Compliance

ISAE 3000 Type 2 Report


Der International Standard on Assurance Engagements (ISAE) 3000 ist ein Standard, der für Prüfungen der internen Kontrolle, der Nachhaltigkeit und der Einhaltung von Gesetzen und Vorschriften angewendet wird. Der Bericht ISAE 3000 Typ 2 ist eine Selbstbeurteilung, die dann von einer unabhängigen Drittpartei geprüft wird und Gewissheit über die Eignung der Gestaltung und das Vorhandensein von Kontrollen über einen bestimmten Zeitraum gibt.

Dieser Bericht verifiziert die Wirksamkeit der internen Kontrollen des Rechenzentrums, das von Indagia benutzt wird, um die Einhaltung bestimmter Anforderungen der FINMA (Eidgenössische Finanzmarktaufsicht) zu unterstützen, die für regulierte Finanzdienstleistungskunden gelten."

Der Bericht deckt die Anforderungen der folgenden FINMA-Rundschreiben ab:

2018/03 FINMA-Rundschreiben „Outsourcing - Banken und Versicherer“ (21.09.2017).

FINMA-Rundschreiben 2008/21 „Operative Risiken - Banken“ (20.11.2008) - Principal 4 Technology Infrastructure.

2008/21 FINMA-Rundschreiben „Operative Risiken - Banken“ (20.11.2008) - Anhang 3 Umgang mit elektronischen Kundenidentifikationsdaten.

2013/03 FINMA-Rundschreiben „Auditing“ (06.12.2012) - Informationstechnologie.

ISO/IEC 27001


Die Internationale Organisation für Normung (ISO) ist eine unabhängige, nichtstaatliche internationale Organisation mit einer internationalen Mitgliedschaft von 163 nationalen Normungsgremien. Die ISO/IEC 27000-Normenfamilie unterstützt Organisationen bei der Sicherung ihrer Informationsbestände.

In ISO/IEC 27001 sind die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) dargelegt. Ausserdem enthält diese Norm eine Reihe von Best Practices sowie Details zu Sicherheitskontrollen für den Umgang mit Informationsrisiken.

Die von Indagia genutzte Infrastruktur ist als ISO/IEC 27001-konform zertifiziert. Die Norm 27001 schreibt keine spezifischen Informationssicherheitskontrollen vor, aber der Rahmen und die Checkliste der Kontrollen, die sie festlegt, ermöglichen es unseren Lieferanten, ein umfassendes und sich ständig verbesserndes Modell für das Sicherheitsmanagement zu gewährleisten.

SOC 1


Ein SOC 1-Bericht (System and Organization Controls) dokumentiert die Kontrollen einer Serviceorganisation, die für die Finanzberichterstattung relevant sein können. Die Google Cloud Platform wird regelmässig von einem unabhängigen Unternehmen überprüft, um einzelne Produkte anhand dieses Standards zu zertifizieren.

SSAE 16 / ISAE 3402 Typ II

Das Komitee für Prüfungsstandards (Auditing Standards Board) des Instituts amtlich zugelassener Wirtschaftsprüfer AICPA (American Institute of Certified Public Accountants) hat seine Stellungnahme zu Wirtschaftsprüfungsstandards SSAE 16 (Statement on Standards for Attestation Engagements) erstellt, um mit den weltweit anerkannten internationalen Rechnungslegungsstandards Schritt zu halten.

SSAE 16 ist eng an den internationalen Standard für Assurance-Aufträge ISAE 3402 (International Standard on Assurance Engagements) angelehnt.

Mithilfe von SSAE 16 und ISAE 3402 wird von einem unparteiischen Dritten ein Bericht erstellt, der eine Reihe von Aussagen einer Organisation über ihre Kontrollen bestätigt. Die Kontrolle der Finanzinformationen wird anhand des SOC-Frameworks gemessen.

Die Infrastruktur unserer Lieferanten wird regelmässig von einer Drittpartei überprüft, um einzelne Produkte nach diesem Standard zu zertifizieren.