Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > PCI-naleving > Hoe zorgt u ervoor dat uw SFTP PCI-naleving ondersteunt
Hoe zorgt u ervoor dat uw SFTP PCI-naleving ondersteunt

Hoe zorgt u ervoor dat uw SFTP PCI-naleving ondersteunt

by Danielle Barbour updated september 4, 2024 PCI-naleving
Reading Time: 8 minutes

Als u momenteel FTP of zelfs een verouderde SFTP-oplossing gebruikt voor bestandsoverdracht en het accepteren van creditcard- of pinbetalingen, overweeg dan een overstap om mogelijke PCI-nalevingsrisico’s te vermijden. Een FTP-oplossing is zeer waarschijnlijk niet PCI-compliant en een SFTP-oplossing kan voldoen aan PCI DSS-vereisten, mits bepaalde protocollen worden geïmplementeerd om creditcardgegevens tijdens overdracht te beschermen. In deze Blog Post verkennen we PCI-naleving, nalevingsvereisten voor SFTP-oplossingen en “must have” functies waarmee organisaties aan de juiste kant van PCI-naleving blijven.

PCI-naleving: waarom het belangrijk is

PCI DSS is een nalevingskader voor het verwerken van betalingen en het omgaan met creditcard- en pinpasgegevens. Ontwikkeld en onderhouden door de Payment Card Industry Security Standards Council, beschrijft PCI de fysieke, administratieve en technische waarborgen waaraan retailers en handelaren moeten voldoen om creditcards als betaalmiddel te verwerken.

Sommige nalevingsregels, zoals HIPAA en FedRAMP, zijn wettelijk verplicht voor bepaalde sectoren. PCI daarentegen heeft geen wettelijke status. In plaats daarvan vertrouwen de creditcardnetwerken op zelfregulering bij geschillen en naleving, waarbij ze ook boetes of het intrekken van betalingsverwerkingsmogelijkheden kunnen opleggen.

De kern van het framework is ervoor te zorgen dat klantgegevens beschermd zijn tegen diefstal of openbaarmaking tijdens betaling. Privéklantgegevens omvatten onder andere:

  • Klantnamen, telefoonnummers en adressen
  • Creditcardnummers, vervaldatums en CVC-verificatiecodes
  • PIN-codes, authenticatiecodes en alle informatie op magneetstrips of EMV-chips

Met dat in gedachten definieert het framework 12 primaire vereisten die uw organisatie op orde moet hebben om gebruikersgegevens correct te verwerken. Hoewel niet al deze vereisten op alle technologieën van toepassing zijn, zijn er bij opslag en overdracht van bestanden enkele kritieke, waaronder:

  • Beschermen van opgeslagen kaarthoudergegevens
  • Encryptie van gegevensoverdracht via openbare netwerken
  • Alle toegang tot netwerk- en gegevensbronnen volgen en monitoren
  • Veilige applicaties ontwikkelen en onderhouden

De afgelopen decennia hebben steeds complexere technologieën en online winkels de manier waarop mensen aankopen doen veranderd. Waar deze technologie zich vroeger richtte op POS-apparaten, kaartlezers en on-premises servers, winkelen consumenten nu online, kopen ze abonnementen en gebruiken ze mobiele apparaten.

Daarom definiëren kaartnetwerken nu beveiligingsmaatregelen waarmee handelaren betalingen kunnen verwerken via online portals en mobiele apparaten (inclusief multi-factor authentication met ingebouwde biometrie zoals vingerafdrukscans en gezichtsherkenning). Dit betekent dat klantgegevens op diverse manieren worden opgeslagen, verzonden en gebruikt, ook voor zakelijke doeleinden.

Hoe PCI-compliant bestandsoverdracht kaarthoudergegevens beschermt

PCI DSS-naleving helpt uw bestandsoverdracht te beveiligen door organisaties te verplichten specifieke beveiligingsmaatregelen te nemen ter bescherming van kaarthoudergegevens. Deze stappen omvatten het versleutelen van overdracht van kaarthoudergegevens via open, openbare netwerken; het gebruik van firewalls ter bescherming van kaarthoudergegevens; regelmatige monitoring en testen van netwerken; implementatie van toegangscontroles om ongeautoriseerde toegang tot kaarthoudergegevens te voorkomen; en regelmatige beoordeling van netwerken om kwetsbaarheden te identificeren en aan te pakken. Organisaties die aan de standaard voldoen, moeten er ook voor zorgen dat alle dienstverleners, leveranciers en externe partijen compliant zijn. Door deze stappen te nemen, kunnen organisaties hun kaarthoudergegevens en die van hun klanten beter beschermen.

Hoe veilig moet bestandsoverdracht zijn voor PCI DSS?

Veilige bestandsoverdracht moet voldoen aan de PCI DSS-vereisten. Vereisten zijn onder meer het gebruik van PCI-compliant encryptie, veilige authenticatiemethoden, beveiligde netwerkverbindingen, de mogelijkheid om toegang te auditen en te traceren, en de mogelijkheid om toegang te beperken tot alleen de gebruikers die de gegevens nodig hebben. PCI DSS-compliant bestandsoverdracht, zoals SFTP en beheerde bestandsoverdracht (MFT), moet ook aantonen dat de gegevens veilig worden opgeslagen en dat de integriteit van de gegevens behouden blijft. Tot slot moet het mogelijk zijn om de gegevens te verwijderen wanneer ze niet langer nodig zijn; dit moet een integraal onderdeel van het systeem zijn.

Het verschil tussen SFTP en FTPS

U ziet mogelijk oplossingen die zowel SFTP als FTPS aanbieden als onderdeel van hun encryptiepakket. Beide worden omschreven als veilige FTP-protocollen en hoewel deze technologieën enkele overeenkomsten delen, zijn er ook belangrijke verschillen:

  • FTPS is FTP met Secure Socket Layers (SSL)-technologie toegevoegd. Dit betekent dat u in feite FTP gebruikt via een beveiligde verbinding (SSL), inclusief meerdere afzonderlijke socketverbindingen en vereiste wachtwoorden en certificaten. Het betekent ook dat FTPS mogelijk niet goed samenwerkt met een uniek aangepaste firewall.
  • SFTP gebruikt Secure Shell (SSH)-technologie voor encryptie. Dit betekent dat SFTP niet simpelweg FTP met extra beveiliging is, maar een geheel andere methode van beveiligde bestandsoverdracht dan FTP. Dit omvat de mogelijkheid om gegevens via één verbinding over te dragen, wat zorgt voor eenvoudigere adoptie en integratie met complexe beveiligingssystemen, inclusief firewalls.

Beide protocollen kunnen worden gebruikt als onderdeel van een veilig en compliant systeem. Maar bij diverse beveiligingsbehoeften en nalevingsvereisten kan SFTP het eenvoudiger maken om uw applicaties te beveiligen en te integreren in uw systeem.

Hoe PCI-compliant bestandsoverdracht in uw PCI-scope opnemen

PCI-scope is de term die wordt gebruikt om de omvang en gebieden van een organisatie te beschrijven waarop de Payment Card Industry Data Security Standard (PCI DSS) van toepassing is. De PCI-scope wordt bepaald door het aantal, type en de locatie van de systeemcomponenten die kaarthoudergegevens opslaan, verwerken of verzenden. Voorbeelden van systeemcomponenten zijn servers, endpoints, firewalls en databases. Alle systeemcomponenten binnen de scope van PCI DSS moeten voldoen aan de vereisten van de standaard om compliant te zijn.

Nadat organisaties hun PCI-scope hebben vastgesteld, kunnen ze plannen hoe ze naleving aantonen. Voorbeelden zijn het implementeren van gegevensbeveiligingsmaatregelen zoals encryptie en tokenisatie, het uitvoeren van regelmatige kwetsbaarheidsscans en het instellen van toegangscontroles om toegang te beperken tot alleen geautoriseerd personeel. Ze moeten ook systeemlogs auditen en up-to-date netwerkdiagrammen bijhouden om zicht te houden op alle systeemcomponenten binnen de PCI DSS-scope. Daarnaast moeten organisaties personeel informeren over beveiligingsbeleid en -procedures en het incident response plan regelmatig testen.

PCI-naleving en SFTP-beveiliging

Wanneer uw bedrijf klantgegevens intern gebruikt voor welk doel dan ook, moet het nog steeds voldoen aan de regels en voorschriften voor betalingsverwerking. Meestal maken bedrijven gebruik van PCI-compliant oplossingen voor bestandsoverdracht zoals SFTP.

Gelukkig kan SFTP deel uitmaken van een PCI-compliant oplossing omdat het de noodzakelijke controles biedt:

  • Encryptie: Klantgegevens moeten versleuteld zijn op de server en tijdens overdracht. SFTP biedt dit niveau van encryptie (met de juiste configuratie). Met het gebruik van SSH kan een correct geconfigureerde SFTP-server klantgegevens beschermen.
  • Server Data Logging en Audits: Onderdeel van PCI-naleving is het hebben van data- en auditlogging. Volgens PCI-vereisten moet u gegevensgebruik monitoren. Dit omvat het hebben van een auditbeleid en manieren om auditlogs te traceren in geval van datalekken.
  • Toegang tot gegevens beperken: Niet iedereen binnen uw organisatie heeft toegang nodig tot kaarthoudergegevens. Regels schrijven voor dat u gebruikersaccounts kunt beperken op basis van de gegevens die zij moeten kunnen inzien.
  • Gestandaardiseerde verbindingen tussen machines: Kaartnetwerken verwachten dat al deze beveiligingsmaatregelen (en meer) aanwezig zijn op elke plek waar gegevens worden verplaatst of opgeslagen. SFTP is een gevestigde, eenvoudig te gebruiken en eenvoudig te configureren technologie die kan werken tussen POS-apparaten, kaartlezers, servers en werkstations.

Wat zijn de sancties voor PCI-niet-naleving?

Aangezien PCI DSS geen wettelijk verplicht framework is, krijgt u niet te maken met de zware sancties van andere nalevingsregels. Niet-naleving kan u echter veel geld kosten en uw reputatie bij klanten en creditcardmaatschappijen schaden. Enkele van de sancties zijn:

  1. Een onbeveiligd systeem: PCI is bedoeld om systeembeveiliging te bevorderen. Als u niet aan de minimale nalevingsvereisten voldoet, stelt u de gegevens van uw klanten bloot aan diefstal.
  2. Maandelijkse boetes: Als u creditcards wilt verwerken, heeft u de steun nodig van creditcardverwerkers zoals Visa, Mastercard en American Express. Als u niet compliant bent, nemen zij enkele stappen voordat ze u volledig verbieden betalingen te verwerken. Dit omvat het opleggen van maandelijkse boetes zolang de niet-naleving voortduurt, tot $5.000-$100.000 per maand.
  3. Beschadigde merchant account en klantreputatie: Als u niet compliant bent, loopt u kans op meerdere datalekken. Zoals we weten uit voorbeelden als Target of Sony, kan een groot datalek een enorme klap zijn voor het imago van uw merk. Regelmatige niet-naleving kan ook gevolgen hebben voor uw merchant account bij creditcardverwerkers door een hoog percentage fraude en terugboekingen.

De conclusie is dat u uw reputatie niet wilt schaden of maandelijks boetes wilt betalen alleen om kaartgegevens te verwerken zonder compliant systemen.

Kiteworks helpt organisaties PCI-naleving te bereiken met veilige bestandsoverdracht

De SFTP-server van Kiteworks stelt organisaties in staat creditcardnummers en andere klantaccountgegevens te beschermen wanneer ze deze delen met vertrouwde derden, in overeenstemming met PCI DSS 4.0.

In tegenstelling tot andere SFTP-oplossingen is SFTP volledig geïntegreerd met het Kiteworks-platform. Dit betekent dat het profiteert van de ingebouwde beveiliging, compliance en zichtbaarheid van het platform. Het biedt ook inzetopties zowel on-premise als in de cloud, en ondersteunt schaalbare en high availability-configuraties. De uniforme infrastructuur, administratie, beleidscontroles, logging en auditfuncties van Kiteworks vereenvoudigen naleving en verlagen de kosten. Dit is een belangrijk onderscheidend vermogen, want niet alle SFTP-oplossingen bieden zulke uitgebreide compliance- en auditmogelijkheden.

Kiteworks SFTP omvat:

  • Beveiliging en naleving: Kiteworks ondersteunt alle 12 PCI-vereisten, wat betekent dat u onze MFT- en SFTP-technologieën (waaronder versleutelde bestandsoverdracht en beveiligde servers) kunt gebruiken voor PCI-compliant bestandsoverdracht en opslag. Het Kiteworks hardened virtual appliance bespaart u de tijd en moeite van het zelf hardenen en testen van het systeem.
  • Datavisibiliteit en data management: Het Kiteworks CISO Dashboard geeft u een overzicht van uw data: waar deze zich bevindt, wie er toegang toe heeft, hoe deze wordt gebruikt en of deze compliant is. Help uw organisatieleiders om goed geïnformeerde beslissingen te nemen en uw compliance-verantwoordelijken om aan wettelijke vereisten te voldoen.
  • Auditlogging: PCI DSS 4.0 vereist het loggen van gebeurtenissen in uw systeem. Met de onveranderlijke auditlogs van Kiteworks kunt u aanvallen sneller detecteren en zorgt u ervoor dat u de juiste bewijsketen onderhoudt voor forensisch onderzoek. Omdat het systeem entries van alle componenten samenvoegt en standaardiseert, besparen de uniforme syslog en meldingen uw SOC-team cruciale tijd en helpen ze u te voldoen aan kritieke compliance-vereisten voor rapportage.

Wilt u meer weten over Kiteworks SFTP en hoe het uw organisatie kan helpen PCI DSS 4.0-naleving aan te tonen? Plan dan vandaag nog een aangepaste demo van Kiteworks.

Veelgestelde vragen

PCI-naleving verwijst naar het voldoen aan de Payment Card Industry Data Security Standard (PCI DSS). Dit is een set beveiligingsstandaarden die ervoor zorgen dat alle bedrijven die creditcardgegevens accepteren, verwerken, opslaan of verzenden, een veilige omgeving behouden. De PCI DSS is opgezet om kaarthoudergegevens te beschermen en creditcardfraude te verminderen. Naleving is vereist voor elke organisatie die kaarthoudergegevens verwerkt, ongeacht de omvang of het transactievolume. Niet-naleving kan leiden tot boetes, verhoogde transactiekosten of verlies van de mogelijkheid om creditcardbetalingen te verwerken.

De belangrijkste vereisten voor PCI-naleving zijn het opbouwen en onderhouden van een veilig netwerk, het beschermen van kaarthoudergegevens, het onderhouden van een kwetsbaarhedenbeheerprogramma, het implementeren van sterke toegangscontroles, het regelmatig monitoren en testen van netwerken en het onderhouden van een informatiebeveiligingsbeleid.

E-mailencryptie is een essentieel onderdeel van het behalen van PCI-naleving, een set beveiligingsstandaarden die kaarthoudergegevens beschermen. Het beschermt kaarthouderinformatie tijdens verzending via netwerken, waardoor deze onleesbaar is voor onbevoegden. Deze encryptie biedt ook robuuste toegangscontroles, omdat alleen personen met de juiste decryptiesleutel toegang tot de gegevens hebben. Daarnaast onderstreept het gebruik van e-mailencryptie de inzet van een organisatie voor een sterk informatiebeveiligingsbeleid, een belangrijk vereiste van PCI-naleving. Tot slot beperkt het aanzienlijk het risico op datalekken, wat kan leiden tot sancties wegens niet-naleving en reputatieschade voor het bedrijf. Het is echter belangrijk te benadrukken dat e-mailencryptie slechts één aspect van PCI-naleving is en dat bedrijven ook andere beveiligingsmaatregelen moeten implementeren om volledig aan PCI DSS te voldoen.

Niet-naleving van PCI DSS kan leiden tot zware sancties, waaronder boetes, verhoogde transactiekosten en mogelijk verlies van de mogelijkheid om creditcardbetalingen te accepteren. Het kan ook leiden tot reputatieschade en verlies van vertrouwen bij klanten.

Kiteworks ondersteunt het behalen van PCI-naleving via diverse functies en mogelijkheden. Het zorgt voor veilige gegevensoverdracht door encryptie te gebruiken, waardoor kaarthoudergegevens onleesbaar zijn voor onbevoegden. Het platform biedt ook robuuste toegangscontroles, zodat alleen geautoriseerde personen toegang hebben tot gevoelige gegevens. Kiteworks houdt gedetailleerde logs bij van gegevensgebruik, bestandsoverdrachten en gebruikersactiviteiten, wat organisaties helpt te voldoen aan de PCI DSS-vereisten voor het traceren en monitoren van toegang tot netwerkbronnen en kaarthoudergegevens. In het geval van een beveiligingsincident heeft Kiteworks procedures voor rapportage en reactie, zoals vereist door PCI DSS. Tot slot biedt Kiteworks beveiligde webformulieren en gegevensverzamelingsmechanismen voor veilige verzameling van kaarthoudergegevens.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks