SEKTOR · BANK UND FINANZEN

Banken, Fintechs
und Finanzdienstleistungen.

Der europäische Finanzsektor arbeitet unter DORA (Digital Operational Resilience Act), PCI-DSS für Karten, EBA Guidelines on ICT Risk Management, MiFID II und nationalen Vorschriften der Zentralbanken. Itamite deckt die operative IKT-Schicht ab: Inventar, Hardening, unveränderliche Auditierung und auditierbare Fernsteuerung, die Ihre Compliance-Abteilung dem Aufsicht nachweisen kann.

Preise ansehen Bank-Demo

DORA gilt seit dem 17. Januar 2025

DORA ist unmittelbar anwendbar: Banken, Versicherer, Fonds, Asset Manager, Krypto-Plattformen, Marktinfrastrukturen und kritische IKT-Anbieter. Art. 6 verlangt einen Rahmen für das IKT-Risikomanagement, Art. 9 Schutz+Prävention+Erkennung, Art. 10 Erkennung, Art. 11 Reaktion und Wiederherstellung, Art. 17 Vorfallsmanagement mit 4h-Meldung an die Aufsicht. Ohne ein aktualisiertes IKT-Inventar und ein operatives Auditsystem können Sie DORA nicht erfüllen.

PCI-DSS v4.0 gilt für jedes Unternehmen, das Kartendaten verarbeitet, speichert oder überträgt: Issuer-Banken, Acquirer, Händler, ISVs, Gateways. Requirement 2 (Hardening-Konfiguration), Requirement 6 (Patches), Requirement 8 (Authentifizierung), Requirement 10 (Logs und Audit), Requirement 11 (Vulnerability Scanning) — Itamite deckt den Endpoints- und Server-Teil im Geltungsbereich ab.

Typische Fälle: mittelgroße Bank mit 5.000 Arbeitsplätzen in Filialen und Zentrale. Versicherer mit 1.500 Mitarbeitern und Maklernetzwerk. Fintech mit 200 Ingenieuren und DORA-Anforderungen nach der Finanzierungsrunde. Fondsmanager mit 80 Mitarbeitern und EBA-Anforderungen seitens der Aufsicht.

BANKEN- UND FINANZ-USE-CASES

Was Itamite für Finanzinstitute leistet

IKT-Inventar für DORA Art. 8

Vollständiges und aktualisiertes Inventar aller IKT-Assets: Hardware, Software, Abhängigkeiten, Kritikalität, Standort, Eigentümer, Verbindungen. Itamite erzeugt das von DORA geforderte „ICT Asset Register" mit auditierbarem Export und Änderungsverfolgung.

Hardening PCI-DSS v4.0 Requirement 2

Vorkonfigurierte Templates für CIS Benchmarks, automatisch angewendet: Passwortrichtlinien, deaktivierte Dienste, geschlossene Ports, BitLocker/FileVault, EDR-Antivirus, Firewall. Automatische Erkennung von Drift gegenüber dem Baseline.

Patch-Management unter SLA

Erfüllt PCI-DSS Req. 6 und DORA Art. 9: kritische Patches innerhalb von 30 Tagen, schwerwiegende innerhalb von 90 Tagen, normale innerhalb von 12 Monaten. Itamite meldet automatisch das Compliance Window. Dokumentierte Ausnahmen mit vom CISO unterzeichneter Begründung.

Unveränderliche Auditierung für die Aufsicht

SHA-256 Hash-Chain, die selbst von Administratoren nicht manipuliert werden kann. Jede technische Aktion, jeder Fernzugriff, jede Konfigurationsänderung wird mit Zeitstempel und verifizierbarem Hash erfasst. Bereit für Prüfungen von BaFin, ESMA, EBA, nationalen Aufsichtsbehörden.

Auditierbarer Fernzugriff auf sensible Umgebungen

Fernsitzungen zu Geräten in der PCI/Cardholder Data Environment mit optionaler Aufzeichnung (SHA-256), obligatorischer MFA, Just-in-Time-Autorisierung, Audit-Log-Aufbewahrung mindestens 12 Monate. Erfüllt PCI-DSS Req. 8 und 10.

Vorfallsmeldung gemäß DORA Art. 17

Wenn ein meldepflichtiger IKT-Vorfall erkannt wird, liefert Itamite eine vollständige forensische Timeline: betroffene Endpunkte, anomale Zugriffsmuster, durchgeführte technische Maßnahmen. Direkt verwendbares Material für die 4-Stunden-Meldung an die Aufsicht.

Itamite Finanzprogramm

Für Enterprise-Finanzinstitute: spezifisches Setup mit DORA + PCI-DSS + EBA Guidelines Templates, Schulung der Compliance-Abteilung, jährlicher Auditplan mit Unterstützung eines Partner-Auditors, optionales Hosting in einem zertifizierten Finanz-Rechenzentrum (PCI-DSS Level 1), native SIEM-Integration (Splunk, QRadar, Sentinel), 24x7-Support mit Finanz-SLA und vorbereiteter Eskalationslinie zur Aufsicht.

Vorkonfigurierte DORA Art. 8 ICT Asset Register Templates
Einsatzbereite PCI-DSS v4.0 Templates (Requirements 2, 6, 8, 10, 11)
Optionales Hosting in PCI-DSS Level 1 zertifiziertem Rechenzentrum
Native SIEM-Integration (Splunk, QRadar, Microsoft Sentinel, Elastic)
24x7-Support mit Finanz-SLA (kritischer Vorfall <15 Min)

FAQ

Fragen aus dem Finanzsektor

Deckt Itamite ganz DORA ab?

Itamite deckt die operative IKT-Schicht von DORA ab: Art. 6 (Inventar), Art. 8 (Asset Register), Art. 9 (Schutz/Patches/Hardening), Art. 10 (Anomalieerkennung), Art. 17 (Forensik für Berichterstattung). Nicht abgedeckt sind nicht-IKT-Themen: Executive Governance, Verträge mit kritischen IKT-Anbietern, fortgeschrittene Resilienztests (TLPT), Penetrationstests.

Kann ich Itamite in einer PCI-Umgebung mit CDE (Cardholder Data Environment) verwenden?

Ja, Itamite ist CDE-kompatibel. Der Agent kann auf einer kontrollierten Software-Liste betrieben werden, ohne ausgehenden Internetverkehr (Proxy-Whitelist), mit mTLS-Verschlüsselung und vollständiger Auditierung. Spezifische PCI-DSS-Dokumentation unter NDA verfügbar.

Ist Itrion ein kritischer IKT-Anbieter unter DORA?

Itrion ist kein von der Kommission als solcher deklarierter kritischer ICT third-party service provider (CTPP). Als IKT-Dienstleister unterzeichnen wir jedoch den von DORA Art. 30 geforderten Vertrag mit allen verpflichtenden Klauseln: Auditrecht, Kündigung, Eskalation, Exit Plan, Verarbeitungsstandort.

Wie passt es zu den EBA Guidelines on ICT and Security Risk Management?

Die EBA Guidelines sind die Grundlage, auf der DORA aufbaut. Itamite deckt dieselben Punkte ab: Asset-Inventar, Identitäts- und Zugriffsverwaltung, Change Management, Vorfallsmanagement, Business Continuity für IKT, Lieferantenmanagement. Dieselben Templates und Berichte funktionieren für beide Frameworks.

Bereit für DORA-Prüfung oder PCI-Audit

Enterprise-Demo mit vorkonfigurierten DORA + PCI + EBA Templates. Finanz-SLA und juristische BAA vorbereitet.