The Doppler Quarterly (DEUTSCHE) Herbst 2016 | Page 56

Sind Sie bereit für
Ihr Cloud-Audit?
Anfang des Jahres begleiteten wir einen der führenden Kreditkartenanbieter
bei der erfolgreichen Durchführung des ersten PCI- und SOX-Audits in Amazon Web Services.
Vor nur fünf Jahren unterstützte CTP einen der bedeutendsten Kunden aus dem
Finanzsektor beim Einstieg in AWS. Heute lässt das Unternehmen Tausende
Workloads in der Cloud verarbeiten. Die letzte Migration umfasste mehrere datenab-
hängige Anwendungen, was zur Folge hatte, dass das jährliche Audit vom privaten
Rechenzentrum auf die Public Cloud-Umgebungen des Unternehmens ausgeweitet
werden musste.
Die Prüfer
Das US-Amt für Währungskontrolle (OCC) ist eine unabhängige Stelle des Finanzmi-
nisteriums der Vereinigten Staaten und für die Überwachung der US-amerikani-
schen Banken und Kreditinstitute zuständig. Im letzten Frühjahr führte die Behörde
erstmalig ein Public Cloud-Audit durch. Gegenstand war die AWS-Umgebung unse-
res Kunden. Es wurden sowohl PCI (Payment Card Industry)- als auch SOX
(Sarbanes-Oxley)-Komponenten geprüft.
Das Projekt
Im Verlauf von neun Wochen wurden Mitglieder des IT-Teams und Mitarbeiter sämt-
licher Geschäftsbereiche ausführlich befragt. Dabei beurteilte das Team von CTP,
inwieweit die Sicherheitskontrollen und -lösungen die PCI- und SOX-Anforderungen
erfüllten, um Schwachstellen beim Schutz und der vertraulichen Handhabung von
Kundendaten zu identifizieren. Nach einer Gegenüberstellung der lokalen Unterneh-
mensumgebung und der AWS-Umgebung wurden Sicherheitslücken aufgrund feh-
lender oder veralteter Sicherheitslösungen aufgedeckt. Anschließend wurden nicht
konforme Bereiche ermittelt und Lösungen vorgeschlagen, um die Sicherheit der
AWS-Umgebung des Finanzdienstleisters insgesamt zu verbessern.
Die Ergebnisse
Im Anschluss an die OCC-Untersuchung hat die Bank die Prüfung in allen Bereichen
ohne Beanstandung bestanden. Durch unser Audit konnte der Kunde nicht nur Geld-
bußen von bis zu 100.000 US-Dollar pro PCI-Beanstandung und bis zu 1 Mio. US-Dol-
lar an SOX-Strafen einsparen, sondern gleichzeitig das Kundenvertrauen stärken.
Dauerhafte Compliance erzielen
Immer mehr Unternehmen setzen auf die Cloud. Kunden benötigen Tools und Pro-
zesse, die ihnen Einblicke liefern, um Audits erfolgreich zu bestehen, und gleichzeitig
die Compliance-Überwachung in Echtzeit automatisieren. Wir haben letztes Jahr
Lösungen entwickelt, die genau das leisten, und freuen uns, Ihnen das Ergebnis
vorzustellen.
54 | THE DOPPLER | Herbst 2016