Case Study: IT-Zertifizierung der Telekommunikations-Software MiFID-II-Option für die vio:networks GmbH

 

Die Ziele: Zertifizierung der Angemessenheit der Telefonie-Software MiFID-II-Option

Ziel der Zertifizierung war es, die Erfüllung der Anforderungen der bei der vio:networks GmbH, kurz vio:networks, neu eingesetzten Telefonie-Software MiFID-II-Option zur Gewährleistung der Aufzeichnungspflichten nach der Finanzmarktrichtlinie MiFID II 2014/65/EU über Märkte für Finanzinstrumente und zur EU-Datenschutz-Grundverordnung (DSGVO) zu prüfen und zu bestätigen. Aufgabe der IT-Zertifizierungs-Expert:innen der dhpg war es, mit hinreichender Sicherheit zu beurteilen, ob die Software in der aktuellen Version bei sachgerechter Anwendung der Richtlinie entspricht. Nach erfolgreich durchgeführtem Test sollte die dhpg ein Zertifikat zur Bescheinigung der Angemessenheit der IT-Software erstellen.

Dafür prüften die Zertifizierungs-Expert:innen der dhpg die Software anhand des IDW PS 860. Dies umfasst die Durchführung von Prüfungshandlungen zur Erlangung ausreichender geeigneter Prüfungsnachweise, um ein entsprechendes Prüfungsurteil abgeben zu können. Für die Beurteilung des IT-Systems ist die Prüfung so zu planen und durchzuführen, dass wesentliche Mängel des IT-Systems mit hinreichender Sicherheit aufgedeckt werden.

Die Herausforderung: Finanzmarktrichtlinie erfordert Software zur Sicherung von Telefongesprächen

Die europäische Finanzmarktrichtlinie MiFID II (Richtlinie 2014/65/EU über Märkte für Finanzinstrumente) verpflichtet seit 2018 alle Dienstleister im Finanzsektor, geschäftliche Telefongespräche mit ihren Kunden elektronisch aufzuzeichnen und vorzuhalten. Im Allgemeinen soll die Novelle die Funktionsweisen und die Transparenz der Finanzmärkte verbessern sowie Verbraucher:innen in der Europäischen Union (EU) besser schützen. Das bedeutet, neben einem größeren Anlegerschutz, der Einführung von Zielmarktkriterien für Anlageprodukte und der Ausweitung der Kostentransparenz müssen telefonische Beratungsgespräche über Finanzprodukte aufgezeichnet werden. Dies gilt für externe und interne Telefongespräche, die sich auf Kundenaufträge beziehen. Kunden müssen über die Aufzeichnung des Gesprächs vorab informiert werden und können der Aufzeichnung widersprechen. In diesem Fall darf das Unternehmen die Dienstleistung nicht auf diesem Weg erbringen. Die Aufzeichnungen müssen fünf Jahre aufbewahrt werden und Kunden können die Aushändigung der Aufzeichnung verlangen. Die Daten zu abgeschlossenen Geschäften werden demnach transparenter und kostengünstiger zur Verfügung gestellt. Ziel dieser Maßnahmen ist es, Beratungsgespräche nachvollziehbarer zu machen.

Die vio:networks GmbH: Anbieter virtueller Cloud-Telefonanlagen

Die vio:networks GmbH ist ein führender Anbieter im Bereich der Cloud-Telefonie. vio:networks stellt ihren Kunden virtuelle Cloud-Telefonanlagen im Bereich der IP-Telefonie zur Verfügung, damit deren Mitarbeiter:innen schneller und verlässlicher mit Kunden, Partnern und Kolleg:innen kommunizieren können.

Um telefonische Gespräche aufzuzeichnen und die Einhaltung der europäischen Finanzmarktrichtlinie MiFID II (Richtlinie 2014/65/EU über Märkte für Finanzinstrumente) zu gewährleisten, möchte die vio:networks ihren Kunden im Finanzsektor eine benutzerfreundliche und datenschutzkonforme Software zur Verfügung stellen. Dafür verwendet vio:networks die Telekommunikations-Software MiFID-II-Option. Mit der Software können Mitarbeiter:innen Gespräche aufzeichnen, downloaden und archivieren. Die MiFID-II-Option stellt einen Bestandteil der Wertpapierdienstleistung dar und muss somit die Anforderungen der Richtlinie 2014/65/EU über Märkte für Finanzinstrumente erfüllen. Dementsprechend setzt die vio:networks auf die Arbeit der Security-Expert:innen der dhpg, um sich die Angemessenheit des IT-Systems durch eine Zertifizierung bescheinigen zu lassen.

Der IDW PS 860: Prüfungs- und Qualitätsstandard außerhalb der Jahresabschlussprüfung

Die Ordnungsmäßigkeit und Sicherheit der IT-Systeme spielen im Zuge der Digitalisierung eine immer größere Rolle. Unter anderem das Management von gesetzlichen und regulatorischen Anforderungen führt zu Unsicherheiten hinsichtlich der Verlässlichkeit IT-gestützter Prozesse und Verfahren. Beispielsweise müssen IT-Systeme diverse Vorgaben und Standards erfüllen. Dementsprechend ist es ratsam, die unternehmensinternen IT-Systeme zu untersuchen – auch außerhalb der Jahresabschlussprüfung. Diesen Zweck erfüllt der Prüfungsstandard 860 des Instituts der Wirtschaftsprüfer (IDW PS 860), da er internationalen Standards für Wirtschaftsprüfer entspricht, einen einheitlichen Regelungs- bzw. Prüfungsrahmen vorgibt und eine hohe Qualität der Prüfung gewährleistet.

Die IT-Sicherheit wird anhand festgelegter Kriterien analysiert, die Angemessenheit der IT-gestützten Geschäftsprozesse wird abgesichert und die Nachvollziehbarkeit für Dritte erhöht. Des Weiteren wird die Prüfung nach den Qualitätsstandards des IDW durch Wirtschaftsprüfer verantwortet. Dadurch lassen sich die Ergebnisse auch im Rahmen der Abschlussprüfung verwerten. Darüber hinaus können die Ergebnisse nach innen und außen präsentiert werden, z.B. in Form von Zertifikaten gegenüber Geschäftspartnern oder der Finanzverwaltung.

Der dhpg-Ansatz: IDW-Prüfungsstandards geben Rahmen vor

Die dhpg führte die Angemessenheitsprüfung der IT unter Beachtung des IDW-Prüfungsstandards 860 durch und wandte die Qualitätssicherung in der Wirtschaftsprüferpraxis (IDW QS 1) an.

Schritt 1

Sammlung der Dokumentationen und Nachweise

Schritt 2

Bestandsaufnahme des zu prüfenden Softwareprodukts

Schritt 3

Prüfung der Angemessenheit der für das Aufgabengebiet des Softwareprodukts notwendigen Programmfunktionen

Fazit

Dokumentation der gewonnenen Kenntnisse in Arbeitspapieren

Fazit

Erstellung eines Berichts und der Bescheinigung zur Zertifizierung

Das Ergebnis: Zertifizierung der Software schafft Vertrauen in die Qualität der IT-Telefonanlage

Die Software MiFID-II-Option der vio:networks ist eine virtuelle Cloud-Telefonanlage und ermöglicht es, aufzeichnungspflichtige Sprachkommunikation mitzuschneiden und sicher DSGVO-konform zu archivieren.

  • Die erzeugte Audiodatei wird komprimiert und verschlüsselt.
  • Die Verarbeitung bzw. das Management der Daten findet ausschließlich in Deutschland statt.
  • Die gesamte Kommunikation erfolgt über SSL-verschlüsselte Verbindungen.
  • Die Aufzeichnung wird in Rechenzentren in Deutschland gespeichert.

 

Dank der erfolgreichen Prüfung unserer Telefonie-Software MiFID-II-Option durch die dhpg können wir unseren Kunden aus der Finanzbranche darlegen, dass die MiFID II eingehalten wird. Die Zertifizierung unterstützt uns bei unserer Glaubwürdigkeit und drückt die Wichtigkeit der datenschutzkonformen Speicherung von Beratungsgesprächen sowie der Einhaltung weiterer Richtlinien auch nach außen aus. Danke an die dhpg, die mit ihrem kompetenten Team zu einer reibungslosen und erfolgreichen Zertifizierung maßgeblich beigetragen hat.

- Dominik Mauritz, CEO der vio:networks GmbH

 

Die Case Study steht Ihnen hier als Download zur Verfügung.

Ähnliche Beiträge

25. Oktober 2021

Case Study: dhpg begleitet GOPA Group Service GmbH bei ISO/IEC-27001-Zertifizierung

Die ISO/IEC-27001-Zertifizierung ist der weltweit führende Standard für die Informationssicherheit. Sie beschreibt die Anforderungen an die Umsetzung und die Dokumentation eines Informationssicherheits-Managementsystems (ISMS). Die dhpg hat die GOPA Group Service GmbH bei dieser Zertifizierung begleitet. Hier erfahren Sie, wie ein solcher Prozess abläuft.
Zertifizierungen
Cyber Security
IT-Sicherheit
IT-Prüfung und Beratung
15. November 2021

IT-Outsourcing – Vorteile für Unternehmen

Inhaber mittelständischer Betriebe haben oft Vorbehalte vor dem IT-Outsourcing. Ein Gefühl zwischen „die Fäden aus der Hand geben“ und der Frage danach, als mittelständische Unternehmen beim zukünftigen Outsourcing-Dienstleister gegebenenfalls nicht an erster Stelle zu stehen, wenn etwas passiert, gehen damit einher. Demgegenüber steht die Notwendigkeit, die IT-Infrastruktur für das mobile Arbeiten im Homeoffice zu modernisieren. Strukturierte Vorbereitung, ein durchdachtes Konzept sowie eine gute Vertragsgestaltung und Verhandlung mit dem Dienstleister schaffen Abhilfe.
IT-Recht
Prozessmanagement
Zurück

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Fabrice Voigt

IT-Prüfer/Berater, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE), ISO 27001-Certified Inform. Security Auditor

Zum Profil von Fabrice Voigt

Felicitas Kellermann

IT-Consultant

Zum Profil von Felicitas Kellermann

Andreas Engels

IT-Prüfer / Berater / Certified Information Systems Auditor (CISA)

Zum Profil von Andreas Engels

IT-Prüfung und Beratung Zertifizierungen Datenschutz

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink