Während unserer Compliance Audits stellen wir sicher, dass die digitalen Lösungen unserer Kunden den gesetzlichen Vorschriften und Informationssicherheitsstandards als auch den Best Practices entsprechen. Wir können sowohl bestehende Systeme als auch digitale Lösungen in der Entwicklung prüfen.

Die Datenschutz-Grundverordnung der Europäischen Union (DS-GVO / GDPR) regelt die Verarbeitung personenbezogener Daten von Personen in der EU. Die Nichteinhaltung führt zu erheblichen Geldstrafen von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes.

Diese Regelung gilt nicht nur für europäische, sondern auch für ausländische Unternehmen, die in Europa Handel treiben oder Zugang zu den persönlichen Daten europäischer Bürger haben.

Mit unseren DS-GVO (GDPR) Compliance Audits stellen wir nicht nur sicher, dass die digitalen Lösungen und Prozesse unserer Kunden den Vorschriften entsprechen, sondern bieten auch strategische Verbesserungen in Richtung „privacy by design“.

Um die DS-GVO (GDPR) einzuhalten müssen Unternehmen, die über personenbezogene Daten verfügen, die Datensicherheit und Systemstabilität bei der Verarbeitung und Speicherung personenbezogener Daten durch regelmäßige Systemtests überprüfen. Wir helfen unseren Kunden bei der vollständigen Integration der DS-GVO (GDPR) Anforderungen in ihre digitale Systeme und bei der Behandlung von regulatorischen Fragen wie:

  • Verarbeitet und speichert das System persönliche Daten sicher und schützt sie vor unrechtmäßiger Verarbeitung, versehentlichem Verlust und Zerstörung?
  • Ist „privacy by design“ standardmäßig in die Lösung eingebettet?
  • Kann die digitale Lösung persönliche Daten minimieren, pseudonymisieren und verschlüsseln, wenn es notwendig ist?
  • Sind die Daten nur für Zugangsberechtigte einsehbar?
  • Kann das System bei physischen oder technischen Zwischenfällen wiederhergestellt werden?
  • Unterstützt die Lösung dokumentierte Datenvernichtungsprozesse?

Durch unsere jahrelange Erfahrung in der praktischen Umsetzung sicherer Datenverarbeitung wissen wir, dass Informationssicherheit nicht an den Grenzen Ihrer IT-Systeme endet, sondern dass Offline-Prozesse und die menschliche Komponente eine der Hauptursachen für Datenverluste und Datenschutzverletzungen sind. DS-GVO (GDPR) und ähnliche Vorschriften in anderen Gerichtsbarkeiten verlangen daher, dass für jede nicht-digitale Verarbeitung von persönlichen Daten die gleichen oder strengere Standards angewandt werden.

Sensible, persönliche Daten werden oft von verschiedenen Abteilungen und ihren IT-Systemen innerhalb eines Unternehmens gesammelt und verarbeitet, bspw. Vertrieb und Kundendienst, Marketing und Analytik sowie Steuer- oder Buchhaltungsabteilungen. Wir arbeiten regelmäßig mit unseren Kunden zusammen, um Sicherheitsstandards in allen ihren Geschäftsprozessen, die mit persönlichen Daten interagieren oder Zugang zu diesen haben, festzulegen und aufrechtzuerhalten.

Durch unseren umfassenden Ansatz können unsere Kunden leicht eine unternehmensweite Einhaltung der DS-GVO (GDPR) erreichen.

Falls erforderlich arbeiten wir dafür eng mit der Rechtsabteilung bzw. einem externen Rechtsberater unserer Kunden oder mit unserem eigenen Netzwerk von spezialisierten Rechtsberatern zusammen.

Die zweite Zahlungsdiensterichtlinie (PSD2) wurde 2019 von der Europäischen Kommission eingeführt und regelt die neuen Anforderungen für die Authentifizierung von Online-Zahlungen, die als starke Kundenauthentifizierung (Strong Customer Authentication, SCA) bekannt sind.

Starke Kundenauthentifizierung gilt für alle Online-Zahlungen von Kunden an Unternehmen innerhalb des Europäischen Wirtschaftsraums (EWR). Obwohl sich die Durchsetzung der Verordnung seit ihrer Einführung verzögert hat, ist es wahrscheinlich, dass die Banken Ende 2020 beginnen werden, Zahlungen, die nicht den SCA-Anforderungen entsprechen, abzulehnen.

SCA verlangt von europäischen Unternehmen, die Online-Verkäufe tätigen, dass sie ihre Zahlungsströme mit einer zusätzlichen Authentifizierung - einem Passwort oder einer PIN, einer Autorisierung via Handy oder Hardware-Token, einem Fingerabdruck oder einer Gesichtserkennung - absichern.

Wir analysieren für unsere Kunden inwiefern ihr Geschäfte unter die neue PSD2 SCA-Verordnung fallen. Sollte dies der Fall sein, stellen wir sicher, dass die Kaufabwicklung die SCA-Kriterien erfüllt und somit Zahlungen künftig nicht abgelehnt werden. Dabei können wir unsere Kunden sowohl mit eigenen Zahlungssystemen als mit Zahlungssystemen von Drittanbietern unterstützen.

Für die datengesteuerte Wirtschaft von heute ist Informationssicherheit eine Unternehmensverantwortung und nicht nur die Angelegenheit der IT-Abteilung. Mit unseren Informationssicherheitsprüfungen helfen wir den leitenden IT-Stakeholdern und der Geschäftsführung unserer Kunden, die richtigen Entscheidungen über die Sicherheit ihrer Datenspeicherung, -verarbeitung und digitalen Systeme zu treffen.

Unser ganzheitlicher Ansatz zur Informationssicherheit stellt sicher, dass unsere Kunden die beste Auswahl an Prozessen, Produkten und Dienstleistungen einsetzen, um eine sichere und belastbare Grundlage für ihr Business zu schaffen.

Alle unsere Prüfungen der Informationssicherheit sind auf die Bedürfnisse, Umstände und Märkte unserer Kunden zugeschnitten. Sie können sich auf die folgenden Bereiche beziehen:

  • Einhaltung der geltenden Gesetzgebung
  • System- und prozessübergreifende Datensicherheitstests
  • Schaffung von Best-Practice-Rahmenbedingungen für Informationssicherheitssysteme und -verfahren
  • Gewährleistung der Betriebssicherheit und Geschäftskontinuität durch sichere und zugängliche Datenspeicherung und -verwaltung
  • Aufrechterhaltung des Wettbewerbsgeheimnisses, um den Zugang der Wettbewerber zu wertvollen Informationen zu beschränken
  • Sichere Anwendungs- und Produktprüfung
  • Sichere Vernichtung von vertraulichen Daten
  • Sensibilisierung aller beteiligten Stakeholder und Systemnutzern für Informationssicherheit