Vorschriften * Die Rechtsdienstleistungen werden von der KPMG Rechtsanwaltsgesellschaft mbH erbracht. Kontakt KPMG AG Wirtschaftsprüfungsgesellschaft KPMG Rechtsanwaltsgesellschaft mbH Sven Korschinowski Partner, Consulting, Finance Advisory T +49 69 9587-4235 [email protected] Dr. Hagen Tiller Senior Manager T +49 69 951195-682 [email protected] www.kpmg.de www.kpmg-law.de Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. © 2015 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfi rmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG, das Logo und „cutting through complexity“ sind eingetragene Markenzeichen von KPMG International.
© Copyright 2024 ExpyDoc
