Crosskey und Nexus Lifecycle

Sicherere, agilere und vertrauenswürdigere Lösungen für Banken

Crosskey entwickelt, liefert und wartet Systeme und Lösungen für die Europäische Zentralbank und Kapitalmärkte. Die Lösungen von Crosskey umfassen Kernbankenlösungen, Kreditkartenlösungen und Channel-Lösungen wie Mobile- und Internet-Banking und Front-Office-Lösungen.

Die Herausforderung: Compliance als Chance zur Differenzierung innerhalb des Marktes nutzen

Unternehmen, die Zahlungskartentransaktionen abwickeln, müssen internationale Anforderungen nach dem Data Security Standard der Payment Card Industry (PCI DSS) erfüllen. Monika Liikamaa, Director of Crosskey Card Solutions, sah das Thema Compliance als gewaltige Aufgabe – aber auch als seltene Gelegenheit für Crosskey, sich damit innerhalb des stark umkämpften Marktes zu differenzieren. Der Compliance-Prozess begann mit einem Team aus Entwicklern und Systemarchitekten, die genau untersuchten, wie Crosskey mit minimalem manuellen Arbeitsanteil die gesetzlichen Vorgaben einhalten und diese Compliance langfristig beibehalten könnte.

„Sonatype spezialisiert sich auf die Optimierung der komponentenbasierten Entwicklung. Deshalb ist die Qualität um ein Vielfaches höher als bei anderen von uns beurteilten Lösungen und außerdem wesentlich besser als der manuelle Aufwand.“
– Monika Liikamaa, Director of Crosskey Card Solutions

Die Lösung: Verwendung von Sonatype Nexus zur Gewährleistung der PCI-Compliance bei gleichzeitiger Optimierung der OSS-Entwicklung

Sonatype spielt eine wichtige Rolle bei der Unterstützung von Unternehmen bei der Einhaltung der PCI-Richtlinien, darunter OWASP A9, indem das Risiko von Komponenten/Artefakten reduziert wird, die aktuell etwa 80 Prozent einer durchschnittlichen Anwendung ausmachen. Diese Anforderungen umfassen das Führen einer vollständigen Bestandsliste der Komponenten und die Vermeidung bekannter Schwachstellen. „Für uns war es entscheidend, Lösungen auszuwählen, die uns nicht nur bei der Einhaltung gesetzlicher Vorgaben helfen, sondern auch nachhaltige und agile langfristige Prozesse bieten konnten, die unsere Mitarbeiter nicht zusätzlich belasten. Wir möchten im Durchschnitt alle sechs Wochen eine neue Version veröffentlichen, also war es keine Option, den Browser zu öffnen und manuell jede einzelne Komponente zu prüfen“, sagt Liikamaa. „Sonatype spezialisiert sich auf die Optimierung der komponentenbasierten Entwicklung. Deshalb ist die Qualität um ein Vielfaches höher als bei anderen von uns beurteilten Lösungen und außerdem wesentlich besser als der manuelle Aufwand. Wir können unsere Arbeit schneller erledigen und haben die volle Kontrolle. Zudem mochten unsere Entwickler und Systemarchitekten die Tatsache, dass sie nun mehr Sicherheit hatten und die Anforderungen erfüllen konnten, ohne die Entwicklung zu verlangsamen.“

„Wir würden die Software von Sonatype definitiv weiterempfehlen. Sie entspricht allen unseren Anforderungen und bietet noch vieles mehr. Mit Sonatype sind wir agiler und sicherer als je zuvor und einer der Top-Dienstleister in dieser Branche.“

Das Ergebnis: Einhaltung des Payment Card Industry Data Security Standard mithilfe von Sonatype

„Der Schutz der Daten von Karteninhabern ist unglaublich wichtig und doch erfüllen viele Unternehmen immer noch nicht die PCI-Richtlinien. Für uns ist das ein großer Wettbewerbsvorteil“, sagt Liikamaa. „Mit der PCI-Compliance bieten wir unseren Anwendern einen Vertrauensbonus und Sonatype ist ein wichtiger Bestandteil dieser Lösung.“ Innerhalb weniger Tage half die Sonatype Nexus Lifecycle-Lösung (ehemals Component Lifecycle Management - CLM) Crosskey bei der Erstellung einer Bill of Materials aller in ihrer Kartenverarbeitungslösung verwendeten Komponenten/Artefakte, identifizierte die am stärksten gefährdeten Elemente und erleichterte die Implementierung sichererer Optionen. „Diese Schritte manuell durchzuführen, wäre nicht infrage gekommen“, sagt Liikamaa. „Zuerst hätten wir das Verfahren entwickeln müssen und dann hätte jemand ständig die Artefakte prüfen müssen. Und wie wollen wir beweisen, was wir getan haben? Ich denke, manuelle Verfahren wären für die PCI nicht ausreichend gewesen. Es gibt keine 98 % Compliance. Entweder ist man vollständig konform oder eben nicht. „Wir würden die Software von Sonatype definitiv weiterempfehlen. Sie entspricht allen unseren Anforderungen und bietet noch vieles mehr. Die Erkennung und Auswahl der besten und sichersten Artefakte hatte einen großen Anteil an der Erfüllung der Anforderungen. Aber das Produkt beschleunigt auch insgesamt den Entwicklungs- und Freigabeprozess. Mit Sonatype sind wir agiler und sicherer als je zuvor und einer der Top-Dienstleister in dieser Branche.“

VERTRIEB KONTAKTIEREN

Bereit, Sonatype auszuprobieren?

Schützen und automatisieren Sie Ihre Software-Supply-Chain.