Datensicherheit bei FinCompare – der Schutz personenbezogener Kundendaten hat bei dem Fintech Unternehmen höchste Priorität, wie die neue ISO/IEC-27001-Zertifizierung durch den TÜV Süd bestätigt. Um stets auf der Höhe der Zeit zu sein, kommen die modernsten Informations- und Sicherheitstechnologien zum Einsatz. Nur so ist es heute möglich, sensible Daten vor dem Zugriff unbefugter Dritter zu schützen. Nach der TÜV-Zertifizierung „Geprüftes Online-Portal“ vor einem Jahr hat die Online-Plattform für KMU-Finanzierung jetzt nachgelegt. Als erster Anbieter der Branche hat FinCompare sein effektives Sicherheitsmanagement vom TÜV Süd zertifizieren lassen.

Mit dem TÜV-Zertifikat für das nach der weltweit anerkannten, branchenübergreifenden ISO/IEC-Norm 27001 implementierten Informationssicherheits-Managementsystem (ISMS) setzt FinCompare einmal mehr ein starkes Zeichen für die Sicherheit der Daten seiner Kunden. Das Unternehmen fühlt sich dem Schutz vertraulicher Informationen verpflichtet und tut alles dafür, diesen auch in Zukunft zu gewährleisten. Wer als KMU bei der digitalen Finanzierungsplattform mit wenigen Mausklicks einen Antrag auf die passende Finanzierung stellt und dafür wichtige Geschäftsunterlagen mit Hilfe des SSL-Verschlüsselungsprotokolls zur Verfügung stellt, muss sich darauf verlassen können, dass diese sensiblen Informationen bei FinCompare in den besten Händen sind und zu keinem Zeitpunkt von Dritten abgegriffen werden können. Und die hohe Datensicherheit bringt noch weitere Vorteile mit sich: „Sie reduziert die unternehmerischen Risiken für Sicherheitsvorfälle und hilft, die Auswirkungen möglicher Pannen und Datendiebstähle zu begrenzen. Dadurch werden die Kosten für IT-Sicherheit mittel- und langfristig spürbar gesenkt – das ist neben der Datensicherheit für den Kunden für uns als Unternehmen ein sehr wichtiger Faktor“, erklärt Sinem Tüvel, Legal & Compliance Managerin bei FinCompare, der die Auditierung maßgeblich begleitet hat von Seiten des Unternehmens.

Die erfolgreiche ISO/IEC-27001-Zertifizierung der IT von FinCompare durch den TÜV Süd zeigt, dass sich sowohl die Online-Plattform selbst als auch die Kunden auf die Informationstechnik des FinTechs voll und ganz verlassen können. Das Zertifikat ist der auch für Außenstehende sichtbare Beleg für die Datensicherheit bei FinCompare. Genauer gesagt für die kontinuierliche Verbesserung der Informationssicherheit, die Risikominimierung hinsichtlich der Informationssicherheit und die konsequente Einhaltung und Umsetzung der notwendigen Datenschutzanforderungen.

Detaillierter Rahmen für Aufrechterhaltung der Datensicherheit

Die ISO/IEC-Norm 27001 definiert die Anforderungen an die Einführung, Umsetzung, Überwachung Dokumentation und fortlaufende Verbesserung eines solchen Informationssicherheits-Managementsystems. Zudem bietet einen detaillierten Rahmen für dessen Entwicklung, Umsetzung und Aufrechterhaltung. So fordert die Norm, dass Unternehmen alle externen und internen Themen berücksichtigen, die sich auf ihre Fähigkeiten zur erfolgreichen Umsetzung eines ISMS auswirken können. Dazu gehören offizielle Governance-Richtlinien, rechtliche und vertragliche Verpflichtungen, regulatorische Anforderungen, Umweltbedingungen und die Unternehmenskultur. Vom obersten Management wird in diesem Zusammenhang erwartet, dass es eine Informationssicherheitspolitik festlegt und die Verantwortlichkeit, Aufgaben und Befugnisse innerhalb des Unternehmens entsprechend zuweist. Neben dem besseren Schutz vertraulicher Daten trägt die ISO/IEC-27001-Zertifizierung somit auch dazu bei, dass das Thema Informationssicherheit über alle Hierarchieebenen hinweg fest verankert ist. Auch sollen sich alle Mitarbeiter über die enorme Bedeutung der relevanten Sicherheitsmaßnahmen im Klaren sein.

Datensicherheit bei FinCompare: Auflistung der relevanten Maßnahmen

Der Anhang der ISO/IEC-Norm 27001 listet 114 spezifische Maßnahmen auf, die in 14 Kategorien unterteilt sind. Dazu gehören unter anderem Maßnahmen zur

  • Informationsklassifizierung und zum Umgang mit Datenträgern;
  • Personalsicherheit vor, während und nach der Beschäftigung
  • Schlüsselverwaltung, dazu kommen Anforderungen an die Zugangssteuerung, die Benutzerzugangsverwaltung sowie die Zugangssteuerung für Systeme und Anwendungen;
  • Netzwerksicherheit, zur Trennung in Netzwerken, zur Sicherheit von Netzwerkdiensten, zur Informationsübertragung und Nachrichtenübermittlung;
  • Überwachung von Lieferanten entlang der Lieferkette;
  • Sicherheit in Entwicklungs- und Unterstützungsprozessen;
  • Meldung von Informationssicherheitsereignissen und Schwächen in der Informationssicherheit,
  • Planung einer zuverlässigen Business Continuity sowie
  • Bestimmung der anwendbaren Gesetze und Vorschriften zur Informationssicherheit und zur Durchführung von Prüfung der Informationssicherheit.

Mehrtägiges Audit durch TÜV Süd

In enger Abstimmung mit dem TÜV Süd hatte sich FinCompare im Vorfeld intensiv auf das mehrtägige Audit vorbereitet. Im Rahmen einer internen Risikoanalyse hatten die Beteiligten ermittelt, welche Risiken aktuell zu berücksichtigen sind und welche Schwächen im System einer Zertifizierung möglicherweise entgegenstehen können. Zur Behandlung dieser Risiken wurde ein entsprechender Plan erstellt, wie in der Norm gefordert. Anschließend wurden Maßnahmen und Methoden implementiert, um potenzielle Risiken zu reduzieren und Sicherheitslücken zu beheben und schließlich die Datensicherheit bei FinCompare zu belegen. Da die Verantwortung für die Festlegung der spezifischen Maßnahmen am Ende beim Unternehmen selbst liegt, lässt die Norm hier durchaus gewisse Gestaltungsspielräume. Darüber hinaus wird vorgegeben, dass die zertifizierten Organisationen wie FinCompare die Ressourcen für den Aufbau, die Verwirklichung, die Aufrechterhaltung und kontinuierliche Verbesserung des ISMS zwingend zur Verfügung stellen müssen.

Um den Zertifizierungsprozess für die Datensicherheit bei FinCompare schließlich erfolgreich abschließen zu können, wurden für alle Anforderungen, die noch nicht erfüllt waren, neue Prozesse aufgesetzt, verfeinert und umfassend dokumentiert, um während des Audits keine unliebsamen Überraschungen erleben zu müssen.

Im Voraudit wurden Defizite ausfindig gemacht und behoben

ISO/IEC-27001-Zertifizierung Vor dem eigentlichen Audit durch den TÜV führte FinCompare ein internes Voraudit durch, um möglicherweise noch bestehende Defizite ausfindig zu machen und die notwendigen Korrekturen rechtzeitig durchführen zu können. Als schließlich der große Tag gekommen und der TÜV Süd mit dem Audit beginnen konnte, waren das Unternehmen und das Informationssicherheits-Managementsystem bestens vorbereitet. Das ist auch gut so, denn während des Audits werden vom TÜV Süd nicht nur Checklisten abgearbeitet. Stattdessen findet eine konsequente Überprüfung und Infragestellung der implementierten Prozesse statt. Dadurch können mögliche Verbesserungspotenziale ausfindig gemacht und die notwendigen Maßnahmen in die Wege geleitet werden.

Nachdem am Ende aber alle Anforderungen erfüllt waren, stellte der TÜV Süd das für drei Jahre gültige Zertifikat aus. Um zu gewährleisten, dass die Vorgaben und die sich daraus ergebende Pflicht zu kontinuierlichen Verbesserungen auch künftig erfüllt werden, muss sich FinCompare einem jährlichen Überwachungsaudit unterziehen. In der Norm wird betont, wie wichtig es für eine bessere Wirksamkeit des Informationssicherheitssystems ist, dass auch weiterhin Nichtkonformitäten festgestellt und Korrekturmaßnahmen ergriffen werden.

FinCompare kann noch weitere Zertifizierungen vorweisen

Neben der neuen ISO/IEC-27001-Zertifizierung hat FinCompare bereits im letzten Jahr als erstes Unternehmen der Branche die Zertifizierung „Geprüftes Onlineportal gültig für Vermittlungsservice“ vom TÜV Saarland erhalten. Damals wurde im Rahmen der Untersuchung unter anderem die Sicherheit der Datenübermittlung und -speicherung, die Benutzerfreundlichkeit des FinCompare-Portals, der Vermittlungsprozess an die Finanzierungsgeber sowie die Entwicklungs-, Freigabe- und Beschwerdeabläufe geprüft. Die Prüforganisation bestätigte damals, dass Kundendaten mit hohem Schutzbedarf nach dem neuesten Stand der Technik verschlüsselt werden. Die Bedienführung des Portals sei in sich stimmig, der Nutzer werde bei der Erledigung seiner Aufgaben angemessen unterstützt. Besonders positiv wurde die Transparenz bewertet, da dem Kunden offen kommuniziert werde, welche Provision für den Service fällig werde.

Auch das Datenschutzmanagement sowie die dafür notwendigen baulichen, organisatorischen und technischen Anforderungen sind vom TÜV Saarland in den letzten Jahren geprüft und entsprechend zertifiziert worden. Um sicherzugehen, dass die Maßnahmen zum Datenschutz sowie die gesamte Sicherheitstechnologie der Online-Plattform wirksam und auf dem neuesten Stand sind, lässt FinCompare die Plattform auch regelmäßig von externen Sicherheitsexperten und auf Sicherheitssoftware spezialisierte Unternehmen wie zum Beispiel Symantec auf Schwachstellen untersuchen.