Kunden und Investoren erwarten von einer Finanzdienstleisterin, dass sie Zahlungs- und Personendaten jederzeit vollumfänglich schützt. Als eine der führenden Finanzinstitutionen der Schweiz mit rund 2,6 Millionen Privat- und Geschäftskunden nimmt auch PostFinance diese Aufgabe sehr ernst. Bereits seit drei Jahren unterstützen wir PostFinance mit regelmässigen Penetration Tests für alle PCI-relevanten Systeme und Applikationen. Und das nicht nur bei der Durchführung, sondern auch bei der vor- und nachgelagerten Arbeit. Mit Hilfe unserer Experten gewährleistet PostFinance jederzeit eine hohe Sicherheit und übertrifft die Anforderungen des PCI-Standards.

Was der PCI-Standard ist, wer ihn braucht –
und wie er vor Strafzahlungen in Millionenhöhe bewahren kann

PCI DSS (Payment Card Industry Data Security Standard) ist ein Sicherheitsstandard für Kreditkartendaten. Die darin festgehaltenen Anforderungen und Kontrollen sind bindend für alle, die Zahlungsdaten verarbeiten oder speichern. Er soll vor betrügerischen Attacken, Kartenmissbrauch und Diebstahl schützen. Wer keine PCI-Zertifizierung hat, riskiert Strafgebühren, Einschränkungen oder die Erlaubnis Kreditkartenzahlung zu akzeptieren. Zur Erlangung einer erfolgreichen Zertifizierung muss in mehreren Kategorien nachgewiesen werden, dass Kartendaten sicher verarbeitet und aufbewahrt werden können, sowie diese Sicherheit kontinuierlich geprüft und allfällige Verstösse erkannt werden können.

So unterstützen wir PostFinance bei der PCI-Zertifizierung

Vorbereitung der Penetration Tests

Ein Penetration Test beginnt bereits bei der Entscheidung, was geprüft werden soll beziehungsweise muss. In einer agilen Systemlandschaft ist es nicht immer einfach, aus den unzähligen Systemen und Applikationen das passende nächste Prüfziel und die dafür geeignetste Prüfart auszuwählen. Deshalb unterstützen wir die internen Sicherheitsspezialisten von PostFinance mit unserer Erfahrung aus hunderten durchgeführter Penetration Tests. Zusammen definieren wir vierteljährlich einen passenden Scope und planen mit den internen Fachspezialisten und -verantwortlichen die Penetration Tests. Da für PostFinance die Sicherheit der Kundendaten an erster Stelle steht, werden bei der Planung auch Systeme und Applikation getestet, die über den von PCI geforderten Scope hinausgehen. Durch ein vollständiges Onboarding unserer Security Tester mit Zugriff auf PostFinance-interne Ressourcen interagieren wir direkt mit anderen Abteilungen und gelangen so effizient an die benötigten Informationen.

Durchführung der Penetration Tests

Der definierte Scope wird von unseren Security-Testern durch simulierte Cyber-Angriffe auf dessen Sicherheit geprüft. Dies geschieht in enger Zusammenarbeit mit den internen Verantwortlichen von PostFinance. Die Ergebnisse werden in einem detaillierten Report festgehalten.

Behebung und Tracking nach den Penetration Tests

Nach Abschluss der Prüfung werden die identifizierten Risiken ins interne Schwachstellen-Management von PostFinance als Tickets importiert und den Verantwortlichen zugewiesen. Dazu stellen wir die Ergebnisse neben dem klassischen PDF-Report auch als Formate zur Verfügung, die auf interne Systeme und Prozesse von PostFinance zugeschnitten sind und von diesen weiterverarbeitet werden können. Dank unserer selbstentwickelten ReportingEngine ist dies ohne merklichen Zusatzaufwand möglich. Somit liefern wir nicht nur die Risiken, sondern unterstützen auch bei deren Zuweisung und Tracking. Weiter stehen wir bei Rückfragen zur Behebung und bei der Verifikation in Form von Re-Tests zur Verfügung.

Dieses gesamtheitliche, integrierte und strukturierte Vorgehen erlaubt es PostFinance, den Anforderungen hinsichtlich Penetration Tests aus PCI DSS zu entsprechen, was regelmässig von einem unabhängigen Auditor geprüft und bestätigt wird.

Sind auch Sie auf der Suche nach einem langfristigen Partner für effiziente und auf Ihre Organisation zugeschnittene Penetration Tests? Unsere Sicherheitsspezialisten unterstützen und begleiten Sie gerne.