Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > PCI-naleving > PCI-conforme bestandsoverdracht: Essentiële vereisten & effectieve nalevingsstrategieën
PCI-conforme bestandsoverdracht: Essentiële vereisten & effectieve nalevingsstrategieën

PCI-conforme bestandsoverdracht: Essentiële vereisten & effectieve nalevingsstrategieën

by Bob Ertl updated september 4, 2024 PCI-naleving
Reading Time: 9 minutes

PCI-naleving speelt een cruciale rol bij het versterken van de integriteit en beveiliging van creditcardgegevens die bedrijven verwerken, beheren en delen met vertrouwde derden. Telkens wanneer bedrijven deze gegevens delen, lopen ze het risico deze bloot te stellen aan onbevoegde gebruikers. Ongeautoriseerde toegang kent vele vormen: malware-aanvallen, ransomware-aanvallen, bedrijfsspionage, verkeerde bezorging, phishing en meer. Deze risico’s vereisen dat bedrijven geavanceerde beveiligingsmaatregelen implementeren die verder gaan dan standaard firewall-bescherming. PCI-naleving bestaat om ervoor te zorgen dat creditcardgegevens worden beschermd tegen ongeautoriseerde toegang, wat kan leiden tot fraude of identiteitsdiefstal met deze gevoelige gegevens. Van overdracht tot opslag biedt beveiligde bestandsoverdracht organisaties een robuuster beveiligingskader, een noodzaak om PCI-naleving aan te tonen.

Als je op zoek bent naar een PCI-conforme oplossing voor bestandsoverdracht, biedt deze Blog Post je de essentiële vereisten en strategieën voor naleving. Een PCI-conforme, veilige oplossing voor bestandsoverdracht beperkt niet alleen het risico op een datalek, maar ook het risico op niet-naleving, wat op korte termijn (boetes en sancties, bedrijfsverstoring, rechtszaken) kostbaar kan zijn, maar ook op lange termijn (verlies van klantvertrouwen en merkschade). De risico’s van niet-naleving zijn dus aanzienlijk.

Overzicht van PCI-naleving

De Payment Card Industry Data Security Standard (PCI DSS) is een raamwerk bedoeld ter ondersteuning van iedereen die betalingen accepteert via credit- of debitcards. Afgedwongen door een consortium van creditcardverwerkers zoals Visa, Mastercard en American Express, is PCI DSS niet wettelijk verplicht, maar vormt het een integraal onderdeel van het verwerken van elke creditcardbetaling. PCI DSS omvat 12 beveiligingsvereisten:

  1. Installeer en onderhoud een firewallconfiguratie om kaarthoudergegevens te beschermen
  2. Gebruik geen door leveranciers geleverde standaardwachtwoorden en andere beveiligingsparameters
  3. Bescherm opgeslagen kaarthoudergegevens
  4. Versleutel overdracht van kaarthoudergegevens via open, openbare netwerken
  5. Gebruik en update regelmatig antivirussoftware of -programma’s
  6. Ontwikkel en onderhoud veilige systemen en applicaties
  7. Beperk de toegang tot kaarthouderinformatie tot wat zakelijk noodzakelijk is
  8. Ken een unieke ID toe aan elke persoon met computer-toegang
  9. Beperk fysieke toegang tot kaarthouderinformatie
  10. Volg en monitor alle toegang tot netwerkbronnen en kaarthoudergegevens
  11. Test regelmatig beveiligingssystemen en processen
  12. Onderhoud een beleid dat informatiebeveiliging voor al het personeel behandelt

Fysieke winkels en e-commercemerchants en -retailers zijn vaak het meest bezorgd over PCI, en andere bedrijven die betalingen accepteren maar geen merchants zijn, schakelen vaak externe betalingsverwerkers in die zelf PCI-conform zijn. Banken die creditcards uitgeven besteden de verwerking van transacties vaak uit en eisen het hoogste niveau van PCI-naleving van de verwerker.

Kaarthoudergegevens omvatten creditcardnummers, CVV-codes, vervaldatums, informatie van een EMV-chip of magneetstrip en alle persoonlijke gegevens van de kaarthouder. Boetes voor niet-naleving van PCI kunnen onder andere het volgende omvatten:

  1. Boetes tot en met $100.000 per maand totdat aan de naleving is voldaan.
  2. Schade aan je merchant-account door niet-naleving, waardoor het kostbaar of zelfs onmogelijk kan worden om kaartbetalingen te verwerken.
  3. De negatieve impact op je merchant-account door fraude of terugboekingen die niet worden onderschept door conforme technologische standaarden.

Deze risico’s en sancties zijn alleen PCI-specifiek. Een datalek waarbij kaarthoudergegevens betrokken zijn, zal waarschijnlijk leiden tot boetes, sancties en gevolgen vanuit andere klant-, consument- of burgergerichte privacywetten zoals de GDPR van de EU, de CCPA van Californië, de BDSG van Duitsland, de PIPEDA van Canada, de DPA 2018 van het VK en vele anderen.

Je blijft verantwoordelijk voor het aantonen van PCI-naleving als je een externe betalingsverwerker gebruikt, aangezien zij verplicht zijn PCI-naleving aan te tonen. Dat betekent dat elke oplossing voor beveiligde bestandsoverdracht die jij of de verwerker gebruikt om kaarthoudergegevens uit te wisselen ook PCI-conform moet zijn.

Hoe PCI-naleving te bereiken

PCI-conform worden is een proces in meerdere stappen dat een grondige beoordeling van je bestaande systemen en processen vereist.

De eerste stap is om vast te stellen welke typen betaalkaarten je accepteert en hoe de transacties worden verwerkt. Dit vereist een beoordeling van alle verschillende onderdelen van je systeem, inclusief software, hardware en netwerken. Zodra je weet waar de gevoelige gegevens zijn opgeslagen en hoe deze door je systeem stromen, kun je onderzoeken welke PCI DSS-vereisten van toepassing zijn.

De volgende stap is het beoordelen in hoeverre je bestaande systemen voldoen aan de PCI DSS. Dit vereist meestal een beoordeling van alle hardware, software en processen die deel uitmaken van je systeem. Dit omvat uiteraard elk systeem, oplossing of applicatie die wordt gebruikt om creditcardgegevens te delen of op te slaan. Voorbeelden van bestandsoverdracht zijn Microsoft Outlook en Gmail, terwijl voorbeelden van opslag Google Drive, Microsoft OneDrive en SharePoint, Box en Dropbox zijn. Het is belangrijk om te zoeken naar eventuele zwakke plekken in je systemen en oplossingen die niet voldoen aan de vereisten van PCI DSS.

Nadat de beoordeling is afgerond, kun je beginnen met het implementeren van de benodigde wijzigingen om ervoor te zorgen dat je systeem voldoet aan de vereisten van PCI DSS. Dit kan variëren van het upgraden van hardware en software tot het implementeren van extra beveiligingsmaatregelen, zoals firewalls of encryptie. Je moet er ook voor zorgen dat je een gegevensbeveiligingsbeleid hebt waarin staat hoe je klantgegevens beschermt en hoe je reageert op een datalek.

Nadat alle wijzigingen zijn doorgevoerd, moet je deze testen en monitoren om te waarborgen dat ze voldoen aan de vereisten van PCI DSS en zo veilig mogelijk blijven. Dit is ook het moment om een regelmatig auditrooster voor naleving op te stellen, zodat je systeem in de toekomst compliant blijft.

Nadat je alle stappen hebt voltooid om PCI-conform te worden, dien je een aanvraag in bij een van de door de Payment Card Industry Security Standards Council (PCI SSC) geaccrediteerde organisaties. Zij beoordelen je systeem en verstrekken een Certificate of Compliance als ze vaststellen dat je aan de PCI-normen voldoet.

Beveiligde bestandsoverdracht en PCI-naleving

PCI-naleving, evenals andere wettelijke vereisten en standaarden, heeft aanbieders van software voor bestandsoverdracht ertoe aangezet hun protocollen fundamenteel te herzien, waarbij beveiliging nu prioriteit krijgt boven functionaliteit en gebruiksgemak. Deze oplossingen bieden nu, in diverse mate, uitgebreide controles op het gebied van encryptie en sleutelbeheer, toegangscontrole en regelmatige kwetsbaarheidsbeoordelingen. Een PCI-conforme oplossing voor beveiligde bestandsoverdracht zorgt ervoor dat kaarthoudergegevens worden opgeslagen, verwerkt en verzonden via een beveiligd netwerk. Dit biedt zekerheid aan bedrijven, medewerkers en klanten en creëert een veilig communicatiekanaal voor gevoelige creditcardgegevens.

Vereisten voor beveiligde bestandsoverdracht voor PCI-naleving

De vereisten voor PCI-conforme systemen voor bestandsoverdracht richten zich op strenge beveiligingsprotocollen. Organisaties die niet aan deze vereisten voldoen, kunnen aanzienlijke gevolgen ondervinden, waaronder boetes, rechtszaken, klantenverlies en meer bij een datalek waarbij kaarthoudergegevens en persoonlijk identificeerbare informatie (PII) van klanten worden blootgesteld. Hieronder lichten we enkele van de vereisten voor beveiligde bestandsoverdracht voor PCI-naleving toe.

Gegevensencryptie voor PCI-naleving

De encryptievereisten van PCI DSS zijn toonaangevende beveiligingsmaatregelen die bedrijven moeten implementeren om creditcardinformatie te beschermen wanneer deze wordt opgeslagen en gedeeld. De PCI DSS-vereisten voor encryptie zijn niet alleen complex, maar ook behoorlijk genuanceerd. Ten eerste moet encryptie worden gebruikt om alle gegevens die als “gevoelige authenticatiegegevens” zijn geclassificeerd te beschermen, waaronder primaire rekeningnummers (PAN’s) of de volledige magneetstripgegevens van de credit- of debitcard. Daarnaast moet de encryptie voldoen aan een goedgekeurde industriestandaard, zoals AES-encryptie voor gegevens in rust en TLS voor encryptie van gegevens tijdens verzending.

Encryptie is ook vereist voor alle gegevens die via openbare netwerken worden verzonden. Dit betekent dat alle gegevens die van de ene machine naar de andere worden verzonden, moeten worden versleuteld, evenals alle merchants die online betalingen willen accepteren. Alle gegevens moeten worden versleuteld wanneer ze het vertrekpunt verlaten en wanneer ze hun bestemming bereiken. Dit geldt ook voor alle gegevens die zijn opgeslagen in een database waar persoonlijke informatie van klanten wordt bewaard.

Toegangscontrole voor PCI-naleving

Een andere belangrijke PCI-vereiste voor veilige bestandsoverdracht is het gebruik van sterke toegangscontroles. Door het toepassen en afdwingen van rolgebaseerde machtigingen en rolgebaseerde toegangscontrole zorgen bedrijven ervoor dat alleen medewerkers met een zakelijke noodzaak toegang hebben tot deze gevoelige informatie.

Multi-factor authentication (MFA) zorgt er bovendien voor dat alleen geautoriseerde medewerkers toegang hebben tot kaarthoudergegevens om de identiteit van de gebruiker te verifiëren. Het wordt ook sterk aanbevolen dat alle medewerkers die toegang hebben tot de database unieke tokens of wachtwoorden krijgen die gebruikt moeten worden om toegang te krijgen tot de database.

Aanvullende vereisten voor beveiligde bestandsoverdracht voor PCI-naleving

Organisaties moeten naast encryptie en toegangscontrole aan diverse aanvullende PCI DSS-vereisten voldoen. Denk hierbij aan het implementeren van een incident response plan, het versterken van netwerkbeveiliging, het uitvoeren van regelmatige audits en beveiligingscontroles en het documenteren van een gedetailleerd informatiebeveiligingsbeleid. Daarnaast dienen bedrijven fysieke beveiligingsmaatregelen te nemen om systemen met kaarthoudergegevens te beschermen, bewustwordingstrainingen voor medewerkers te organiseren en alle beveiligingsprocedures goed te documenteren.

Uitdagingen bij PCI-naleving

PCI-naleving brengt echter ook unieke uitdagingen met zich mee. De complexiteit en kosten die gepaard gaan met het opzetten van een PCI-conforme infrastructuur vormen een aanzienlijk obstakel voor veel organisaties, vooral voor kleinere bedrijven. Ook het waarborgen van regelmatige updates en het uitvoeren van systematische audits volgens de PCI-normen kan arbeidsintensief en tijdrovend zijn. Bovendien kunnen bedrijven in de valkuil van gemakzucht of een vals gevoel van veiligheid terechtkomen na het behalen van PCI-naleving. Het is daarom essentieel te begrijpen dat PCI-naleving geen eenmalige inspanning is, maar een continu proces dat voortdurende controle en periodieke verbeteringen vereist.

Hoe PCI-naleving bereiken met beveiligde bestandsoverdracht

Het waarborgen dat je oplossing voor beveiligde bestandsoverdracht PCI-conform is, is van cruciaal belang voor bedrijven omdat het kaarthoudergegevens beveiligt, risico’s beperkt en klantvertrouwen opbouwt. Hier zijn enkele praktische stappen en strategieën die bedrijven sterk zouden moeten overwegen om PCI-naleving te bereiken met beveiligde bestandsoverdracht:

Bouw en onderhoud een veilig netwerk Creëer en handhaaf een veilig netwerk. Installeer robuuste firewalls die het verkeer tussen het openbare netwerk en het interne netwerk waar gevoelige gegevens zijn opgeslagen reguleren. Vereis gegevensencryptie tijdens verzending om kaarthoudergegevens te beschermen. Voer regelmatige software-updates uit en scan uitgebreid op kwetsbaarheden. Segmenteer netwerken en voer systeemverharding uit om je netwerk te versterken. Investeer in inbraakdetectie- en preventiesystemen (IDS) die helpen bij het detecteren en blokkeren van potentiële bedreigingen.
Bescherm kaarthoudergegevens Kaarthoudergegevens die in bestanden worden opgeslagen, moeten veilig worden versleuteld met sterke cryptografische maatregelen, zodat ze onleesbaar blijven, zelfs bij een datalek. Tokenisatie kan ook worden toegepast om gevoelige kaartinformatie te vervangen door unieke identificatiesymbolen, terwijl de essentiële informatie behouden blijft zonder de beveiliging in gevaar te brengen.
Onderhoud een kwetsbaarheidsbeheerprogramma Voer regelmatig risicobeoordelingen uit om potentiële beveiligingsgaten te identificeren en te verhelpen. Implementeer effectieve advanced threat protection (ATP) en antivirus (AV)-oplossingen om te beschermen tegen schadelijke programma’s die kaarthoudergegevens kunnen compromitteren.
Implementeer sterke toegangscontrolemaatregelen Beperk de toegang tot kaarthoudergegevens tot alleen geautoriseerd personeel. Stel complexe wachtwoordbeleid op, implementeer twee- of multi-factor authentication en stel een grondig proces in voor het toekennen en intrekken van toegangsrechten. Hanteer een zero-trust beveiligingsmentaliteit om het aantal personen met toegang tot gevoelige kaarthoudergegevens te minimaliseren.
Monitor en test netwerken regelmatig Monitor en test netwerken regelmatig om beveiligingslekken snel te identificeren en te dichten. Dit omvat regelmatige audits van alle systeemcomponenten, monitoring en analyse van netwerkverkeer en het uitvoeren van regelmatige penetratietests en kwetsbaarheidsbeoordelingen om zwakke plekken te identificeren.
Onderhoud een informatiebeveiligingsbeleid Definieer rollen en verantwoordelijkheden, procedures voor het identificeren en reageren op potentiële datalekken en standaarden voor het bewaren en vernietigen van kaarthoudergegevens. Organiseer regelmatig trainingen over beveiligingsbewustzijn zodat al het personeel deze beleidsregels begrijpt en naleeft.

PCI-conforme bestandsoverdracht en risicobeheer voor leveranciers

Een externe leverancier kan beveiligde bestandsoverdracht- en opslagmogelijkheden bieden die voldoen aan PCI en ondersteunen het volgende:

  1. Beveiligde bestandsoverdracht: Dit omvat AES-128 of AES-256 Encryptie voor gegevens in rust en TLS 1.2 of hoger voor gegevens tijdens verzending.
  2. Audit logging: Uitgebreide audit logs bieden ononderbroken bewijs van elk beveiligingsincident voor diagnostische of preventiedoeleinden. Dit geeft je ook extra middelen om aan te tonen dat je aan de vereisten voldoet tijdens een beoordeling of audit.
  3. Firewallbescherming: PCI DSS vereist een firewall om toegang tot servers te beschermen, en je oplossing voor beveiligde bestandsoverdracht moet dit ook doen, inclusief speciale bescherming voor het delen over de firewallgrens en het beschermen van kaarthoudergegevens.
  4. Veilige methoden voor bestandsoverdracht met externe gebruikers: PCI-conforme e-mail maakt gebruik van encryptie en is daarom een veilig kanaal voor het delen van kaarthoudergegevens en andere gevoelige inhoud in overeenstemming met PCI DSS. Beveiligde webformulieren, mappen en virtuele dataruimten (VDR’s) kunnen ook worden gebruikt om kaarthoudergegevens te delen, mits ze voldoen aan de PCI-vereisten.

Kiteworks helpt organisaties PCI DSS-naleving aan te tonen met PCI-conforme bestandsoverdracht

Het Kiteworks Private Content Network, een FIPS 140-2 Level gevalideerd platform voor beveiligde bestandsoverdracht en file sharing, consolideert e-mail, bestandsoverdracht, webformulieren, SFTP, beheerde bestandsoverdracht en next-generation digital rights management-oplossingen zodat organisaties elk bestand kunnen controleren, beschermen en volgen zodra het de organisatie binnenkomt of verlaat.

Het Kiteworks-platform wordt door organisaties gebruikt om te voldoen aan diverse compliance-standaarden en vereisten, waaronder PCI DSS 4.0.

FIPS 140-2 gecertificeerde encryptie verhoogt de beveiliging van het Kiteworks-platform, waardoor het geschikt is voor organisaties die gevoelige gegevens verwerken zoals betaalkaartinformatie. Daarnaast worden activiteiten van eindgebruikers en beheerders gelogd en zijn deze toegankelijk, cruciaal voor PCI DSS 4.0-naleving, dat vereist dat alle toegang tot netwerkbronnen en kaarthoudergegevens wordt gevolgd en gemonitord.

Kiteworks biedt ook verschillende toegangsrechten tot alle mappen op basis van de machtigingen die door de eigenaar van de map zijn ingesteld. Deze functie helpt bij het implementeren van sterke toegangscontrolemaatregelen, een belangrijke vereiste van PCI DSS 4.0.

Kiteworks inzetopties omvatten on-premises, gehost, privé, hybride en FedRAMP virtual private cloud. Met Kiteworks beheer je de toegang tot gevoelige inhoud; bescherm je deze bij externe uitwisseling met geautomatiseerde end-to-end encryptie, multi-factor authentication en integraties met beveiligingsinfrastructuren; zie, volg en rapporteer je alle bestandsactiviteiten, namelijk wie wat naar wie, wanneer en hoe verzendt. Tot slot toon je naleving aan met regelgeving en standaarden zoals GDPR, HIPAA, CMMC, Cyber Essentials Plus, IRAP en vele andere.

Wil je meer weten over Kiteworks voor PCI DSS 4.0-naleving, plan dan vandaag nog een demo op maat.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks