Phishing, Distributed Denial-of-Service-Angriffe (DDoS) oder Malware: Für Cyberkriminelle ist der Finanzsektor seit Jahren ein attraktives Angriffsziel. So werden Banken und Finanzdienstleister im Vergleich zu anderen Unternehmen 300-mal häufiger attackiert, rechnete die Boston Consulting Group aus. Oft nehmen die Angreifer dabei die Software-Supply-Chain ins Visier. Sie nutzen den Umweg über IT-Dienstleister und deren Produkte, um in die Netzwerke der Banken einzudringen.
Für Credi2 als BNPL-Provider für Banken ist Sicherheit daher von höchster Bedeutung. Das Wiener FinTech hat sich deshalb erfolgreich vom TÜV Austria nach ISO 27001 zertifizieren lassen und liefert mit dem Gütesiegel einen Vertrauensnachweis gegenüber Kunden, Partnern und Investoren. „Als FinTech müssen wir von Anfang an Informationssicherheit in unseren Produkten leben”, sagt Alexander Polster, Chief Information & Security Officer (CISO) bei Credi2. „Mit der erfolgreichen ISO-Zertifizierung werden unsere hohen Standards nun auch von einer unabhängigen Stelle bestätigt.”
Sicherheitsbewusstsein der Mitarbeitenden wird kontinuierlich geschult
Mit der Zertifizierung nach ISO 27001 weist Credi2 nach, dass Finanzdaten, Geschäftsprozesse, Daten von Mitarbeitenden und von Dritten anvertraute Informationen in seinem System sicher gemanagt werden. Voraussetzung hierfür war die Einführung eines Risikomanagements, mit dem Gefahren und Störungen frühzeitig identifiziert, analysiert und behoben werden. Zusätzlich erhielt der BNPL-Provider auch die Zertifizierung nach ISO 27701. Mit dieser Erweiterung bestätigt der TÜV Austria den Schutz von personenbezogenen Daten im Privacy Information Management System (PIMS). Dazu zählt auch die ständige Pflege und die Verbesserung des Systems.
„Wir trainieren dafür regelmäßig auch das Sicherheitsbewusstsein der Mitarbeitenden”, sagt Alexander Polster. „Dafür haben wir ein eigenes E‑Learning-System geschaffen. Mit Hilfe von Gamification werden alle geschult und auf dem aktuellen Stand der Informationssicherheit gehalten.”
Prozesse werden kontinuierlich verbessert
Im Unterschied zu anderen BNPL-Mitbewerbern kann Credi2 durch das Gütesiegel nun eine Reihe wichtiger Sicherheitsstandards belegen. Dazu gehört die Zutrittsabsicherung, der kontrollierte Zukauf von Hard- und Software, die sichere interne und externe Kommunikation, die physische Absicherung von Vermögenswerten und der Einsatz geeigneter Kryptographie. Doch die Zertifizierung ist erst der Anfang. „Die Norm erfordert eine kontinuierliche Verbesserung und Credi2 arbeitet hart daran, die Latte immer höher zu legen”, so Sicherheitsexperte Polster.