Bayern Card-Services 

IT-Infrastruktur nach PCI-DSS.

In einem ambitionierten Projekt überführte FI-TS die IT der Bayern Card-Services GmbH (BCS) aus der Infrastruktur der BayernLB in eine eigene Produktionsumgebung. Dadurch kann das Kompetenz-Center für Kreditkarten seine Zertifizierung nach dem Payment Card Industry Data Security Standard (PCI-DSS) effektiver abwickeln. Dabei geht es um den richtigen Umgang mit sensiblen Kreditkartendaten, also um die Einhaltung sehr hoher Sicherheitsanforderungen.

FI-TS löste die IT-Dienste von Bayern Card-Services aus der bisherigen Infrastruktur heraus und baute eine neue Produktionsumgebung für den Kreditkarten-Dienstleister auf. Die mandantenfähige FI-TS Infrastruktur für den Betrieb von Anwendungen aus dem Kreditkartenbereich kann jederzeit für weitere Kunden entsprechend PCI-DSS zertifiziert werden.


Bayern Card-Services versteht sich als das Kompetenz-Center für Kreditkarten und ist der führende Dienstleister für das Kreditkartengeschäft innerhalb der Sparkassen-Finanzgruppe.

www.bayerncard.de pci-dss.org
Short Facts
  • Erfolgreiche Zertifizierung nach Sicherheitsstandard PCI-DSS
  • Migration von zwei Kernanwendungen von Mainframes auf kostengünstige Unix-Server
  • Neues lokales Netzwerk und neue gemanagte Client-Umgebung 

Downloads
Referenzblatt BCS (213 KB)

Zentrale Anforderung Datenverschlüsselung.

Eine Kernkomponente von PCI-DSS ist der sorgsame Umgang mit sensiblen Kreditkartendaten 

Bayern Card-Services / Zertifikat für Datensicherheit nach PCI-DSS.
Play

Dr. Dietrich Keymer

Sprecher der Geschäftsführung von Bayern Card-Services

„Als ein auf die Finanzbranche spezialisierter IT-Servicepartner unterstützt uns FI-TS nicht nur durch IT-Kompetenz, sondern ermöglicht uns auch die Einhaltung komplexer Regulatorien wie PCI-DSS.“


FI-TS baut PCI-DSS-konforme Infrastruktur

In einem ambitionierten Projekt überführte FI-TS die IT der Bayern Card-Services GmbH (BCS) aus der Infrastruktur der BayernLB in eine eigene Produktionsumgebung. Dadurch kann das Kompetenz-Center für Kreditkarten seine Zertifizierung nach dem Payment Card Industry Data Security Standard (PCI-DSS) effektiv abwickeln.

Die Bayern Card-Services GmbH ist ein Dienstleister rund um das Kreditkartengeschäft. Derzeit erbringt das Unternehmen seine Services für über 270 Institute. BCS betreut ca. 9,9 Millionen Kreditkarten, die einen Jahresumsatz von rund 31,7 Milliarden Euro erzeugen (Stand Januar 2017). 2009 stand das Unternehmen vor der Herausforderung, eine neue IT-Infrastruktur aufzubauen, weil die Zertifizierung nach dem Sicherheitsstandard PCI-DSS 2.0 noch höhere Anforderungen an die Infrastruktur stellt. Dabei geht es vor allem um den Schutz sensibler Kreditkartendaten. „Wir haben nach einem Partner gesucht, mit dem wir die Anforderungen von PCI-DSS qualitativ hochwertig und dennoch kostengünstig erfüllen können“, erklärt Dr. Dietrich Keymer, Sprecher der Geschäftsführung von BCS. „Das Angebot von FI-TS konnte uns überzeugen: bei den Benchmarks, bei der Leistungsfähigkeit, hinsichtlich unserer hohen Sicherheitsanforderungen und durch marktkonforme Preise.“

Projekt ITOS: Alles neu für BCS

Im Februar 2010 begannen die Mitarbeiter von FI-TS und BCS das Projekt „IT Outsourcing Bayern Card-Services“ – kurz ITOS. Eine besondere Herausforderung war dabei die Migration der IT-Systeme. Denn neben dem Wechsel der Clientsysteme sollten zwei Kernanwendungen von einer Mainframe-Plattform auf kostengünstige Unix-Systeme überführt werden. Da dabei alle vorhandenen Schnittstellen berücksichtigt werden mussten, war eine sanfte Umstellung mit einem zeitweisen Parallelbetrieb der BCS-Systeme nicht möglich. Deshalb musste die Umstellung auf einen Big Bang erfolgen: das heißt auf einen Rutsch an einem Wochenende.

PCI-DSS und Wirtschaftlichkeit im Fokus

Von der Konzeptionsphase bis zur Umsetzung waren zwei Prämissen stets präsent: die Einhaltung der Vorgaben von PCI-DSS und die Wahl der wirtschaftlichsten Lösung in jedem Teilbereich. Insbesondere die Umsetzung der strengen Vorgaben von PCI-DSS erforderte dabei auch Anpassungen bestehender Handlungsweisen im IT-Betrieb von FI-TS. „Zumeist arbeiten unsere Administratoren auf ihren Systemen mit Superuser-Rechten“, erläutert Ulrich Fischer, der als Servicemanager bei FI-TS die Umsetzung der Vorgaben von PCI-DSS begleitete. „Bei einer PCI-DSS-konformen Infrastruktur ist das strengstens verboten. Deshalb haben wir eigene Systeme aufgebaut, die eine Verletzung dieser speziellen PCI-DSS-Betriebsregel automatisch erkennen und gegebenenfalls sofort Alarm schlagen.“ Eine weitere Kernkomponente von PCI-DSS ist der sorgsame Umgang mit sensiblen Kreditkartendaten. „So schreibt der Standard beispielsweise vor, dass Kartennummern entweder nicht vollständig, oder wenn vollständig, dann nicht unverschlüsselt verwendet werden dürfen“, erklärt Dr. Dietrich Keymer. „Entsprechend war auch die Datenverschlüsselung eine unserer zentralen Anforderungen an FI-TS.“

Migration ohne Knall

Nach mehreren Testläufen fand der komplette Umzug in nur drei Tagen erfolgreich statt. Dabei kam es weder zu Beeinträchtigungen der geschäftskritischen Anwendungen noch zu Ausfällen. „Obwohl die Migration technisch bedingt als Big Bang erfolgen musste, war die Umstellung der Systeme auf Grund der intensiven und kooperativen Zusammenarbeit mit BCS erfolgreich“, freut sich die Senior Projektmanagerin Carolin Huber. „Durch den offenen Dialog konnten wir dabei alle Vorgaben zu Wirtschaftlichkeit und Compliance wie erwartet umsetzen.“ Zertifizierung erfolgreich bestanden

Erfolgreiche Zertifizierung und Rezertifizierungen

Die erfolgreiche Migration der IT-Infrastruktur von BCS war gleichzeitig der Startschuss für die Zertifizierung von Bayern Card-Services nach PCI-DSS. Diese Prüfung besteht aus rund 700 Fragen, von denen gut 70 Prozent die IT-Infrastruktur betreffen. Ende März 2011 fand folglich ein Onsite-Audit bei FI-TS statt: An zwei Tagen nahm ein Prüfer der usd AG gemeinsam mit Mitarbeitern von BCS das FI-TS Rechenzentrum unter die Lupe, prüfte dort Log-Einträge, interviewte Mitarbeiter aus dem IT-Betrieb und begutachtete den Betrieb der BCS-Infrastruktur. Das Ergebnis: die Zertifizierung nach PCI-DSS für BCS.

Gute Dienste leistete hierbei auch das hauseigene Action-Request-System (ARS) von FI-TS: Durch die revisionssichere Dokumentation zahlreicher ITIL-Prozesse im ARS deckte FI-TS bereits viele Anforderungen der Prüfer ab. Um eine hohe Qualität des IT-Betriebs bis zur ersten Rezertifizierung im März 2012 sicher zu stellen, prüfen FI-TS und BCS jedes Quartal in einem internen Audit, ob die Vorgaben von PCI-DSS kontinuierlich umgesetzt werden.

Bei den bisher erfolgten Nachprüfungen zeigte sich, dass die strengen Richtlinien auch im täglichen Geschäft von FI-TS gelebt werden. „Mit dem erfolgreichen Aufbau der Produktion für BCS verfügen wir jetzt über eine mandantenfähige Infrastruktur sowie dazu passende Prozesse, die jederzeit auch für neue Kunden nach PCI-DSS zertifizierbar sind“, so Ludwig Müller, Bereichsleiter Vertrieb & Service bei FI-TS. „Neben dem dabei gewonnenen Know-how sind wir jetzt strategisch optimal aufgestellt, um weiteren Kreditkarten verarbeitenden Unternehmen den compliancekonformen Betrieb ihrer IT-Services anbieten zu können.“


FI-TS Innovation Day

Markt- und branchenrelevante Trends | 12.10.2017 München

Für Innovation gibt es keine Einheitslösung: Deshalb ist es uns bei FI-TS so wichtig, sich mit unseren Kunden regelmäßig über markt- und branchenrelevante Trends auszutauschen. Dafür haben wir die FI-TS Innovation Days ins Leben gerufen. Am 12.10.2017 setzen wir uns in den Highlight Towers München mit den konkreten Wünschen der FI-TS Kunden auseinander. Wir freuen uns auf den kreativen Dialog!

Mehr lesen

12.10.2017 | München

in den Highlight Towers


23.11.2017 | Frankfurt

in den Design Offices