5Minds IT-Solutions
De-la-Chevallerie-Str. 42-44
45894 Gelsenkirchen
Case Study – Zahlungsdienstleister
Steigende Sicherheitsansprüche bei einem Zahlungsdienstleister
Wir bei 5Minds sind IT-Dienstleister mit dem Know-how für hoch skalier- und verfügbare Systeme für den Zahlungsverkehr. Wir schaffen Systeme mit hohen Sicherheitsstandards für eine schnelle Datenverarbeitung.
Case Study – Zahlungsdienstleister
Steigende Sicherheitsansprüche bei einem Zahlungsdienstleister
Wir bei 5Minds sind Dienstleister mit dem Know-how für hoch skalier- und verfügbare Systeme für den Zahlungsverkehr. Wir schaffen Systeme mit hohen Sicherheitsstandards für eine schnelle Datenverarbeitung.
Seinen Kund:innen das Leben ein kleines Stück leichter zu machen, ist das Ziel der meisten Dienstleister. Und wie gerne nehmen wir als Verbraucher:innen die kleinen Annehmlichkeiten im Alltag an. Beispielhaft dafür steht der Boom digitaler Services: Deren Einfluss auf unser Konsumverhalten sucht in der Weltgeschichte seines Gleichen. Und so richten wir uns in unseren Komfortzonen ein und erwarten immer mehr Effizienz. Und natürlich stellen wir auch Bedingungen: Denn unsere Daten und unser Geld sollen, bitteschön, so gesichert sein wie die britischen Kronjuwelen.
Steigerung des Transaktionsvolumens um 300 Prozent
Welche immense Herausforderung dieser Sicherheitsanspruch an die Anbieter von Zahlungsdienstleistungen bedeutet, war uns selbst als IT-Unternehmen lange nicht klar. Denn herkömmliche Software-Entwicklung verlangt zwar ihrerseits nach Sicherheitsprofilen. Doch von den Standards der Zahlungsdienstleister sind diese ein gutes Stück entfernt.
Diese Erfahrung machten auch wir bei 5Minds, nachdem uns ein Zahlungsdienstleister für den Aufbau einer schnelleren Datenverarbeitung auf Basis höchster Sicherheitsstandards beauftragte. In einem dreijährigen Mammutprojekt befähigten wir unseren Kunden, sein Transaktionsvolumen um 300 Prozent von 500 auf 2.000 pro Sekunde zu erhöhen und dabei die höchsten Sicherheitsstandards zu garantieren.
Strenge Vorschriften der Finanzaufsicht
Zahlungsdienstleister stehen unter besonderer Beobachtung. Sie benötigen für ihre Tätigkeit eine Bankenlizenz, die von der Finanzaufsicht Bafin ausgestellt wird. Bankenlizenzen werden aber nicht leicht vergeben. Das Finanzsystem bildet das Fundament gesellschaftlichen Wirtschaftens. Dessen Schutz ist für den Staat also von elementarer Bedeutung, und selbst minimale Zugeständnisse an die Komplexität sicherer Zahlungssysteme sind kategorisch ausgeschlossen. Zudem stehen die Kreditkartenunternehmen ihrem Händlernetzwerk gegenüber in der Pflicht. Sie garantieren, dass eine Zahlung gedeckt wird, wenn sie über einen Zahlungsdienstleister ausgeführt wird. Kommt es wegen Sicherheitslücken zu Betrugsfällen bei dem Anbieter, geht das Vertrauen des Kreditkarteninstituts schnell den Bach hinunter, und die Grundlage des Geschäftsmodells gerät ins Wanken. In diesem extremen Spannungsfeld aus staatlicher Hoheitsgewalt und vertragspartnerschaftlicher Bringschuld lastet enormer Druck auf den Zahlungsanbietern. Unserem Projekt ging deshalb eine einwöchige Schulung für das 15-köpfige Team voraus. Denn PCI- und DSS-Standards, die wir anwenden müssen, haben für die allermeisten Entwicklungsprojekte schlichtweg keine Bedeutung. Im Zahlungsverkehr sind sie die Eintrittskarte zum Anbietermarkt.
Gewappnet gegen Hackerangriffe
Regelmäßig nahm ein unabhängiges Audit-Team unsere Fortschritte bei der Entwicklung unter die Lupe. Die Prüfer:innen gingen nicht nur tief an die Quellcodes, sondern simulierten auch Hackerangriffe auf das System. „Wir sind während dieser Zeit sehr intensiv sensibilisiert worden für die Sicherheitsrisiken in diesem Sektor“, sagt Martin, als 5Minds-Geschäftsführer verantwortlich für Technologie und Produktentwicklung.
Für das Team sei das ein unschätzbarer Zugewinn an Expertise, sagt Martin. „Wir haben in all unseren Prozessen, in denen es um personenbezogene Daten geht, ein Selbstverständnis aufgebaut, von dem alle unsere Kund:innen profitieren. Nicht nur solche, die Zahlungsdienstleistungen anbieten.“
Ein kluges System für die Datensicherheit
Gemeinsam mit unserem Kunden haben wir ein ausgeklügeltes System geschaffen, welches den hohen Standard im PCI Scope erfüllt. Das haben wir erreicht, indem wir die PCI relevanten Daten von den eigentlichen fachlichen Prozessen separierten, die für die Verarbeitung der Transaktionsdaten notwendig sind.
Die Struktur hinter den Sicherheitsstandards erinnert an ein Schleusensystem. Vorne kommen Daten unverschlüsselt beim Anbieter an und werden dann ins Gateway-System überführt, wo sie verschlüsselt werden. Diese Transformation findet sinnbildlich erst bei geschlossener Schleuse statt. Nach der Verschlüsselung werden die Daten aus dem Gateway-System durch die zweite Schleusentür in tokenisierter Form, also praktisch segmentiert, wieder entlassen. Das bedeutet, dass eine Zuordnung bestimmter Daten durch Dritte nicht möglich ist: Kreditkartennummern oder Namen können mit konkreten Transaktionen nicht verknüpft werden – die Daten sind sicher.
Durch das Gateway haben wir die Möglichkeit geschaffen, die Kosten für die Entwicklung im PCI Umfeld signifikant zu reduzieren.
Für unseren Kunden ist damit der Weg geebnet, im wachsenden Wettbewerb den steigenden Anspruch der Konsument:innen dauerhaft zu erfüllen. Für 5Minds derweil ist es ein fachlicher Zugewinn, der uns dabei hilft auch unsere kommenden Aufgaben mit Bravour bewältigen zu können.
