Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Kostenlos testen DEMO
Home > Sicherheits- und Compliance-Blog > PCI-Compliance > PCI-konforme Dateifreigabe – Anforderungen & Einhaltung
PCI-konforme Dateifreigabe – Anforderungen & Einhaltung

PCI-konforme Dateifreigabe – Anforderungen & Einhaltung

von Bob Ertl updated August 6, 2023 PCI-Compliance
Lesezeit: 6 Minuten

Suchen Sie nach einer PCI-kompatiblen Dateifreigabelösung? Die Risiken einer Nichteinhaltung sind erheblich, einschließlich des Verlusts der Fähigkeit, Kreditkartenzahlungen zu akzeptieren.

Ist SFTP PCI-kompatibel? SFTP kann PCI-kompatibel sein, wenn die Sicherheit und Verschlüsselung von SFTP auf die entsprechenden Ebenen eingestellt sind. Andernfalls ist Ihr SFTP nicht PCI-konform, wenn die Verschlüsselungsstandards nicht eingehalten werden.

Was bedeutet es, PCI DSS-konform zu sein?

PCI DSS ist ein Framework, das jeden unterstützen soll, der Zahlungen per Kredit- oder Debitkarte akzeptiert. PCI DSS wird von einem Konsortium aus Kreditkartenprozessen wie Visa, Mastercard und American Express durchgesetzt und ist nicht landesweit vorgeschrieben, sondern ein integraler Bestandteil der Verarbeitung jeder Kreditzahlung.

PCI DSS umfasst 12 Sicherheitsanforderungen:

  1. Installieren und pflegen Sie eine Firewall-Konfiguration zum Schutz der Karteninhaberdaten
  2. Verwenden Sie keine vom Hersteller bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter
  3. Schützen Sie gespeicherte Karteninhaberdaten
  4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke
  5. Verwenden und aktualisieren Sie regelmäßig Antivirensoftware oder -programme
  6. Entwickeln und warten Sie sichere Systeme und Anwendungen
  7. Beschränken Sie den Zugriff auf Karteninhaberinformationen entsprechend den geschäftlichen Anforderungen
  8. Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu
  9. Beschränken Sie den physischen Zugriff auf Karteninhaberinformationen
  10. Verfolgen und überwachen Sie sämtliche Zugriffe auf Netzwerkressourcen und Karteninhaberdaten
  11. Testen Sie regelmäßig Sicherheitssysteme und -prozesse
  12. Halten Sie eine Richtlinie ein, die die Informationssicherheit für alle Mitarbeiter berücksichtigt

Händler, Einzelhändler und Verkaufsorganisationen machen sich häufig die größten Sorgen über PCI, und andere Unternehmen, die Zahlungen akzeptieren, aber keine Händler sind, beauftragen häufig Zahlungsabwickler von Drittanbietern, die selbst PCI DSS-konform sind. Banken, die Kreditkarten ausstellen, lagern die Verarbeitung der Transaktionen häufig aus und verlangen vom Outsourcer ein Höchstmaß an PCI-Konformität.

Wie wirkt sich dies auf die Weitergabe von Daten aus? Da PCI DSS Kundendaten durch Sicherheit und Risikomanagement schützt, gilt dies für jedes System, das diese Daten für die Zahlungsabwicklung für finanzielle Zwecke speichert. Dies kann die Weitergabe von Daten im Rahmen einer Finanztransaktion oder die weitere Nutzung von Zahlungsdaten zur Abwicklung wiederkehrender Abonnementdienste umfassen.

So werden Sie PCI-konform

PCI DSS steht für Payment Card Industry Data Security Standard und ist eine Reihe von Standards, die von den großen Kreditkartenunternehmen zum Schutz der sensiblen Daten ihrer Kunden entwickelt wurden. Die PCI-DSS-Konformität zu erreichen ist ein mehrstufiger Prozess, der eine umfassende Überprüfung Ihrer bestehenden Systeme und Prozesse erfordert.

Der erste Schritt besteht darin, herauszufinden, welche Zahlungskartentypen Sie akzeptieren und wie die Transaktionen abgewickelt werden. Dies erfordert eine Bewertung aller verschiedenen Teile Ihres Systems, einschließlich Software, Hardware und Netzwerke. Sobald Sie wissen, wo die sensiblen Daten gespeichert sind und wie sie durch Ihr System fließen, können Sie mit der Untersuchung beginnen, welche PCI DSS-Anforderungen gelten.

Der nächste Schritt besteht darin, zu beurteilen, wie kompatibel Ihre vorhandenen Systeme mit dem PCI DSS sind. Dies erfordert in der Regel eine Überprüfung der gesamten Hardware, Software und Prozesse, die Teil Ihres Systems sind. Es ist wichtig, nach Schwachstellen in Ihrem System und nach Bereichen zu suchen, in denen das System die Anforderungen des PCI DSS nicht erfüllt.

Sobald die Überprüfung abgeschlossen ist, können Sie mit der Implementierung aller erforderlichen Änderungen beginnen, um sicherzustellen, dass Ihr System die Anforderungen des PCI DSS erfüllt. Dies kann von der Aufrüstung von Hardware und Software bis hin zur Implementierung zusätzlicher Sicherheitsmaßnahmen wie Firewalls oder Verschlüsselung reichen. Sie müssen außerdem sicherstellen, dass Sie über eine Datensicherheitsrichtlinie verfügen, die darlegt, wie Sie Kundendaten schützen und wie Sie auf eine Datenschutzverletzung reagieren.

Nachdem alle Änderungen implementiert wurden, müssen Sie sie testen und überwachen, um sicherzustellen, dass sie den Anforderungen des PCI DSS entsprechen und so sicher wie möglich bleiben. Dies ist auch der richtige Zeitpunkt, um einen regelmäßigen Compliance-Auditplan zu entwickeln, um sicherzustellen, dass Ihr System auch in Zukunft konform bleibt.

Nachdem Sie alle erforderlichen Schritte zur PCI-DSS-Konformität abgeschlossen haben, sollten Sie sich bei einer der vom Payment Card Industry Security Standards Council (PCI SSC) akkreditierten Organisationen bewerben. Sie bewerten Ihr System und stellen Ihnen ein Konformitätszertifikat aus, wenn sie feststellen, dass Sie die Vorschriften einhalten.

Erfüllung der PCI-DSS-Verschlüsselung und anderer Compliance-Anforderungen

PCI-DSS-Verschlüsselungsanforderungen sind branchenführende Sicherheitsvorkehrungen, die Unternehmen implementieren müssen, um Kundendaten zu schützen und sichere Transaktionen, wie z. B. Kreditkarteninformationen, zu gewährleisten.

Die PCI-DSS-Anforderungen für die Verschlüsselung sind nicht nur komplex, sondern auch sehr differenziert. Erstens muss die Verschlüsselung verwendet werden, um alle als „sensible Authentifizierungsdaten“ eingestuften Daten zu schützen, zu denen alle primären Kontonummern (PANs) oder die vollständigen Magnetstreifendaten der Kredit- oder Debitkarte gehören. Darüber hinaus muss die Verschlüsselung einem anerkannten Industriestandard entsprechen, beispielsweise AES (Advanced Encryption Standard) oder Triple-DES (Data Encryption Standard), die zu den am häufigsten verwendeten Algorithmen gehören.

Für alle Daten, die über öffentliche Netzwerke gesendet werden, ist ebenfalls eine Verschlüsselung erforderlich. Das bedeutet, dass alle Daten, die von einem Computer zum anderen gesendet werden, verschlüsselt werden müssen, ebenso wie alle Händler, die Zahlungen online akzeptieren möchten. Alle Daten müssen verschlüsselt werden, wenn sie den Ursprungsort verlassen und ihr Ziel erreichen. Dazu gehören alle Daten, die in Datenbanken jeglicher Art gespeichert sind, in denen die persönlichen Daten der Kunden gespeichert sind.

Eine der Hauptanforderungen des PCI DSS ist der Einsatz strenger Zugriffskontrollmaßnahmen. Dies bedeutet, dass zur Überprüfung der Identität des Benutzers ein sicheres Authentifizierungssystem verwendet werden muss. Es wird außerdem dringend empfohlen, allen Mitarbeitern, die Zugriff auf die Datenbank haben, eindeutige Token oder Passwörter zur Verfügung zu stellen, die für den Zugriff auf die Datenbank verwendet werden müssen.

Insgesamt sind die PCI-DSS-Verschlüsselungsanforderungen für die Gewährleistung der Sicherheit und des Datenschutzes von Kundeninformationen von wesentlicher Bedeutung. Unternehmen, die diese Anforderungen nicht erfüllen, drohen erhebliche Geldstrafen sowie der potenzielle Verlust von Kunden, wenn die Daten gestohlen oder kompromittiert werden. Unternehmen, die dabei sind, Verschlüsselung zu implementieren, sollten sicherstellen, dass sie alle PCI DSS-Anforderungen erfüllen, um mögliche Probleme zu vermeiden.

Wie wirkt sich PCI DSS auf die Beziehungen zwischen Ihrem Unternehmen und Lieferanten aus?

PCI DSS ist eine Voraussetzung für die Zusammenarbeit mit großen Kreditkartenunternehmen beim Umgang mit sensiblen Kreditkartendaten. In diesem Fall handelt es sich bei den sensiblen Daten um Kreditkartennummern, CVV-Nummern, Ablaufdaten, Informationen von einem EMV-Chip oder Magnetstreifen sowie etwaige persönliche Daten des Karteninhabers. Obwohl dies nicht von nationalen, staatlichen oder regionalen Regierungen durchgesetzt wird, legen Kreditkartenanbieter Wert auf die Einhaltung. Bei Nichteinhaltung unterliegen Sie und alle Unternehmen, die Daten verarbeiten, den von diesen Anbietern verhängten Strafen. Zu diesen Strafen können gehören:

  1. Geldstrafen von bis zu 100.000 US-Dollar pro Monat bis zur Einhaltung der Vorschriften.
  2. Schäden an Ihrem Händlerkonto aufgrund von Nichteinhaltung, wodurch die Abwicklung von Kartenzahlungen kostspielig oder sogar unmöglich werden kann.
  3. Die negativen Auswirkungen auf Ihr Händlerkonto aufgrund von Betrug oder Rückbuchungsaktivitäten, die nicht durch konforme Technologiestandards erfasst werden.

Diese Risiken und Strafen liegen außerhalb der gesetzlichen Verpflichtungen, die Sie im Falle einer Datenschutzverletzung gegenüber Kunden oder der Regierung haben könnten.

Diese Probleme bestehen weiterhin, wenn Sie einen Zahlungsabwickler eines Drittanbieters nutzen, da dieser ebenfalls die Einhaltung der Vorschriften gewährleisten muss. Das bedeutet, dass jede von ihnen verwendete Technologie konform sein muss und dass jeglicher Datenaustausch zwischen Ihnen und ihnen (Dateiübertragungen, Dateispeicherung oder Dateifreigabe) ebenfalls den PCI-Vorschriften entsprechen muss.

Kann ein Drittanbieter bei der Compliance helfen?

Die kurze Antwort lautet: Ja. Wenn Sie einen Zahlungsabwicklungsanbieter nutzen, kann dieser Ihre Compliance-Belastung minimieren. Wenn sie PCI DSS-kompatibel sind und die gesamte Datenspeicherung übernehmen, erleichtert dies die Führung Ihres Unternehmens. Darüber hinaus können diese Anbieter auch konforme Dienste zur Erweiterung Ihres Angebots anbieten, einschließlich sicherer Speicherung für die Verarbeitung wiederholter Zahlungen oder Abonnements.

Wenn Sie Kundendaten jedoch auch in Zusammenarbeit mit einem externen Zahlungsanbieter verarbeiten, müssen Sie auch auf Ihrer Seite über konforme Technologie verfügen. Wenn Sie mit ihnen in irgendeiner Weise über vertrauliche Informationen kommunizieren, beispielsweise bei Dateiübertragungen, verwenden beide Parteien dazu häufig die Secure FTP (SFTP)-Technologie.

SFTP reicht jedoch nicht aus. Erstens muss jeder SFTP-Server abgesichert sein, um Sicherheitsverletzungen zu verhindern, strenge Datenzugriffskontrollen bereitzustellen und für die Verarbeitung verschlüsselter Daten gemäß PCI-Anforderungen konfiguriert sein. Zweitens bietet SFTP keine Unterstützung für die im PCI DSS-Framework enthaltenen Geschäfts- und Prüfanforderungen. Aus diesem Grund kann eine Managed File Transfer (MFT)-Lösung hilfreich sein.

Ein PCI-konformer MFT- Drittanbieter kann eine sichere Speicherung und gemeinsame Nutzung bereitstellen, die PCI erfüllt und gleichzeitig Folgendes unterstützt:

  1. Sichere Dateifreigabe: Dazu gehören AES-128- oder AES-256-Verschlüsselung für Daten im Ruhezustand und TLS 1.2 oder höher für Daten während der Übertragung.
  2. Audit-Protokollierung: Ein ordnungsgemäßes Audit-Protokoll liefert zu Diagnose- oder Präventionszwecken einen lückenlosen Nachweis aller Sicherheitsereignisse. Ebenso erhalten Sie dadurch zusätzliche Tools, mit denen Sie im Rahmen einer Beurteilung nachweisen können, dass Sie die Anforderungen erfüllen.
  3. Firewall-Schutz: PCI DSS erfordert eine Firewall, um den Zugriff auf Server zu schützen, und Ihre MFT-Plattform sollte dies auch tun, einschließlich spezieller Schutzmaßnahmen für die gemeinsame Nutzung über die Firewall-Barriere hinweg und den Schutz von Karteninhaberdaten.
  4. Sichere Methoden zur Dateifreigabe mit externen Benutzern: E-Mails sind nicht sicher und die Weitergabe von Informationen über unverschlüsselte E-Mails verstößt gegen die Compliance. Secure MFT kann durch sichere Links echte Sicherheit bieten und den einfachen E-Mail- und Dateiaustausch über verschlüsselte Server unterstützen.

Der Kiteworks-Unterschied

Die Kiteworks-Plattform ist eine MFT- und SFTP- Lösung, die die Anforderungen aller Organisationen erfüllt, die Karteninhaberdaten verarbeiten. Wir sind uns darüber im Klaren, dass nicht alle Unternehmen auf die gleiche Art und Weise mit Zahlungen umgehen. Die Nutzung unserer Plattform gibt Ihnen daher die Gewissheit, dass Sie sich auf den Geschäftsbetrieb und nicht auf die Details der Compliance konzentrieren können.

Mit der Kiteworks-Plattform können Sie Ihre Geschäfts- und Compliance-Strategien unter einem Dach mit den folgenden Funktionen ausrichten:

  1. Sicherheit: Wir bieten sicheres SFTP, das die PCI DSS-Anforderungen für Dateiübertragungen und -speicherung erfüllt. Die virtuellen Appliances sind durch Schutzschichten wie eingebettete und abgestimmte Netzwerke und Webanwendungs-Firewalls, Zero-Trust-Kommunikation zwischen internen Diensten, Architekturfunktionen, die verhindern, dass Daten in Ihrer DMZ gespeichert werden, Zero-Trust zwischen Diensten, strenge Standardsicherheit und Compliance abgesichert Richtlinienkontrollen und andere. Unsere Systeme sind durch sichere Firewalls mit Proxy-Interaktionsebenen geschützt, sodass keine sensiblen Informationen ein- oder ausgehen.
  2. Daten- und Audit-Protokollierung: Die Kiteworks-Plattform verwendet unveränderliche Audit-Trails, damit Sie Compliance nachweisen und Sicherheitsereignisse effektiv verwalten können, wann immer sie auftreten. Verfolgen, überwachen und visualisieren Sie die Datennutzung in Ihrem System mit unserem speziellen CISO-Dashboard, das Ihre Compliance- und Geschäftsabläufe mit einem Überblick über Ihre Informationslandschaft aus der Vogelperspektive unterstützt. Wir bieten auch Exportfunktionen für Ihre bestehende SIEM-Lösung, einschließlich Splunk, IBM QRadar, LogRhythm und ArcSight.
  3. Compliance bei der Dateifreigabe: Wir stellen sichere E-Mail- Links zu unseren verschlüsselten Servern bereit, sodass Sie vertrauliche Daten über herkömmliche E-Mails mit den richtigen Personen teilen können.

Noch wichtiger ist, dass die Kiteworks-Plattform für Sie gesichert ist, sodass sie PCI-konform ist. Wir verlangen von unseren Kunden, dass sie zu Beginn des Onboardings eindeutige Passwörter festlegen, und implementieren strenge Datenzugriffs- und Authentifizierungskontrollen. Kiteworks nutzt außerdem einen sicheren OWASP-Entwicklungslebenszyklus mit automatisierten Sicherheitstests, White-Box- und Black-Box-Tests, regelmäßigen Penetrationstests und einem kontinuierlichen Bounty-Programm zur Aufdeckung von Schwachstellen. Schließlich machen wir die Konfiguration und Nutzung Ihres Systems einfach, ohne Kompromisse bei der Compliance oder Sicherheit einzugehen.

Um mehr über die gemeinsame Nutzung von PCI-Compliance-Dateien zu erfahren, vereinbaren Sie noch heute eine individuelle Demo von Kiteworks.

Tags: Cyber Security on Security Boulevard |

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

See Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN
Teilen
Twittern
Teilen
Get A Demo