Article

SWIFT Customer Security Program (CSP)

Neuerungen in 2020

Das SWIFT CSP für 2020 beinhaltet umfassende Neuerungen hinsichtlich der Assessment-Methodik, der zu betrachtenden SWIFT-Umgebung und der umzusetzenden Kontrollen, um die Sicherheit im Zahlungsverkehr weiter zu erhöhen. Damit stehen SWIFT-Teilnehmer vor zusätzlichen Herausforderungen hinsichtlich der Erfüllung der Vorgaben aus dem SWIFT CSP. Die wesentlichen Neuerungen im SWIFT CSP für 2020 und was diese für Sie als SWIFT-Teilnehmer bedeuten, stellen wir Ihnen in unserem Whitepaper vor.

Seit der Einführung im Jahr 2017 werden die Anforderungen des SWIFT CSP kontinuierlich angepasst und konkretisiert, um den technischen Fortschritt abzubilden, den daraus resultierenden Angriffsvektoren angemessen begegnen zu können und somit die SWIFT-Teilnehmer umfassend zu schützen. Diese Neuerungen und die jährliche Bestätigung der Angemessenheit und Wirksamkeit der Anforderungen aus dem SWIFT CSP erfordern bei SWIFT-Teilnehmern fortlaufend Umsetzungsaufwand.

Die Neuerungen für 2020 umfassen die Einführung einer neuen Assessment-Methodik, die Anpassung der zu betrachtenden SWIFT-Umgebung und zugehöriger Architekturtypen sowie die Weiterentwicklung des Customer Security Controls Framework (CSCF) und einhergehender Mandatory und Advisory Controls:

  • Einführung einer neuen Assessment-Methodik: In 2019 war es SWIFT-Teilnehmern möglich, die Compliance mit den Kontrollen aus dem SWIFT CSCF in Form eines Self-Assessments durch die operativ verantwortlichen Bereiche (1st Line of Defense) zu bestätigen. Mit Einführung des Independent Assessment Frameworks entfällt diese Möglichkeit in 2020 und das Assessment ist unabhängig von den operativ verantwortlichen Bereichen durch eine unabhängige Instanz (bspw. 2nd oder 3rd Line of Defense bzw. extern beauftragte Prüfer) durchzuführen.
  • Anpassung der zu betrachtenden SWIFT-Umgebung (Secure Zone): SWIFT-Teilnehmer, die über keine eigene SWIFT-Infrastruktur verfügen und über eine Middleware als Connector SWIFT-Nachrichten über einen Serviceprovider versenden, fallen auf Grund der Anpassungen nun unter den Architekturtyp A3 (Middleware as Connector) und müssen somit im Mindestumfang sämtliche Mandatory Controls berücksichtigen. Weiterhin müssen ab 2020 Testsysteme, die nicht vollständig von der SWIFT-Produktivumgebung getrennt betrieben werden, dieselben Anforderungen wie Produktivsysteme erfüllen.
  • Weiterentwicklung des Customer Security Controls Framework: Mit Anpassung des SWIFT CSCF 2020 werden zwei Advisory Controls in Mandatory Controls überführt sowie zwei weitere Advisory Controls definiert. Zusätzlich wurde der Anwendungsbereich bestehender Kontrollen erweitert. 

Die neue Assessment-Methodik, die Anpassung der zu betrachtenden SWIFT-Umgebung (soweit relevant) sowie die Anpassung von Kontrollen auf Grund der Weiterentwicklung des SWIFT CSCF stellen die SWIFT-Teilnehmer vor Herausforderungen bei der fortlaufenden Erfüllung der Compliance-Anforderungen und bedeuten zusätzliche Implementierungs- und Kontrollaufwände in 2020.

Mit unseren Services unterstützen wir Sie bei der Implementierung der Neuerungen aus dem SWIFT CSP für 2020 und führen bei Bedarf ein SWIFT CSP Readiness Assessment zur Bewertung des Reifegrades der implementierten Kontrollen vor Durchführung des unabhängigen internen oder externen Assessments durch. Darüber hinaus bieten wir Ihnen an, das unabhängige Assessment in Bezug auf die Angemessenheit und Wirksamkeit der implementierten Kontrollen aus dem SWIFT CSCF zur Meldung an SWIFT durchzuführen.

Die wesentlichen Neuerungen im SWIFT CSP für 2020 und was diese für Sie als SWIFT-Teilnehmer bedeuten, stellen wir Ihnen umfassend in unserem Whitepaper vor. Lesen Sie mehr.

Hier können Sie sich unser Whitepaper herunterladen: