Zahlungssystemaufsicht in Österreich

Der vorliegende Leitfaden beinhaltet die Mindesterfordernisse für die von Betreibern von Infrastruktureinrichtungen für Zahlungssysteme (Infrastrukturbetreiber) gemäß § 44a Abs. 8 NBG zu erteilenden Auskünfte.

Die Auskünfte gelten als vollständig erteilt, wenn:

• ein Betriebskonzept gemäß Kapitel 2 (Teil I.) vorgelegt wird,
• zu den in Kapitel 2 (Teil II.) aufgelisteten spezifischen Fragestellungen einzeln und begründet schriftlich Stellung genommen wird. Der Stellungnahme sind die aktuellen Geschäftsbedingungen beizulegen. Die auf die Infrastruktureinrichtung nicht zutreffenden Fragestellungen sind explizit als „nicht zutreffend“ zu bezeichnen.

Auf von externen Unternehmen im Auftrag des Infrastrukturbetreibers erbrachte und für den sicheren Betrieb der Infrastruktur relevante Dienstleistungen ist in den betreffenden Teilbereichen der Stellungnahme explizit hinzuweisen. Die in diesem Zusammenhang an externe Unternehmen gerichteten Vorgaben bzw. sonstigen Vereinbarungen (beispielsweise Service Level Agreements, Spezifikationen, etc.) sind vollständig zu übermitteln.

Alle Dokumente sind nach Möglichkeit in elektronischer Form zu übermitteln.

A -- Allgemeine Übersicht

Gesamtübersicht:

1. Angabe der Zahlungssysteme, für die Infrastruktureinrichtungen betrieben werden (bzw. für die Dienstleistungen erbracht werden)
2. graphische Gesamtübersicht über die Infrastruktureinrichtung und ihre Funktionen für die Zahlungssysteme (inklusive aller beteiligten Unternehmen und sonstigen Einrichtungen),

Netzwerktechnische Darstellung der Infrastruktureinrichtung (Topologie):¹)

1. zentrale Komponenten (insbesondere Server mit relevanten Diensten, Applikationen und Datenbanken)
2. dezentrale Komponenten (insbesondere Terminals, andere Endgeräte)
3. Kommunikationsverbindungen (insbesondere benutzte Netzwerke, Firewalls, VPN-Komponenten)

Infrastruktureinrichtungen und Dienstleistungen (einzeln für jedes servicierte Zahlungssystem):

1. bereitgestellte Infrastruktur (insbesondere Hard- und Software, Kommunikationsverbindungen, Firewalls, Terminals, Zahlungsmedien, Server, Datenbanken, Call Center Dienste)
2. Transaktionsablauf (sofern überwiegend in der Zuständigkeit des Infrastrukturbetreibers)
3. transaktionsbezogene Funktionen (insbesondere Identifikation, Autorisierung, Limitprüfung, Sammeln und Weiterleiten von Transaktionen, Generierung von Überweisungsdatenträgern)
4. weitere Funktionen (insbesondere Sperre, Protokollierung, Auswertung)
5. Schnittstellen (insbesondere zum Zahlungssystem, zu anderen Teilnehmern, zu Kunden)

Mehrere Zahlungssysteme übergreifende Funktionen:

1. Add-On Dienste²)
2. Protokollierung, Auswertung, Monitoring der für Add-On Dienste verwendeten Infrastruktureinrichtungen
3. Schnittstellen der Add-On Dienste (insbesondere zu Zahlungssystemen, anderen Teilnehmern, Kunden)

B -- Sicherheitsziele

C -- Maßnahmen zur Erreichung der Sicherheitsziele

Organisatorische Maßnahmen :

1. Sicherheitsorganisation und Revision, Verantwortlichkeiten (insbesondere Rollenverteilung, Berechtigungsvergabe, Genehmigung durch die Geschäftsleitung)
2. organisatorische und infrastrukturelle Maßnahmen für die Sicherheit der internen Einsatzumgebung (insbesondere physikalischer Schutz, Zutrittskontrolle, Vertrauenswürdigkeit, Eignung des Personals)

IT-Sicherheitsmaßnahmen:

1. Identifikation, Authentisierung und Rechteverwaltung (insbesondere von Operatoren, Administratoren und Benutzern)
2. Sicherheit der bereitgestellten Kommunikationsverbindungen
3. Kryptokonzept der Infrastruktur (insbesondere Key-Management, Algorithmen, kryptographische Komponenten)
4. Systemintegrität (insbesondere Integritätssicherung von Komponenten und Daten)
5. Einrichtungen zur Erkennung und Abwehr von Angriffen

Sicherheit in der Entwicklung, Produktion und Inbetriebnahme (von Hard- und Software):

1. Konfigurationskontrolle
2. Sicherheit in der Entwicklung
3. Sicherheit in der Produktion
4. definierte Test-, Abnahme- und Freigabeprozeduren
5. Installations- und Inbetriebnahmevorschriften
6. Vorschriften zur Außerbetriebnahme der Komponenten

D -- Business Continuity Planung (BCP)

Strategie und Service Level:

1. Ziele
2. Service Level im Normalbetrieb
   (Betriebs- und Cut-Off-Zeiten, Verfügbarkeit)
3. Service Level in Fehler- und Katastrophensituationen
   (mögliche Änderungen von Betriebszeiten, Verfügbarkeit, Notlaufmaßnahmen)

Verantwortlichkeiten für die BCP:

1. Rollenverteilung
2. Genehmigung durch die Geschäftsleitung

Risikoanalyse:

1. Identifikation kritischer Geschäftsprozesse

Notfallplanung und Notlauforganisation:

1. Notfallshandbuch (Inhalt, Speicherort, Szenarien, kritische Prozesse)
2. Unterweisung des Personals
3. Eskalationsprozeduren

Ausweichplanung:

1. Redundanz von Standorten und Komponenten (Hard- und Software)
2. Redundanz und Übertragungskapazität der Kommunikationsverbindungen

Wiederanlaufplan:

1. Manuelle Umschaltprozeduren- und zeiten (falls vorgesehen)
2. Wiederinbetriebnahme von Komponenten

Ersatzbeschaffungsplan:

1. Wartungsverträge
2. Reservekomponenten

Datensicherungskonzept:

1. Applikationen, Betriebssystem, Desaster Recovery Backup
2. Zahlungssystemdaten, Änderungsprotokolle
3. Aufbewahrungszeiten

Ausfalltests und Übungen

Aktualisierung der BCP

Zu folgenden Fragen ist einzeln und begründet Stellung zu nehmen, wobei gegebenenfalls auch direkt auf entsprechende Ausführungen in anderen übermittelten Unterlagen verwiesen werden kann.

1. Auf welchen Rechtsgrundlagen basiert die Teilnahme des Infrastrukturbetreibers am Zahlungssystem?
2. Welche Regelungen bestehen für die gerichtliche Zuständigkeit?
3. Nach welchen Kriterien ist der Zugang zu den Infrastruktureinrichtungen für Zahlungssystembetreiber möglich?
4. Welche Regelungen bestehen hinsichtlich der Haftung des Infrastrukturbetreibers? Welche konkreten Vorkehrungen werden getroffen, um die finanziellen Risiken aus einer allfälligen Haftung abzusichern?
5. Welche Regelungen bestehen hinsichtlich der Haftung der relevanten Vertragspartner gegenüber dem Infrastrukturbetreiber?
6. Welche Regelungen bestehen hinsichtlich der Kündigung der Teilnahme des Infrastrukturbetreibers am Zahlungssystem (sowohl durch den Infrastrukturbetreiber als durch den Zahlungssystembetreiber)?
7. In welcher Form wird sichergestellt, dass dem Infrastrukturbetreiber die für ihn relevanten datenschutzrechtlichen Bestimmungen in der jeweils aktuellen Fassung bekannt sind? Welche Vorkehrungen bestehen, um die jederzeitige Einhaltung der datenschutzrechtlichen Bestimmungen zu gewährleisten?

1. Wie ist die Führungs- und Verwaltungsstruktur organisiert (Organigramm)?
2. Wie ist die interne Kontrolle (Qualitätsmanagementsystem, Sicherheitspolicy, Risiko­management und Revision) organisiert?
3. Wie sind Rollen und Verantwortlichkeiten des Infrastrukturbetreibers gegenüber dem Zahlungssystembetreiber definiert?
4. Welche Vorgaben bestehen seitens des Zahlungssystembetreibers? (Die diese spezifizierenden Dokumente sind vollständig beizulegen).
5. Wurden vom Zahlungssystembetreiber verlangte Zertifizierungsverfahren durchgeführt? (Diesbezügliche Unterlagen sind ggf. beizulegen).
6. Bestehen über die Vorgaben des Zahlungssystembetreibers hinausgehende eigene Richtlinien? Wenn ja, welchen Standards wurde dabei gefolgt? Wurden diese Richtlinien im Auftrag des Zahlungssystembetreibers oder in Abstimmung mit dem Zahlungssystembetreiber entwickelt? (Diesbezügliche Unterlagen sind ggf. beizulegen).
7. Wie erfolgen die Aktualisierung der Dokumentation beziehungsweise die Verwahrung der Vorgaben bzw. eigenen Richtlinien?
8. Durch welche organisatorischen Maßnahmen wird die jederzeitige Einhaltung der Vorgaben und Richtlinien sichergestellt?
9. Welche Infrastrukturkomponenten (z. B. Terminals, Bezahlmedien, Software, Zugangscodes) werden für Teilnehmer oder Endkunden bereitgestellt? Wie werden diese zugestellt?
10. Auf welche Weise wird sichergestellt, dass ausreichend, ausgebildetes und vertrauenswürdiges Personal sowohl für den Normalbetrieb als auch in Ausnahmesituationen zur Verfügung steht?
11. Welche kritischen Prozesse/Komponenten wurden identifiziert?
12. Für welche Szenarien gibt es Notfallsmaßnahmen?
13. Welche Eskalationsmechanismen sind für den Fehler- und Katastrophenfall vorgesehen?
14. Wie oft werden Übungen für Notfallsmaßnahmen durchgeführt?
15. Welche Kommunikationsverfahren mit dem Zahlungssystembetreiber bestehen für den Fehler- oder Katastrophenfall? In welchen Abständen werden diese getestet?

1. Welche konkreten Richtlinien³) bestehen im einzelnen für
   • die Gewährleistung der Verfügbarkeit und Betriebssicherheit der Infrastruktur,
   • das Erkennen und die Abwehr von Angriffen auf die Infrastruktur,
   • die Nachprüfbarkeit der Authentizität und Integrität der von den Teilnehmern und Endkunden verwendeten Infrastrukturkomponenten,
   • die Integrität und Vertraulichkeit der Transaktionsdaten und Parameter der jeweiligen Zahlungssysteme,
   • die Möglichkeit der eindeutigen Nachverfolgung von Systemänderungen,
   • die korrekte Authentisierung der Teilnehmer und Endkunden, die korrekte Autorisierung der Transaktionen sowie die wirksame Sperre (sofern diese Funktionen über die Infrastruktur ausgeübt werden).
2. Welche Maßnahmen werden für die Umsetzung der Richtlinien ergriffen? In welchen Abständen werden die eingesetzten Maßnahmen an den neuesten Stand der Technik angeglichen?
3. Wie wird – sofern Infrastruktureinrichtungen und Dienste von mehreren Systemen (Zahlungssysteme oder Systeme für andere Zwecke) benutzt werden – eine gegenseitige negative Beeinflussung insbesondere in Bezug auf Verfügbarkeit und Sicherheit ausgeschlossen? Wurden Prioritäten für die Verteilung der verfügbaren Ressourcen auf die Zahlungssysteme festgelegt?
4. Falls Dienste angeboten werden, die andere Zahlungssysteme integrieren, benutzen oder erweitern (Add-on-Dienste): Wodurch wird sichergestellt, dass die Vorgaben der Zahlungssysteme eingehalten werden?
5. Wodurch wird sichergestellt, dass die für die Zahlungssysteme relevanten Sicherheitsfunktionen auch in Fällen von Betriebsstörungen oder Fehlbedienungen aufrecht bleiben?