Wie Sie sicherstellen können, dass Ihr SFTP PCI-konform ist
PCI-Konformität mit SFTP ist ein guter Anfang, um konform zu werden. Wenn Sie derzeit FTP verwenden, sollten Sie einen Wechsel in Betracht ziehen, um mögliche Risiken zu vermeiden.
Ist SFTP PCI-konform? Ja, SFTP kann PCI-konform sein. SFTP kann die PCI DSS-Anforderungen erfüllen, solange bestimmte Protokolle implementiert werden, um Kreditkartendaten, die übertragen werden, zu schützen.
Was ist PCI-Konformität und warum ist sie wichtig?
PCI DSS ist ein Compliance-Framework für die Abwicklung von Zahlungen und den Umgang mit Kreditkarten- und Debitkarteninformationen. Entwickelt und gepflegt vom Payment Card Industry Security Standards Council, legt PCI die physischen, administrativen und technischen Schutzmaßnahmen fest, die Einzelhändler und Händler einhalten müssen, um Kreditkarten als Zahlungsmittel zu verarbeiten.
Einige Compliance-Regelungen, wie HIPAA und FedRAMP, sind gesetzlich vorgeschrieben für bestimmte Branchen. PCI hat jedoch nicht die Kraft des Gesetzes hinter sich. Stattdessen verlässt es sich auf die Kreditkarten-Netzwerke, um Streitigkeiten und Compliance selbst zu regulieren und gleichzeitig Strafen wie Geldstrafen oder den Entzug von Zahlungsabwicklungsfähigkeiten zu verhängen.
Der Hauptfokus des Frameworks besteht darin, sicherzustellen, dass Kundendaten während der Zahlung vor Diebstahl oder Offenlegung geschützt sind. Private Kundendaten beinhalten Elemente wie:
- Kundennamen, Telefonnummern und Adressen
- Kreditkartennummern, Ablaufdaten und CVC-Verifizierungscodes
- PINs, Authentifizierungscodes und alle Informationen, die auf Magnetstreifen oder EMV-Chips enthalten sind
Vor diesem Hintergrund definiert das Framework 12 primäre Anforderungen, die Ihre Organisation erfüllen muss, um Benutzerdaten ordnungsgemäß zu handhaben. Zwar gelten nicht alle diese Anforderungen für alle Technologien, aber wenn es um Dateispeicherung und -übertragungen geht, gibt es einige kritische Punkte, darunter:
- Schutz gespeicherter Karteninhaberdaten
- Verschlüsselung von Datenübertragungen in öffentlichen Netzwerken
- Verfolgung und Überwachung aller Zugriffe auf Netzwerk- und Datenressourcen
- Entwicklung und Wartung sicherer Anwendungen
In den letzten Jahrzehnten haben zunehmend komplexe Technologien und Einkaufsportale das Einkaufsverhalten der Menschen verändert. Wo einst diese Art von Technologie auf POS-Maschinen, Kartenleser und On-Prem-Server konzentriert werden konnte, kaufen Verbraucher jetzt online ein, erwerben Abonnementdienste und nutzen mobile Geräte.
Daher definieren Karten-Netzwerke nun Sicherheitskontrollen, die es Händlern ermöglichen, Zahlungen über Online-Portale und mobile Geräte abzuwickeln (einschließlich der Multi-Faktor-Authentifizierung, die eingebaute Biometrie wie Fingerabdruckscans und Gesichtserkennung nutzt). Dies bedeutet wiederum, dass Kundendaten auf verschiedene Weisen gespeichert, übertragen und genutzt werden, auch für geschäftliche Zwecke.
Wie schützt PCI DSS Compliance Ihre Dateiübertragungen?
PCI DSS-Konformität hilft, Ihre Dateiübertragungen zu schützen, indem sie Organisationen dazu verpflichtet, spezifische Sicherheitsmaßnahmen zum Schutz von Karteninhaberdaten zu ergreifen. Diese Schritte beinhalten die Verschlüsselung von Datenübertragungen über offene, öffentliche Netzwerke; die Verwendung von Firewalls zum Schutz von Karteninhaberdaten; regelmäßige Überwachung und Tests von Netzwerken; Implementierung von Zugriffskontrollen, um unbefugten Zugriff auf Karteninhaberdaten zu verhindern; und regelmäßige Bewertungen von Netzwerken, um Schwachstellen zu identifizieren und zu beheben. Organisationen, die den Standard einhalten, müssen auch sicherstellen, dass alle Dienstleister, Lieferanten und Drittanbieter konform sind. Durch diese Maßnahmen können Organisationen ihre Karteninhaberdaten und die Daten ihrer Kunden besser schützen.
Wie sicher sollte Filesharing für PCI DSS sein?
Sicheres Filesharing sollte den Anforderungen von PCI DSS entsprechen. Dazu gehören die Verwendung von PCI-konformer Verschlüsselung, sichere Authentifizierungsmethoden, sichere Netzwerkverbindungen, die Möglichkeit, den Zugriff zu überwachen und nachzuverfolgen, und die Fähigkeit, den Zugriff auf die Daten nur auf diejenigen Benutzer zu beschränken, die die Daten benötigen. PCI DSS-konformes Filesharing sollte auch nachweisen, dass die Daten sicher gespeichert werden und die Datenintegrität gewahrt bleibt. Schließlich sollte die Möglichkeit, die Daten zu löschen, wenn sie nicht mehr benötigt werden, ebenfalls ein integraler Bestandteil des Systems sein.
Wann sollten Sie Ihr Dateiübertragungssystem in Ihren PCI-Bereich einbeziehen?
Der PCI-Bereich ist der Begriff, der verwendet wird, um den Umfang und die Bereiche einer Organisation zu beschreiben, auf die der Payment Card Industry Data Security Standard (PCI DSS) anwendbar ist. Der PCI-Bereich wird durch die Anzahl, Art und den Standort der Systemkomponenten bestimmt, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Beispiele für Systemkomponenten sind Server, Endpunkte, Firewalls und Datenbanken. Alle Systemkomponenten, die im Geltungsbereich von PCI DSS liegen, müssen die Anforderungen des Standards einhalten, um konform zu sein.
Sobald Organisationen ihren PCI-Bereich identifiziert haben, können sie planen, wie sie die Einhaltung nachweisen werden. Beispiele hierfür sind die Implementierung von Datensicherheitsmaßnahmen wie Verschlüsselung und Tokenisierung, die Durchführung regelmäßiger Schwachstellen-Scans und die Einrichtung von Zugriffskontrollmaßnahmen, um den Zugriff nur auf autorisiertes Personal zu beschränken. Sie sollten auch Systemprotokolle prüfen und aktuelle Netzwerkdiagramme pflegen, um die Sichtbarkeit aller Systemkomponenten innerhalb des Geltungsbereichs von PCI DSS zu gewährleisten. Darüber hinaus sollten Organisationen Schulungen zu Sicherheitsrichtlinien und -verfahren anbieten und regelmäßig ihren Incident-Response-Plan testen.
PCI-Konformität und SFTP-Sicherheit
Wenn Ihr Unternehmen Kundendaten intern aus irgendeinem Grund nutzt, muss es dennoch die Regeln und Vorschriften für die Zahlungsabwicklung einhalten. Und in der Regel verwenden Unternehmen PCI-konforme Filesharing-Lösungen wie SFTP.
Glücklicherweise kann SFTP Teil einer PCI-konformen Lösung sein, da es die notwendigen Kontrollen bietet:
- Verschlüsselung: Kundendaten müssen auf dem Server und während der Übertragung verschlüsselt sein. SFT bietet diese Art von Verschlüsselung (mit der richtigen Konfiguration). Mit der Verwendung von SSH kann ein ordnungsgemäß konfigurierter SFTP-Server Kundendaten schützen.
- Serverdatenprotokollierung und Audits: Ein Teil der PCI-Konformität besteht darin, Daten- und Auditprotokollierung vorzuhalten. Gemäß den PCI-Anforderungen müssen Sie den Datenzugriff überwachen. Dies beinhaltet eine Audit-Richtlinie und Möglichkeiten, Audit-Protokolle im Falle von Verstößen nachzuverfolgen.
- Zugriff auf Daten einschränken: Nicht jeder in Ihrer Organisation benötigt Zugang zu Karteninhaberdaten. Die Vorschriften besagen, dass Sie eine Möglichkeit haben müssen, Benutzerkonten basierend auf den Daten, auf die sie zugreifen müssen, einzuschränken.
- Verbindungen zwischen Maschinen standardisieren: Karten-Netzwerke erwarten, dass Sie all diese Sicherheitsvorkehrungen (und mehr) an jedem Ort haben, an dem Daten bewegt oder gespeichert werden. SFTP ist eine etablierte, einfach zu bedienende und einfach zu konfigurierende Technologie, die zwischen POS-Maschinen, Kartenlesern, Servern und Arbeitsstationen arbeiten kann.
Was ist der Unterschied zwischen SFTP und FTPS?
Sie werden vielleicht sehen, dass einige Lösungen sowohl SFTP als auch FTPS als Teil ihres Verschlüsselungspakets bewerben. Beide werden als sichere FTP-Protokolle beschrieben, und obwohl diese Technologien einige Ähnlichkeiten haben, gibt es auch einige wesentliche Unterschiede zwischen den beiden:
- FTPS ist FTP mit Secure Socket Layers (SSL) Technologie hinzugefügt. Das bedeutet, dass Sie im Grunde genommen FTP über eine sichere Verbindung (SSL) mit allem, was dazu gehört, einschließlich mehrerer separater Socket-Verbindungen und erforderlicher Passwörter und Zertifikate, verwenden. Es bedeutet auch, dass FTPS möglicherweise nicht gut mit einer einzigartig angepassten Firewall zusammenarbeitet.
- SFTP verwendet Secure Shell (SSH) Technologie zur Verschlüsselung. Das bedeutet, dass SFTP nicht einfach FTP mit hinzugefügter Sicherheit ist – es handelt sich um eine völlig separate Methode der sicheren Dateiübertragung als FTP. Dazu gehört die Möglichkeit, Daten über eine einzige Verbindung zu übertragen – und das bedeutet eine einfachere Einführung und Integration in komplexe Sicherheitssysteme, die Firewalls beinhalten.
Beide Protokolle können als Teil eines sicheren und konformen Systems verwendet werden. Bei der Arbeit mit mehreren Sicherheitsanforderungen und Compliance-Anforderungen kann SFTP jedoch die Sicherung Ihrer Anwendungen und deren Integration in Ihr System vereinfachen.
Was sind die Strafen für PCI-Nichtkonformität?
Da PCI DSS kein bundesweit vorgeschriebenes Rahmenwerk ist, werden Sie nicht die extremen Strafen anderer Compliance-Regelungen zu Gesicht bekommen. Nichtkonformität kann Sie jedoch teuer zu stehen kommen und Ihren Ruf bei Kunden und Kreditkartenunternehmen schädigen. Einige der Strafen sind:
- Ein unsicheres System: PCI soll die Systemsicherheit fördern. Wenn Sie nicht die Mindestanforderungen der Compliance erfüllen, könnten Sie die Daten Ihrer Kunden Diebstahl aussetzen.
- Monatliche Geldstrafen: Wenn Sie Kreditkarten verarbeiten möchten, benötigen Sie die Unterstützung von Kreditkartenprozessoren wie Visa, Mastercard und American Express. Wenn Sie nicht konform sind, werden sie einige Schritte unternehmen, bevor sie Sie vollständig vom Zahlungsverkehr ausschließen. Dies beinhaltet die Erhebung von monatlichen Gebühren, solange die Nichtkonformität anhält, bis zu 5.000-100.000 $ pro Monat.
- Beschädigtes Händlerkonto und Kundennamen: Wenn Sie nicht konform sind, könnten Sie vielen Verstößen gegenüberstehen. Wie wir alle aus Beispielen wie Target oder Sony wissen, kann ein großer Verstoß einen enormen Schlag für das Image Ihrer Marke bedeuten. Ebenso kann regelmäßige Nichtkonformität Ihr Händlerkonto bei Kreditkartenprozessoren aufgrund einer hohen Rate von Betrug und Rückbuchungen beeinträchtigen.
Fazit ist, dass Sie Ihren Ruf nicht beschädigen oder monatliche Geldstrafen zahlen möchten, nur um Kartendaten ohne konforme Systeme zu verarbeiten.
Kiteworks hilft Organisationen, Dateien sicher und konform mit PCI zu übertragen
Der PCI-konforme SFTP-Server von Kiteworks hilft Organisationen, Kreditkartennummern und andere Kundenkontoinformationen zu schützen, wenn sie diese mit vertrauenswürdigen Dritten teilen.
Im Gegensatz zu anderen SFTP-Lösungen ist die SFTP-Option von Kiteworks vollständig in die Kiteworks-Plattform integriert. Das bedeutet, dass sie von den eingebauten Sicherheits-, Compliance- und Sichtbarkeitsfunktionen der Plattform profitiert. Sie bietet auch Bereitstellungsoptionen sowohl vor Ort als auch in der Cloud und unterstützt Scale-out- und High-Availability-Konfigurationen. Die einheitliche Infrastruktur, Verwaltung, Richtlinienkontrollen, Protokollierung und Prüffunktionen von Kiteworks vereinfachen die Compliance und senken die Kosten. Dies ist ein Schlüsselunterschied, da nicht alle SFTP-Lösungen solche umfassenden Compliance- und Audit-Funktionen bieten.
Die SFTP-Funktionen von Kiteworks umfassen:
- Sicherheit und Compliance: Unsere Systeme ermöglichen alle 12 PCI-Anforderungen, was bedeutet, dass Sie unsere MFT- und SFTP-Technologien (einschließlich verschlüsselter Dateiübertragungen und sicherer Server) für PCI-konformes Filesharing und Speicherung nutzen können. Seine gehärteten virtuellen Appliances sparen Ihnen die Zeit und Mühe, das System selbst zu härten und zu testen.
- Datenüberblick und Verwaltung: Unser CISO-Dashboard gibt Ihnen einen Überblick über Ihre Daten: wo sie sind, wer darauf zugreift, wie sie verwendet werden und ob sie konform sind. Helfen Sie Ihren Geschäftsführern, informierte Entscheidungen zu treffen und Ihrer Compliance-Führung, regulatorische Anforderungen einzuhalten.
- Audit-Protokollierung: PCI DSS erfordert Protokollierung von Ereignissen in Ihrem System. Mit den unveränderlichen Audit-Protokollen der Kiteworks-Plattform können Sie sicher sein, dass Sie Angriffe früher erkennen und dass Sie die richtige Beweiskette für forensische Untersuchungen aufrechterhalten. Da das System Einträge aus allen Komponenten zusammenführt und standardisiert, sparen seine einheitlichen Syslog und Alarme Ihrem SOC-Team wertvolle Zeit und helfen Ihnen dabei, kritische Compliance-Anforderungen für die Berichterstattung einzuhalten.
Um mehr über Kiteworks SFTP und wie es Ihrer Organisation helfen kann, PCI-Konformität nachzuweisen, vereinbaren Sie heute eine individuelle Demo von Kiteworks.
Zusätzliche Ressourcen
- Glossar PCI-Compliance-Überblick
- Blog-Beitrag Wie sicher ist SFTP?
- Blog-Beitrag Was sind PII-Compliance-Anforderungen?
- Blog-Beitrag Worauf sollte man bei einer Enterprise SFTP-Server-Lösung achten?
- Glossar Der Unterschied zwischen SFTP und FTPS