Project highlights
- Einhaltung der weltweit akzeptierten Zahlungsregulierung
- Sichere Benutzerdaten bei Geldüberweisungen
- Umsetzung aller erforderlichen Sicherheitsprotokolle
- Branche:
- FinTech, Zahlungsabwicklung
- Hauptsitz:
- UK
- Markt:
- Global
- Teamgröße:
- 65 Mitglieder
- Zusammenarbeit:
- seit 2015
Über den Kunden
Unser Kunde ist ein preisgekrönter B2B-Software-Anbieter, der innovative Zahlungslösungen für Top-Adressen in FinTech und anderen vernetzten Branchen anbietet. Das Produktportfolio umfasst eWallets, einen Content Aggregator, eine Lösung der Zahlungsabwicklung sowie iGaming Management und Multibrand Affiliate-Managementlösungen.
Unser Kunde kam mit einer Herausforderung
Unser Kunde hat seinen Hauptsitz in London und verfügt bereits über sechs Entwicklungszentren in Europa und Asien. Das Unternehmen konnte sich jedoch nicht mehr ausschließlich auf eigene Entwicklungszentren verlassen, da es an technischem Talent und Skalierbarkeit mangelt. Sie suchten nach einem Partner, der eine flexible Zusammenarbeit, Zugang zu einem breiten Markt an Tech-Talenten und eine schnelle Besetzung von Projekten bieten konnte. Im Jahr 2015 unterzeichneten sie einen Fünf-Jahres-Vertrag mit Intellias zur Entwicklung von einer benutzerdefinierten B2B-Zahlungsverarbeitungsplattform mit umfassenden Funktionen für Risikomanagement und Betrugsprävention.
Der schwierigste Teil des Projekts war die Einhaltung der Datensicherheitsstandards der Zahlungskartenindustrie (PCI DSS), um Zahlungen von Kunden zu erhalten. Um Kreditkartenzahlungen durchführen zu können, musste das Unternehmen ein PCI DSS-Audit bestehen und die PCI DSS-Zertifizierung erhalten. Um dies zu erreichen, brauchten sie einen starken Sicherheitsexperten in ihrem Entwicklerteam, der den Schutz von Informationen auf hohem Niveau sicherstellt und den Einhaltungsprozess kontrolliert.
Unsere Lösung für die Einhaltung von PCI DSS
Unser Kunde benötigte einen speziellen Experten mit Erfahrung in der Sicherheitszertifizierung. Intellias bot einen Sicherheitsbeauftragten, der bei der Organisation aller Auditverfahren behilflich war und nach erfolgreichem Abschluss des Audits zum internen Chief Information Security Officer wurde. Um unseren Kunden bei der Erfüllung der PCI DSS-Anforderungen zu helfen, haben wir Folgendes getan:
- Übertragung der Verantwortung für den Einhaltungsprozess an unseren Sicherheitsexperten mit entsprechender Erfahrung in der Koordination von Sicherheitsaktivitäten
- Umsetzung der erforderlichen Sicherheitsmerkmale in die Architektur der Lösung
- Durchführung einer eingehenden Risikobewertung zur Definition potenzieller Sicherheitslücken
Wir konzentrierten uns auf die Überwachung des gesamten Systems, um dessen Sicherheitsschwachstellen zu überprüfen. Nachdem wir diese Schwachstellen entdeckt hatten, mussten wir schnell reagieren und Lösungen finden. Die Entwicklung von Leistungskennzahlen zur Messung von Erfolg und Misserfolg im Einhaltungsprozess war entscheidend für die Umsetzung aller notwendigen Anforderungen. Wir erstellten die gesamte Dokumentation für die PCI DSS-Zertifizierung von Grund auf neu, um für das Audit bereit zu sein und vor allem, um im Anschluss eine kontinuierliche Einhaltung zu gewährleisten.
Die von unseren Experten erstellte Dokumentation über das Unternehmen und die Dienstleistungen unseres Kunden enthielt:
- Antivirenrichtlinie
- Richtlinie für Daten der Karteninhaber
- Richtlinie für Firewall und Router
- Informationssicherheitspolitik
- Kennwortrichtlinie
- Physische Sicherheitspolitik
- Richtlinie zur Systemkonfiguration
- Richtlinie zur Systemüberwachung und Protokollierung
- Verfahren zum Testen von Systemen und Prozessen
- Richtlinie zur Verwaltung von Vorfällen in der Informationssicherheit
- Richtlinie zur Inventarisierung und Besitz von Vermögenswerten
- Richtlinie für Anwendungs- und Systementwicklungssoftware
- Richtlinie zur Verwaltung von Dienstleistern
- Richtlinie für Zutrittskontrolle
- Programm für Informationssicherheitsbewusstsein
- Grundsatzerklärung für Informationssicherheitsaufgaben
- Vorlage für individuelle Nutzervereinbarung
- Richtlinie zur Datenklassifizierung
- Datenschutzerklärung
- Richtlinie zum Datenmanagement
Gemeinsam erzielten wir großartige Ergebnisse und die Einhaltung der PCI DSS
Nach erfolgreichem Abschluss des Audits bereiteten wir den Kunden täglich auf die Einhaltung der PCI DSS-Standards vor. Dazu wechselte unser Sicherheitsexperte als hauptberuflicher CISO zum hausinternen Team des Kunden, um alle Sicherheitsaktivitäten zu steuern.
Dank eines schnellen Einhaltungsprozesses brachte unser Kunde eine Lösung auf den Markt, die alle Industriestandards erfüllt und Multi-Acquiring, eWallets, Online-Gutscheine, Instant Banking und Banküberweisungen mit über 100 lokalisierten Zahlungsmöglichkeiten bietet, die Händlern weltweit über eine einzige Integration zugänglich sind.
Unsere sichere und PCI DSS-konforme Lösung bietet folgende Vorteile für Unternehmen:
- Echtzeit-Betrugsmanagement
- Kundenprofilerstellung und -verifizierung
- Unabhängige Auditverifizierung
- Erweiterte Back-Office-Lösungen
- DDoS-Minderung
- Eine 13 Terabyte große Datenbank
- Geschäftsanalytikberichte in Echtzeit
- Tokenisierung von Karteninhaberdaten (CD) und sicherer CD-Speichertresor
- Anpassbare Benutzeroberfläche für PCI-konforme CD-Eingabe und -Übertragung
- Zahlungs-API für Drittanbieter-Integrationen