PCI DSS: Wie Kiteworks’ leistungsfähige Funktionen mit den Anforderungen von PCI DSS v4.0 übereinstimmen

Einführung

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein umfassender Satz von Sicherheitsanforderungen, der zum Schutz von Kreditkarteninformationen entwickelt wurde. Entwickelt von großen Kreditkartenunternehmen, gilt er für alle Entitäten, die an der Zahlungskartenverarbeitung beteiligt sind, einschließlich Händlern, Verarbeitern, Erwerbern, Herausgebern und Dienstleistern. PCI DSS ist um sechs Hauptziele strukturiert, die zwölf Hauptanforderungen umfassen. Diese decken den Aufbau und die Wartung sicherer Netzwerke, den Schutz von Karteninhaberdaten, das Management von Schwachstellen, die Implementierung starker Zugriffskontrollen, die Überwachung und das Testen von Netzwerken sowie die Aufrechterhaltung von Richtlinien zur Informationssicherheit ab. Der Standard entwickelt sich weiter, um auf aufkommende Bedrohungen und Branchenänderungen zu reagieren.
PCI DSS v4.0 bietet einen neuen, angepassten Ansatz zur Erfüllung der Anforderungen, bietet verbesserte Flexibilität für Authentifizierungs- und Verschlüsselungsmethoden und betont Sicherheit als kontinuierlichen Prozess. Version 4.0 ist rückwärtskompatibel mit Version 3.2.1 bis zum 31. März 2025 und gibt Organisationen Zeit für den Übergang.
Die Einhaltung des PCI DSS ist aus mehreren Gründen entscheidend. Sie schützt sensible Karteninhaberdaten vor Verstößen und Diebstahl, verhindert Betrug und Identitätsdiebstahl. Nichteinhaltung kann zu schwerwiegenden finanziellen Strafen von Zahlungskartenmarken und Erwerbern führen, die von Tausenden bis zu Millionen Dollar reichen. Nicht konforme Entitäten können auch mit erhöhten Transaktionsgebühren, Kartenersatzkosten und obligatorischen forensischen Audits konfrontiert werden. Über finanzielle Auswirkungen hinaus kann Nichteinhaltung erheblichen Reputationsschaden verursachen. Datenverstöße können das Kundenvertrauen untergraben, was zu Geschäftsverlusten und langfristigen Markenschäden führt. In extremen Fällen können nicht konforme Entitäten ihre Fähigkeit verlieren, Kreditkartenzahlungen zu verarbeiten.
Die Durchsetzung des PCI DSS obliegt hauptsächlich den Zahlungskartenmarken (wie Visa, Mastercard, American Express, Discover und JCB) und den erwerbenden Banken.

PCI DSS v4.0 bietet einen neuen, angepassten Ansatz zur Erfüllung der Anforderungen, bietet verbesserte Flexibilität für Authentifizierungs- und Verschlüsselungsmethoden und betont Sicherheit als kontinuierlichen Prozess. Version 4.0 ist rückwärtskompatibel mit Version 3.2.1 bis zum 31. März 2025 und gibt Organisationen Zeit für den Übergang.

Die Einhaltung des PCI DSS ist aus mehreren Gründen entscheidend. Sie schützt sensible Karteninhaberdaten vor Verstößen und Diebstahl, verhindert Betrug und Identitätsdiebstahl. Nichteinhaltung kann zu schwerwiegenden finanziellen Strafen von Zahlungskartenmarken und Erwerbern führen, die von Tausenden bis zu Millionen Dollar reichen. Nicht konforme Entitäten können auch mit erhöhten Transaktionsgebühren, Kartenersatzkosten und obligatorischen forensischen Audits konfrontiert werden. Über finanzielle Auswirkungen hinaus kann Nichteinhaltung erheblichen Reputationsschaden verursachen. Datenverstöße können das Kundenvertrauen untergraben, was zu Geschäftsverlusten und langfristigen Markenschäden führt. In extremen Fällen können nicht konforme Entitäten ihre Fähigkeit verlieren, Kreditkartenzahlungen zu verarbeiten.

Die Durchsetzung des PCI DSS obliegt hauptsächlich den Zahlungskartenmarken (wie Visa, Mastercard, American Express, Discover und JCB) und den erwerbenden Banken.

PCI - DSS Anforderungen

Obwohl der PCI DSS selbst kein Gesetz ist, haben einige Gerichtsbarkeiten seine Anforderungen in die Gesetzgebung aufgenommen, was die Einhaltung in diesen Bereichen zu einer gesetzlichen Verpflichtung macht. Der PCI Security Standards Council (PCI SSC) verwaltet und entwickelt den PCI DSS weiter. Er stellt Standards, Werkzeuge und Ressourcen zur Verfügung, um Organisationen bei der Erreichung und Aufrechterhaltung der Compliance zu unterstützen und bildet qualifizierte Sicherheitsbewerter und Scan-Anbieter für die Compliance-Validierung aus.

Die Aufrechterhaltung der PCI DSS-Compliance ist ein fortlaufender Prozess, der kontinuierliche Anstrengungen erfordert. Organisationen müssen regelmäßig ihre Sicherheitsmaßnahmen bewerten und aktualisieren, Schwachstellenscans und Penetrationstests durchführen, interne Audits durchführen und sich über Standardaktualisierungen und aufkommende Bedrohungen informieren. PCI DSS ist von entscheidender Bedeutung für den Schutz von Zahlungskartendaten in der Branche. Compliance ist nicht nur wichtig, um Strafen und Reputationsschäden zu vermeiden, sondern auch, um die Sicherheit sensibler Informationen der Kunden zu gewährleisten. Obwohl die Durchsetzung von Kartemarken und Banken getrieben wird, liegt die letztendliche Verantwortung für die Aufrechterhaltung einer sicheren Umgebung bei den Organisationen, die Karteninhaberdaten verarbeiten.

Dieser Leitfaden zeigt, wie Kiteworks globale Organisationen unterstützen kann, die mit PCI DSS v4.0 konform sein möchten. Kiteworks ist eine PCI DSS-konforme Plattform.

Die Kiteworks sichere Filesharing- und Governance-Plattform

Kiteworks’ FedRAMP Moderate und FIPS 140-2 konforme Filesharing– und Governance-Plattform ermöglicht es öffentlichen Einrichtungen, sensible Informationen schnell und sicher zu teilen und dabei volle Sichtbarkeit und Kontrolle über ihre Filesharing-Aktivitäten zu behalten.* Die Kiteworks-Plattform bietet:

Schutz unstrukturierter Daten

Governance und Compliance

Kiteworks reduziert Compliance-Risiken und -Kosten, indem es fortschrittliche Inhalts-Governance-Funktionen auf einer einzigen Plattform konsolidiert. Egal, ob Mitarbeiter Inhalte per E-Mail, Fileshare, automatisiertem Filetransfer, APIs oder Webformularen senden und empfangen, es ist abgedeckt.

Einfachheit und Benutzerfreundlichkeit

Kiteworks ermöglicht sicheres Filesharing und Zusammenarbeit zwischen öffentlichen Einrichtungen, Einzelpersonen und Drittanbieterorganisationen.

*Die Kiteworks Enterprise-Plattform wird optional mit FIPS 140-2 zertifizierter Verschlüsselung angeboten und hat die strenge Validierung der US-Regierung NIST bestanden.

Die Kiteworks-Plattform und PCI DSS v4.0

Aufbau und Wartung eines sicheren Netzwerks und Systems

Anforderung 1: Installieren und Warten von Netzwerksicherheitskontrollen

Definierte Anforderungen an den Ansatz	Kiteworks-Lösung
PCI DSS-Anforderung 1 konzentriert sich auf die Installation und Wartung von Netzwerksicherheitskontrollen (NSCs), um Karteninhaberdatenumgebungen (CDEs) zu schützen. Sie betont gut definierte Prozesse, korrekte Konfiguration und kontinuierliche Wartung von NSCs für effektive Netzwerksicherheit. Die Anforderung ist in fünf Abschnitte unterteilt. Unterkategorie 1.1 fordert klare Prozesse für die Implementierung und Wartung von NSCs, um sicherzustellen, dass alle Beteiligten ihre Rollen verstehen. Unterkategorie 1.2 behandelt die Konfiguration und Wartung von NSCs, fordert definierte Standards, Änderungsmanagement, regelmäßige Überprüfungen und genaue Netzwerkdiagramme. Unterkategorie 1.3 befasst sich mit der Einschränkung des Netzwerkzugriffs auf und von der CDE, begrenzt den Verkehr auf notwendige Kommunikation und kontrolliert den Zugriff auf drahtlose Netzwerke. Unterkategorie 1.4 konzentriert sich auf die Steuerung von Verbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken, implementiert NSCs, beschränkt eingehenden Verkehr und setzt Anti-Spoofing-Maßnahmen ein. Unterkategorie 1.5 behandelt Risiken von Geräten, die sowohl mit nicht vertrauenswürdigen Netzwerken als auch mit der CDE verbunden sind, und fordert Sicherheitskontrollen mit spezifischen Konfigurationen und Einschränkungen der Benutzeränderbarkeit. Insgesamt betont die Anforderung Dokumentation, regelmäßige Updates und stellt sicher, dass alle Sicherheitsmaßnahmen von den betroffenen Parteien verstanden werden. Das Ziel ist es, eine robuste, gut verwaltete Netzwerksicherheitsinfrastruktur zu schaffen, die Karteninhaberdaten vor unbefugtem Zugriff und potenziellen Bedrohungen schützt.	Kiteworks bietet umfassende Funktionen, die die Einhaltung der PCI DSS-Anforderung 1 und ihrer fünf Unterkategorien unterstützen. Für Unterkategorie 1.1 bietet Kiteworks gut definierte Prozesse für die Installation und Wartung von Netzwerksicherheitskontrollen, einschließlich dokumentierter Richtlinien und klarer Rollenzuweisungen. Die Plattform gehärtete virtuelle Appliance, mit ihren eingebetteten Netzwerk- und Webanwendungs-Firewalls (WAFs), adressiert Unterkategorie 1.2, indem sie eine ordnungsgemäße Konfiguration und Wartung von Netzwerksicherheitskontrollen sicherstellt. Diese Firewalls werden automatisch aktualisiert, um neuen Bedrohungen ohne IT-Eingriff zu begegnen. Unterkategorie 1.3, die sich auf die Einschränkung des Netzwerkzugriffs auf und von der CDE konzentriert, wird durch Kiteworks’ robuste Zugriffskontrollen, IP-Adressblockierung und Geofencing-Funktionen erfüllt. Die Zero-Trust-Architektur der Plattform, mit ihrer gestaffelten Komponentenpositionierung und Open-Source-Bibliotheks-Sandboxing, steuert effektiv Netzwerkverbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken und erfüllt Unterkategorie 1.4. Für Unterkategorie 1.5, die Risiken von Geräten anspricht, die sowohl mit nicht vertrauenswürdigen Netzwerken als auch mit der CDE verbunden sind, implementiert Kiteworks strenge Sicherheitskontrollen auf Computing-Geräten. Diese umfassen spezifische Konfigurationseinstellungen, aktive Sicherheitsmaßnahmen und Einschränkungen der Benutzeränderbarkeit. Das Single-Tenant-Design der Plattform mindert weiterhin Risiken, die mit Multi-Tenant-Umgebungen verbunden sind. Kiteworks’ umfassende Protokollierung, rollenbasierte Zugriffskontrollen (RBAC), inhaltsbasierte Risikorichtlinien und doppelte Verschlüsselung für Dateien im Ruhezustand bieten zusätzliche Sicherheitsschichten. Diese Funktionen, kombiniert mit verschiedenen Authentifizierungsmethoden und der Möglichkeit, den Zugriff basierend auf dem Clienttyp und -ort einzuschränken, gewährleisten eine robuste Sicherheitslage, die mit allen Aspekten der PCI DSS-Anforderung 1 übereinstimmt.

Definierte Anforderungen an den Ansatz

Kiteworks-Lösung

PCI DSS-Anforderung 1 konzentriert sich auf die Installation und Wartung von Netzwerksicherheitskontrollen (NSCs), um Karteninhaberdatenumgebungen (CDEs) zu schützen. Sie betont gut definierte Prozesse, korrekte Konfiguration und kontinuierliche Wartung von NSCs für effektive Netzwerksicherheit.

Die Anforderung ist in fünf Abschnitte unterteilt. Unterkategorie 1.1 fordert klare Prozesse für die Implementierung und Wartung von NSCs, um sicherzustellen, dass alle Beteiligten ihre Rollen verstehen. Unterkategorie 1.2 behandelt die Konfiguration und Wartung von NSCs, fordert definierte Standards, Änderungsmanagement, regelmäßige Überprüfungen und genaue Netzwerkdiagramme. Unterkategorie 1.3 befasst sich mit der Einschränkung des Netzwerkzugriffs auf und von der CDE, begrenzt den Verkehr auf notwendige Kommunikation und kontrolliert den Zugriff auf drahtlose Netzwerke. Unterkategorie 1.4 konzentriert sich auf die Steuerung von Verbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken, implementiert NSCs, beschränkt eingehenden Verkehr und setzt Anti-Spoofing-Maßnahmen ein. Unterkategorie 1.5 behandelt Risiken von Geräten, die sowohl mit nicht vertrauenswürdigen Netzwerken als auch mit der CDE verbunden sind, und fordert Sicherheitskontrollen mit spezifischen Konfigurationen und Einschränkungen der Benutzeränderbarkeit.

Insgesamt betont die Anforderung Dokumentation, regelmäßige Updates und stellt sicher, dass alle Sicherheitsmaßnahmen von den betroffenen Parteien verstanden werden. Das Ziel ist es, eine robuste, gut verwaltete Netzwerksicherheitsinfrastruktur zu schaffen, die Karteninhaberdaten vor unbefugtem Zugriff und potenziellen Bedrohungen schützt.

Kiteworks bietet umfassende Funktionen, die die Einhaltung der PCI DSS-Anforderung 1 und ihrer fünf Unterkategorien unterstützen. Für Unterkategorie 1.1 bietet Kiteworks gut definierte Prozesse für die Installation und Wartung von Netzwerksicherheitskontrollen, einschließlich dokumentierter Richtlinien und klarer Rollenzuweisungen. Die Plattform gehärtete virtuelle Appliance, mit ihren eingebetteten Netzwerk- und Webanwendungs-Firewalls (WAFs), adressiert Unterkategorie 1.2, indem sie eine ordnungsgemäße Konfiguration und Wartung von Netzwerksicherheitskontrollen sicherstellt. Diese Firewalls werden automatisch aktualisiert, um neuen Bedrohungen ohne IT-Eingriff zu begegnen. Unterkategorie 1.3, die sich auf die Einschränkung des Netzwerkzugriffs auf und von der CDE konzentriert, wird durch Kiteworks’ robuste Zugriffskontrollen, IP-Adressblockierung und Geofencing-Funktionen erfüllt. Die Zero-Trust-Architektur der Plattform, mit ihrer gestaffelten Komponentenpositionierung und Open-Source-Bibliotheks-Sandboxing, steuert effektiv Netzwerkverbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken und erfüllt Unterkategorie 1.4. Für Unterkategorie 1.5, die Risiken von Geräten anspricht, die sowohl mit nicht vertrauenswürdigen Netzwerken als auch mit der CDE verbunden sind, implementiert Kiteworks strenge Sicherheitskontrollen auf Computing-Geräten. Diese umfassen spezifische Konfigurationseinstellungen, aktive Sicherheitsmaßnahmen und Einschränkungen der Benutzeränderbarkeit. Das Single-Tenant-Design der Plattform mindert weiterhin Risiken, die mit Multi-Tenant-Umgebungen verbunden sind.

Kiteworks’ umfassende Protokollierung, rollenbasierte Zugriffskontrollen (RBAC), inhaltsbasierte Risikorichtlinien und doppelte Verschlüsselung für Dateien im Ruhezustand bieten zusätzliche Sicherheitsschichten. Diese Funktionen, kombiniert mit verschiedenen Authentifizierungsmethoden und der Möglichkeit, den Zugriff basierend auf dem Clienttyp und -ort einzuschränken, gewährleisten eine robuste Sicherheitslage, die mit allen Aspekten der PCI DSS-Anforderung 1 übereinstimmt.

Anforderung 2: Sichere Konfigurationen auf allen Systemkomponenten anwenden

Definierte Anforderungen an den Ansatz	Kiteworks-Lösung
Anforderung 2 konzentriert sich auf die Anwendung sicherer Konfigurationen auf alle Systemkomponenten innerhalb der Karteninhaberdatenumgebung. Unterkategorie 2.1 fordert gut definierte Prozesse für die Implementierung sicherer Konfigurationen, erfordert dokumentierte, aktuelle Sicherheitsrichtlinien und Betriebsverfahren, die allen betroffenen Parteien bekannt sind. Es betont auch klare Rollenzuweisungen und Verantwortlichkeiten. Unterkategorie 2.2 befasst sich mit der sicheren Konfiguration und Verwaltung von Systemkomponenten. Dies umfasst die Entwicklung umfassender Konfigurationsstandards, die bekannte Schwachstellen ansprechen und sich an branchenakzeptierten Härtungspraktiken orientieren. Es erfordert eine ordnungsgemäße Verwaltung von Standardkonten der Anbieter, Isolierung von Funktionen mit unterschiedlichen Sicherheitsstufen und Aktivierung nur notwendiger Dienste und Protokolle. Zusätzlich wird die sichere Konfiguration von Systemsicherheitsparametern und Verschlüsselung des nicht-konsolenbasierten administrativen Zugriffs vorgeschrieben. Unterkategorie 2.3 zielt speziell auf drahtlose Umgebungen ab, die mit der CDE verbunden sind oder Kontodaten übertragen. Es erfordert das Ändern aller drahtlosen Standardwerte bei der Installation oder die Bestätigung ihrer Sicherheit. Diese Unterkategorie fordert auch das Aktualisieren drahtloser Verschlüsselungsschlüssel, wenn Personal mit Schlüsselkenntnissen ausscheidet oder wenn Schlüssel potenziell kompromittiert sind. Insgesamt zielen diese Unterkategorien darauf ab, die Angriffsfläche zu minimieren, indem sichergestellt wird, dass alle Systemkomponenten, einschließlich drahtloser Umgebungen, sicher konfiguriert und verwaltet werden, durchgehend in der Karteninhaberdatenumgebung.	Für Unterkategorie 2.1 pflegt Kiteworks umfassende Dokumentation und klare Rollenzuweisungen für Sicherheitsrichtlinien und Betriebsverfahren. Dies ist in ihrer gehosteten Umgebung ersichtlich, die SOC 2 und anderen Zertifizierungen entspricht und gewährleistet gut definierte Prozesse für sichere Konfigurationen. In Bezug auf Unterkategorie 2.2 zeichnet sich Kiteworks durch sichere Konfiguration und Verwaltung von Systemkomponenten aus. Die Plattform basiert auf einer gehärteten virtuellen Appliance, die nur notwendige Dienste enthält. Sie verwendet eine Zero-Trust-Architektur mit gestaffelter Komponentenpositionierung, die eine potenzielle seitliche Bewegung von Angreifern begrenzt. Kiteworks implementiert starke Verschlüsselungsmaßnahmen, einschließlich doppelter Verschlüsselung für Dateien im Ruhezustand und Unterstützung für TLS 1.3 für Daten während der Übertragung. Kiteworks adressiert Bedenken bezüglich der Sicherheit von Standardpasswörtern der Anbieter, indem es keine Standardpasswörter verwendet und Administratoren ermöglicht, starke Passwortrichtlinien festzulegen oder sogar die Passwortnutzung zugunsten von SSO oder Client-Zertifikaten abzuschaffen. Die Admin-Konsole warnt Administratoren vor potenziell riskanten Einstellungen, erfordert eine Bestätigung für Änderungen, die dann in Audit-Logs dokumentiert werden. Kiteworks ist für Unterkategorie 2.3 außerhalb des Anwendungsbereichs aufgrund der Abwesenheit von drahtlosen Netzwerken in seiner Dienstumgebung. Die Compliance-Berichtsfunktionen der Plattform, einschließlich eines konsolidierten Aktivitätsprotokolls und Risikorahmenwerks, unterstützen weiterhin die Einhaltung der Anforderung 2. Diese Funktionen ermöglichen eine umfassende Überwachung und Berichterstattung über Systemaktivitäten und gewährleisten kontinuierliche Compliance und Sicherheit.

Definierte Anforderungen an den Ansatz

Kiteworks-Lösung

Anforderung 2 konzentriert sich auf die Anwendung sicherer Konfigurationen auf alle Systemkomponenten innerhalb der Karteninhaberdatenumgebung.

Unterkategorie 2.1 fordert gut definierte Prozesse für die Implementierung sicherer Konfigurationen, erfordert dokumentierte, aktuelle Sicherheitsrichtlinien und Betriebsverfahren, die allen betroffenen Parteien bekannt sind. Es betont auch klare Rollenzuweisungen und Verantwortlichkeiten. Unterkategorie 2.2 befasst sich mit der sicheren Konfiguration und Verwaltung von Systemkomponenten. Dies umfasst die Entwicklung umfassender Konfigurationsstandards, die bekannte Schwachstellen ansprechen und sich an branchenakzeptierten Härtungspraktiken orientieren. Es erfordert eine ordnungsgemäße Verwaltung von Standardkonten der Anbieter, Isolierung von Funktionen mit unterschiedlichen Sicherheitsstufen und Aktivierung nur notwendiger Dienste und Protokolle. Zusätzlich wird die sichere Konfiguration von Systemsicherheitsparametern und Verschlüsselung des nicht-konsolenbasierten administrativen Zugriffs vorgeschrieben. Unterkategorie 2.3 zielt speziell auf drahtlose Umgebungen ab, die mit der CDE verbunden sind oder Kontodaten übertragen. Es erfordert das Ändern aller drahtlosen Standardwerte bei der Installation oder die Bestätigung ihrer Sicherheit. Diese Unterkategorie fordert auch das Aktualisieren drahtloser Verschlüsselungsschlüssel, wenn Personal mit Schlüsselkenntnissen ausscheidet oder wenn Schlüssel potenziell kompromittiert sind.

Insgesamt zielen diese Unterkategorien darauf ab, die Angriffsfläche zu minimieren, indem sichergestellt wird, dass alle Systemkomponenten, einschließlich drahtloser Umgebungen, sicher konfiguriert und verwaltet werden, durchgehend in der Karteninhaberdatenumgebung.

Für Unterkategorie 2.1 pflegt Kiteworks umfassende Dokumentation und klare Rollenzuweisungen für Sicherheitsrichtlinien und Betriebsverfahren. Dies ist in ihrer gehosteten Umgebung ersichtlich, die SOC 2 und anderen Zertifizierungen entspricht und gewährleistet gut definierte Prozesse für sichere Konfigurationen.

In Bezug auf Unterkategorie 2.2 zeichnet sich Kiteworks durch sichere Konfiguration und Verwaltung von Systemkomponenten aus. Die Plattform basiert auf einer gehärteten virtuellen Appliance, die nur notwendige Dienste enthält. Sie verwendet eine Zero-Trust-Architektur mit gestaffelter Komponentenpositionierung, die eine potenzielle seitliche Bewegung von Angreifern begrenzt. Kiteworks implementiert starke Verschlüsselungsmaßnahmen, einschließlich doppelter Verschlüsselung für Dateien im Ruhezustand und Unterstützung für TLS 1.3 für Daten während der Übertragung. Kiteworks adressiert Bedenken bezüglich der Sicherheit von Standardpasswörtern der Anbieter, indem es keine Standardpasswörter verwendet und Administratoren ermöglicht, starke Passwortrichtlinien festzulegen oder sogar die Passwortnutzung zugunsten von SSO oder Client-Zertifikaten abzuschaffen. Die Admin-Konsole warnt Administratoren vor potenziell riskanten Einstellungen, erfordert eine Bestätigung für Änderungen, die dann in Audit-Logs dokumentiert werden. Kiteworks ist für Unterkategorie 2.3 außerhalb des Anwendungsbereichs aufgrund der Abwesenheit von drahtlosen Netzwerken in seiner Dienstumgebung.

Die Compliance-Berichtsfunktionen der Plattform, einschließlich eines konsolidierten Aktivitätsprotokolls und Risikorahmenwerks, unterstützen weiterhin die Einhaltung der Anforderung 2. Diese Funktionen ermöglichen eine umfassende Überwachung und Berichterstattung über Systemaktivitäten und gewährleisten kontinuierliche Compliance und Sicherheit.

Kartendaten schützen

Anforderung 3: Gespeicherte Kartendaten schützen

Definierte Anforderungen an den Ansatz	Kiteworks-Lösung
Anforderung 3 konzentriert sich auf den Schutz gespeicherter Kartendaten und umfasst sechs wesentliche Unterkategorien. Unterkategorie 3.2 fordert die Minimierung der Speicherung von Kartendaten durch Implementierung von Datenhaltungs- und Entsorgungsrichtlinien. Unterkategorie 3.3 verbietet die Speicherung sensibler Authentifizierungsdaten nach der Autorisierung, mit spezifischen Regeln für Tracking-Daten, Kartenprüfcodes und PINs. Unterkategorie 3.4 befasst sich mit der Anzeige und dem Kopieren von Primärkontonummern (PANs) und fordert eine Maskierung bei der Anzeige und Implementierung technischer Kontrollen, um unbefugtes Kopieren während des Fernzugriffs zu verhindern. Unterkategorie 3.5 konzentriert sich auf die Sicherung gespeicherter PANs und fordert, dass sie mit Methoden wie Einweg-Hashes, Trunkierung oder starker Kryptographie unlesbar gemacht werden. Unterkategorie 3.6 betont die Sicherheit der kryptografischen Schlüssel, die zum Schutz gespeicherter Kartendaten verwendet werden. Sie fordert die Einschränkung des Schlüsselzugriffs, stellt sicher, dass Schlüsselverschlüsselungsschlüssel mindestens so stark wie Datenverschlüsselungsschlüssel sind, und speichert Schlüssel sicher an möglichst wenigen Orten. Schließlich fordert Unterkategorie 3.7 umfassende Schlüsselverwaltungsprozesse, die den gesamten Schlüssellebenszyklus abdecken. Dies umfasst Schlüsselgenerierung, -verteilung, -speicherung, -änderungen, -ruhestand und -zerstörung. Es erfordert auch die Verhinderung unbefugter Schlüsselsubstitution und formale Anerkennung der Schlüsselverwahrerverantwortlichkeiten. Insgesamt zielt Anforderung 3 darauf ab, sicherzustellen, dass gespeicherte Kartendaten vor unbefugtem Zugriff und Gebrauch geschützt bleiben, indem ein mehrschichtiger Ansatz zur Datensicherheit angewendet wird.	Kiteworks bietet robuste Funktionen zur Unterstützung der Einhaltung der PCI DSS-Anforderung 3 und ihrer Unterkategorien. Für Unterkategorie 3.2 implementiert Kiteworks Datenhaltungs- und Entsorgungsrichtlinien, einschließlich automatischer Dateilöschung und Ablaufsteuerungen. Die Plattform ermöglicht eine sichere Löschung von Daten und stellt sicher, dass Informationen dauerhaft entfernt werden, wenn sie nicht mehr benötigt werden. In Bezug auf Unterkategorie 3.3, obwohl Kiteworks keine PCI-Transaktionsplattform ist, kann es als Speicher- und Kollaborationsplattform für vom Kunden hochgeladene Daten verwendet werden. Kunden müssen sicherstellen, dass sensible Authentifizierungsdaten nicht länger als nötig gespeichert werden, und Kiteworks unterstützt dies durch umfassende Audit-Logs, sichere Löschfunktionen, kundeneigene Schlüssel, doppelte Verschlüsselung und granulare Zugriffskontrollen; diese Tools ermöglichen es Kunden, Daten zu überwachen, zu verwalten und sicher zu entfernen, wie erforderlich. Für Unterkategorie 3.4 implementiert die Plattform strenge Zugriffskontrollen und Berechtigungen, einschließlich rollenbasierter Zugriffe und Prinzipien des geringsten Privilegs, um den Zugriff auf vollständige PANs einzuschränken. Unterkategorie 3.5 wird durch Kiteworks’ doppelte Verschlüsselungsmethode angesprochen. Dateien werden sowohl auf Betriebssystemebene als auch auf Anwendungsebene verschlüsselt, um sicherzustellen, dass PANs überall dort gesichert sind, wo sie gespeichert sind. Dieser mehrschichtige Ansatz bietet starken Schutz, selbst wenn ein Angreifer Zugriff auf das Betriebssystem erhält. Für Unterkategorie 3.6 sichert Kiteworks kryptografische Schlüssel, indem Kunden ihre eigenen Verschlüsselungsschlüssel besitzen und kontrollieren können. Dies stellt sicher, dass selbst Kiteworks-Mitarbeiter oder externe Akteure Kundendaten ohne Autorisierung nicht entschlüsseln können. Für Unterkategorie 3.7 unterstützt die Plattform das Schlüssellebenszyklus-Management, indem Kunden mit den notwendigen Informationen und Dokumentationen über ihre Schlüssel und Verantwortlichkeiten versorgt werden. Während dieser Prozesse hält Kiteworks umfassende Audit-Logs fest, die alle relevanten Aktivitäten und Änderungen verfolgen, was die Compliance-Bemühungen unterstützt und Transparenz in der Datenhandhabung bietet.

Definierte Anforderungen an den Ansatz

Kiteworks-Lösung

Anforderung 3 konzentriert sich auf den Schutz gespeicherter Kartendaten und umfasst sechs wesentliche Unterkategorien. Unterkategorie 3.2 fordert die Minimierung der Speicherung von Kartendaten durch Implementierung von Datenhaltungs- und Entsorgungsrichtlinien. Unterkategorie 3.3 verbietet die Speicherung sensibler Authentifizierungsdaten nach der Autorisierung, mit spezifischen Regeln für Tracking-Daten, Kartenprüfcodes und PINs. Unterkategorie 3.4 befasst sich mit der Anzeige und dem Kopieren von Primärkontonummern (PANs) und fordert eine Maskierung bei der Anzeige und Implementierung technischer Kontrollen, um unbefugtes Kopieren während des Fernzugriffs zu verhindern. Unterkategorie 3.5 konzentriert sich auf die Sicherung gespeicherter PANs und fordert, dass sie mit Methoden wie Einweg-Hashes, Trunkierung oder starker Kryptographie unlesbar gemacht werden.

Unterkategorie 3.6 betont die Sicherheit der kryptografischen Schlüssel, die zum Schutz gespeicherter Kartendaten verwendet werden. Sie fordert die Einschränkung des Schlüsselzugriffs, stellt sicher, dass Schlüsselverschlüsselungsschlüssel mindestens so stark wie Datenverschlüsselungsschlüssel sind, und speichert Schlüssel sicher an möglichst wenigen Orten. Schließlich fordert Unterkategorie 3.7 umfassende Schlüsselverwaltungsprozesse, die den gesamten Schlüssellebenszyklus abdecken. Dies umfasst Schlüsselgenerierung, -verteilung, -speicherung, -änderungen, -ruhestand und -zerstörung. Es erfordert auch die Verhinderung unbefugter Schlüsselsubstitution und formale Anerkennung der Schlüsselverwahrerverantwortlichkeiten.

Insgesamt zielt Anforderung 3 darauf ab, sicherzustellen, dass gespeicherte Kartendaten vor unbefugtem Zugriff und Gebrauch geschützt bleiben, indem ein mehrschichtiger Ansatz zur Datensicherheit angewendet wird.

Kiteworks bietet robuste Funktionen zur Unterstützung der Einhaltung der PCI DSS-Anforderung 3 und ihrer Unterkategorien. Für Unterkategorie 3.2 implementiert Kiteworks Datenhaltungs- und Entsorgungsrichtlinien, einschließlich automatischer Dateilöschung und Ablaufsteuerungen. Die Plattform ermöglicht eine sichere Löschung von Daten und stellt sicher, dass Informationen dauerhaft entfernt werden, wenn sie nicht mehr benötigt werden. In Bezug auf Unterkategorie 3.3, obwohl Kiteworks keine PCI-Transaktionsplattform ist, kann es als Speicher- und Kollaborationsplattform für vom Kunden hochgeladene Daten verwendet werden. Kunden müssen sicherstellen, dass sensible Authentifizierungsdaten nicht länger als nötig gespeichert werden, und Kiteworks unterstützt dies durch umfassende Audit-Logs, sichere Löschfunktionen, kundeneigene Schlüssel, doppelte Verschlüsselung und granulare Zugriffskontrollen; diese Tools ermöglichen es Kunden, Daten zu überwachen, zu verwalten und sicher zu entfernen, wie erforderlich. Für Unterkategorie 3.4 implementiert die Plattform strenge Zugriffskontrollen und Berechtigungen, einschließlich rollenbasierter Zugriffe und Prinzipien des geringsten Privilegs, um den Zugriff auf vollständige PANs einzuschränken.

Unterkategorie 3.5 wird durch Kiteworks’ doppelte Verschlüsselungsmethode angesprochen. Dateien werden sowohl auf Betriebssystemebene als auch auf Anwendungsebene verschlüsselt, um sicherzustellen, dass PANs überall dort gesichert sind, wo sie gespeichert sind. Dieser mehrschichtige Ansatz bietet starken Schutz, selbst wenn ein Angreifer Zugriff auf das Betriebssystem erhält. Für Unterkategorie 3.6 sichert Kiteworks kryptografische Schlüssel, indem Kunden ihre eigenen Verschlüsselungsschlüssel besitzen und kontrollieren können. Dies stellt sicher, dass selbst Kiteworks-Mitarbeiter oder externe Akteure Kundendaten ohne Autorisierung nicht entschlüsseln können. Für Unterkategorie 3.7 unterstützt die Plattform das Schlüssellebenszyklus-Management, indem Kunden mit den notwendigen Informationen und Dokumentationen über ihre Schlüssel und Verantwortlichkeiten versorgt werden.

Während dieser Prozesse hält Kiteworks umfassende Audit-Logs fest, die alle relevanten Aktivitäten und Änderungen verfolgen, was die Compliance-Bemühungen unterstützt und Transparenz in der Datenhandhabung bietet.

Anforderung 4: Schutz von Karteninhaberdaten mit starker Kryptographie bei der Übertragung über offene, öffentliche Netzwerke

Definierte Anforderungen an den Ansatz	Kiteworks-Lösung
Anforderung 4 konzentriert sich auf den Schutz von Kartendaten während der Übertragung über offene, öffentliche Netzwerke mittels starker Kryptografie. Unterkategorie 4.2 befasst sich speziell mit dem Schutz von Primärkontonummern (PANs). Sie fordert die Implementierung starker Kryptografie und Sicherheitsprotokolle für die Übertragung von PANs, die Verwendung von ausschließlich vertrauenswürdigen Schlüsseln und gültigen Zertifikaten und die Unterstützung von nur sicheren Versionen von Protokollen. Organisationen müssen ein Inventar von vertrauenswürdigen Schlüsseln und Zertifikaten pflegen und branchenübliche Best Practices für drahtlose Netzwerke, die PANs übertragen, implementieren. Die Anforderung erstreckt sich auf die Sicherung von PANs mit starker Kryptografie in Endbenutzer-Nachrichtentechnologien. Sie behandelt auch Szenarien, in denen Kartendaten unaufgefordert über unsichere Kanäle empfangen werden, und ermöglicht Organisationen, entweder den Kanal zu sichern oder dessen Nutzung für Kartendaten zu verhindern. Anforderung 4 betont die entscheidende Rolle robuster Verschlüsselung beim Schutz sensibler Kartendaten während der Übertragung über verschiedene Netzwerktypen und Kommunikationskanäle.	Kiteworks unterstützt Anforderung 4, die sich auf den Schutz von Karteninhaberdaten während der Übertragung konzentriert. Die Plattform bietet starken kryptografischen Schutz, indem TLS 1.3 und 1.2 unterstützt werden, was den Kunden die Flexibilität gibt, nur TLS 1.3, nur 1.2 oder beides zu aktivieren, je nach ihren Sicherheitsbedürfnissen. Alle durch Kiteworks übertragenen Daten werden mit TLS 1.2 oder höher verschlüsselt, was ein hohes Maß an Sicherheit für sensible Informationen während der Übertragung gewährleistet. Kiteworks stellt die Infrastruktur für die sichere Übertragung bereit und die Verantwortung für das Schlüsselmanagement liegt beim Kunden, was eine größere Kontrolle und Anpassung der Sicherheitsmaßnahmen ermöglicht.

Definierte Anforderungen an den Ansatz

Kiteworks-Lösung

Anforderung 4 konzentriert sich auf den Schutz von Kartendaten während der Übertragung über offene, öffentliche Netzwerke mittels starker Kryptografie. Unterkategorie 4.2 befasst sich speziell mit dem Schutz von Primärkontonummern (PANs). Sie fordert die Implementierung starker Kryptografie und Sicherheitsprotokolle für die Übertragung von PANs, die Verwendung von ausschließlich vertrauenswürdigen Schlüsseln und gültigen Zertifikaten und die Unterstützung von nur sicheren Versionen von Protokollen. Organisationen müssen ein Inventar von vertrauenswürdigen Schlüsseln und Zertifikaten pflegen und branchenübliche Best Practices für drahtlose Netzwerke, die PANs übertragen, implementieren. Die Anforderung erstreckt sich auf die Sicherung von PANs mit starker Kryptografie in Endbenutzer-Nachrichtentechnologien. Sie behandelt auch Szenarien, in denen Kartendaten unaufgefordert über unsichere Kanäle empfangen werden, und ermöglicht Organisationen, entweder den Kanal zu sichern oder dessen Nutzung für Kartendaten zu verhindern. Anforderung 4 betont die entscheidende Rolle robuster Verschlüsselung beim Schutz sensibler Kartendaten während der Übertragung über verschiedene Netzwerktypen und Kommunikationskanäle.

Kiteworks unterstützt Anforderung 4, die sich auf den Schutz von Karteninhaberdaten während der Übertragung konzentriert. Die Plattform bietet starken kryptografischen Schutz, indem TLS 1.3 und 1.2 unterstützt werden, was den Kunden die Flexibilität gibt, nur TLS 1.3, nur 1.2 oder beides zu aktivieren, je nach ihren Sicherheitsbedürfnissen. Alle durch Kiteworks übertragenen Daten werden mit TLS 1.2 oder höher verschlüsselt, was ein hohes Maß an Sicherheit für sensible Informationen während der Übertragung gewährleistet. Kiteworks stellt die Infrastruktur für die sichere Übertragung bereit und die Verantwortung für das Schlüsselmanagement liegt beim Kunden, was eine größere Kontrolle und Anpassung der Sicherheitsmaßnahmen ermöglicht.

Ein Vulnerability-Management-Programm pflegen

Anforderung 5: Schutz aller Systeme und Netzwerke vor Schadsoftware

Definierte Anforderungen an den Ansatz	Kiteworks-Lösung
Anforderung 5 konzentriert sich auf den Schutz aller Systeme und Netzwerke vor bösartiger Software und fordert einen umfassenden Malware-Schutz über alle Systeme und Netzwerke hinweg, einschließlich aufkommender Bedrohungen wie Phishing-Angriffe. Die Unterkategorien 5.2-5.4 behandeln spezifische Aspekte dieses Schutzes. Unterkategorie 5.2 verlangt die Prävention, Erkennung und Behebung von Malware durch den Einsatz von Anti-Malware-Lösungen auf allen Systemkomponenten, mit Ausnahmen für Systeme mit geringem Risiko. Diese Lösungen müssen alle bekannten Malware-Typen erkennen, entfernen, blockieren oder eindämmen, und regelmäßige Bewertungen von Systemen, die als nicht gefährdet gelten, sind erforderlich. Unterkategorie 5.3 stellt sicher, dass AntiMalware-Mechanismen aktiv, gewartet und überwacht werden. Dies umfasst das Aktuellhalten der Lösungen durch automatische Updates, das Durchführen periodischer oder Echtzeit-Scans oder kontinuierliche Verhaltensanalysen, das Ansprechen von wechselbaren elektronischen Medien, das Beibehalten von AuditProtokollen und das Verhindern einer unbefugten Deaktivierung oder Änderung von Anti-Malware-Mechanismen. Unterkategorie 5.4 führt den Schutz vor Phishing ein, der die Implementierung von Prozessen und automatisierten Mechanismen zur Erkennung und zum Schutz vor Phishing-Angriffen erfordert.	Kiteworks bietet mehrere Funktionen, die die Einhaltung von Anforderung 5 und deren Unterkategorien unterstützen. Für Unterkategorie 5.2 bietet Kiteworks einen integrierten WithSecure(R) Anti-Virus (AV)-Dienst als Zusatzservice an. Diese AV-Lösung scannt Dateien auf Malware während des Hoch- und Herunterladeprozesses und verarbeitet Dateien jeder Größe, einschließlich derer, die über Enterprise Connect-Quellen oder das Email Protection Gateway (EPG) übertragen werden. Im Einklang mit Unterkategorie 5.3 setzt Kiteworks die Durchführung von AntivirusScans auf allen seinen Systemen als Bedingung für die Verlängerung des Dienstes durch. Die Plattform hält detaillierte Protokolle der Systemaktivitäten fest, einschließlich der Abschlüsse und Fehlschläge von Virenscans, was die Transparenz in den Sicherheitsoperationen erhöht. Administratoren können das System so konfigurieren, dass infizierte Dateien entweder in Quarantäne verschoben oder bei Erkennung protokolliert und alarmiert werden, was eine kontinuierliche Überwachung und Wartung gewährleistet. Im Rahmen der Unterkategorie 5.4 unterstützt Kiteworks die Protokolle DKIM, SPF und DMARC für Kunden-E-Mails. Diese Protokolle helfen dabei, E-Mail-Spoofing und andere auf E-Mails basierende Angriffe zu verhindern und schützen die Nutzer vor Phishing-Versuchen. Kiteworks bietet ebenfalls robuste Admin-Rollen an, einschließlich einer Rolle als Systemadministrator, der alle Aspekte des Produkts konfigurieren und warten kann, um eine angemessene Verwaltung der Sicherheitsfunktionen über alle Unterkategorien hinweg sicherzustellen. Gemeinsam demonstrieren diese Funktionen den umfassenden Ansatz von Kiteworks zur Malware-Prävention, -Erkennung und -Minderung und unterstützen Organisationen in ihren Bemühungen, die Anforderung 5 und ihre Unterkategorien einzuhalten.

Definierte Anforderungen an den Ansatz

Kiteworks-Lösung

Anforderung 5 konzentriert sich auf den Schutz aller Systeme und Netzwerke vor bösartiger Software und fordert einen umfassenden Malware-Schutz über alle Systeme und Netzwerke hinweg, einschließlich aufkommender Bedrohungen wie Phishing-Angriffe. Die Unterkategorien 5.2-5.4 behandeln spezifische Aspekte dieses Schutzes. Unterkategorie 5.2 verlangt die Prävention, Erkennung und Behebung von Malware durch den Einsatz von Anti-Malware-Lösungen auf allen Systemkomponenten, mit Ausnahmen für Systeme mit geringem Risiko. Diese Lösungen müssen alle bekannten Malware-Typen erkennen, entfernen, blockieren oder eindämmen, und regelmäßige Bewertungen von Systemen, die als nicht gefährdet gelten, sind erforderlich. Unterkategorie 5.3 stellt sicher, dass AntiMalware-Mechanismen aktiv, gewartet und überwacht werden. Dies umfasst das Aktuellhalten der Lösungen durch automatische Updates, das Durchführen periodischer oder Echtzeit-Scans oder kontinuierliche Verhaltensanalysen, das Ansprechen von wechselbaren elektronischen Medien, das Beibehalten von AuditProtokollen und das Verhindern einer unbefugten Deaktivierung oder Änderung von Anti-Malware-Mechanismen. Unterkategorie 5.4 führt den Schutz vor Phishing ein, der die Implementierung von Prozessen und automatisierten Mechanismen zur Erkennung und zum Schutz vor Phishing-Angriffen erfordert.

Kiteworks bietet mehrere Funktionen, die die Einhaltung von Anforderung 5 und deren Unterkategorien unterstützen. Für Unterkategorie 5.2 bietet Kiteworks einen integrierten WithSecure(R) Anti-Virus (AV)-Dienst als Zusatzservice an. Diese AV-Lösung scannt Dateien auf Malware während des Hoch- und Herunterladeprozesses und verarbeitet Dateien jeder Größe, einschließlich derer, die über Enterprise Connect-Quellen oder das Email Protection Gateway (EPG) übertragen werden.
Im Einklang mit Unterkategorie 5.3 setzt Kiteworks die Durchführung von AntivirusScans auf allen seinen Systemen als Bedingung für die Verlängerung des Dienstes durch. Die Plattform hält detaillierte Protokolle der Systemaktivitäten fest, einschließlich der Abschlüsse und Fehlschläge von Virenscans, was die Transparenz in den Sicherheitsoperationen erhöht. Administratoren können das System so konfigurieren, dass infizierte Dateien entweder in Quarantäne verschoben oder bei Erkennung protokolliert und alarmiert werden, was eine kontinuierliche Überwachung und Wartung gewährleistet.
Im Rahmen der Unterkategorie 5.4 unterstützt Kiteworks die Protokolle DKIM, SPF und DMARC für Kunden-E-Mails. Diese Protokolle helfen dabei, E-Mail-Spoofing und andere auf E-Mails basierende Angriffe zu verhindern und schützen die Nutzer vor Phishing-Versuchen.
Kiteworks bietet ebenfalls robuste Admin-Rollen an, einschließlich einer Rolle als Systemadministrator, der alle Aspekte des Produkts konfigurieren und warten kann, um eine angemessene Verwaltung der Sicherheitsfunktionen über alle Unterkategorien hinweg sicherzustellen. Gemeinsam demonstrieren diese Funktionen den umfassenden Ansatz von Kiteworks zur Malware-Prävention, -Erkennung und -Minderung und unterstützen Organisationen in ihren Bemühungen, die Anforderung 5 und ihre Unterkategorien einzuhalten.

Anforderung 6: Entwicklung und Wartung sicherer Systeme und Software

Definierte Anforderungen an den Ansatz	Kiteworks-Lösung
Anforderung 6 konzentriert sich auf die Entwicklung und Wartung sicherer Systeme und Software und betont die Bedeutung proaktiver Sicherheitsmaßnahmen während des gesamten Softwareentwicklungslebenszyklus und des Systemwartungsprozesses. Unterkategorie 6.2 befasst sich mit der sicheren Entwicklung von maßgeschneiderter und individueller Software, fordert branchenübliche Praktiken, regelmäßige Schulungen für Entwicklerpersonal und gründliche Code-Überprüfungen vor der Produktionsfreigabe. Es erfordert auch die Implementierung von Techniken zur Verhinderung gängiger Softwareangriffe. Unterkategorie 6.3 betont die Identifizierung und Verwaltung von Sicherheitsanfälligkeiten. Dies umfasst die Nutzung branchenanerkannter Quellen für Anfälligkeitsinformationen, die Zuweisung von Risikostufen, die Aufrechterhaltung eines Inventars von Softwarekomponenten und die umgehende Installation von Sicherheitspatches. Unterkategorie 6.4 konzentriert sich auf den Schutz öffentlich zugänglicher Webanwendungen vor Angriffen. Sie erfordert regelmäßige Schwachstellenbewertungen, die Korrektur identifizierter Schwachstellen und den Einsatz automatisierter technischer Lösungen zur Erkennung und Verhinderung webbasierter Angriffe. Unterkategorie 6.5 befasst sich mit sicherem Änderungsmanagement für alle Systemkomponenten. Sie schreibt festgelegte Verfahren für die Implementierung von Änderungen vor, einschließlich der Dokumentation des Grundes und der Sicherheitsauswirkungen, der Einholung von Genehmigungen, Tests und der Bestätigung der PCI DSS-Anforderungen nach signifikanten Änderungen. Sie erfordert auch die Trennung von Vorproduktionsund Produktionsumgebungen sowie die Entfernung von Testdaten vor der Produktionsbereitstellung.	Unterkategorie 6.4 konzentriert sich auf den Schutz öffentlich zugänglicher Webanwendungen vor Angriffen. Sie erfordert regelmäßige Schwachstellenbewertungen, die Korrektur identifizierter Schwachstellen und den Einsatz automatisierter technischer Lösungen zur Erkennung und Verhinderung webbasierter Angriffe. Unterkategorie 6.5 befasst sich mit sicherem Änderungsmanagement für alle Systemkomponenten. Sie schreibt festgelegte Verfahren für die Implementierung von Änderungen vor, einschließlich der Dokumentation des Grundes und der Sicherheitsauswirkungen, der Einholung von Genehmigungen, Tests und der Bestätigung der PCI DSS-Anforderungen nach signifikanten Änderungen. Sie erfordert auch die Trennung von Vorproduktionsund Produktionsumgebungen sowie die Entfernung von Testdaten vor der Produktionsbereitstellung. Für Unterkategorie 6.4 implementiert Kiteworks eine gehärtete virtuelle Appliance mit mehreren Schutzschichten, einschließlich einer eingebetteten Web Application Firewall (WAF), die Web- und REST-API-Angriffe erkennt und blockiert. Dies entspricht der Anforderung, öffentlich zugängliche Webanwendungen zu schützen. Bezüglich Unterkategorie 6.5 unterstützt Kiteworks sicheres Änderungsmanagement durch sein Ein-Klick-Update-System, das die kryptografische Überprüfung von Updates ermöglicht. Das Unternehmen unterhält separate Produktions- und Entwicklungs-Umgebungen, implementiert rollenbasierte Zugriffskontrollen (RBAC) und gewährleistet die Entfernung von Testkonten vor dem Einsatz. Kiteworks verfolgt einen umfassenden Ansatz zur sicheren Softwareentwicklung und -wartung, einschließlich regelmäßiger Schulungen, Best Practices wie OWASP, kontinuierlicher Sicherheitstests, gehärteter virtueller Appliances mit mehreren Schutzschichten, sicherem Änderungsmanagement und strengen Zugriffskontrollen, die alle mit den PCI DSS-Anforderungen für die Entwicklung und Wartung sicherer Systeme und Software übereinstimmen.

Definierte Anforderungen an den Ansatz

Kiteworks-Lösung

Anforderung 6 konzentriert sich auf die Entwicklung und Wartung sicherer Systeme und Software und betont die Bedeutung proaktiver Sicherheitsmaßnahmen während des gesamten Softwareentwicklungslebenszyklus und des Systemwartungsprozesses. Unterkategorie 6.2 befasst sich mit der sicheren Entwicklung von maßgeschneiderter und individueller Software, fordert branchenübliche Praktiken, regelmäßige Schulungen für Entwicklerpersonal und gründliche Code-Überprüfungen vor der Produktionsfreigabe. Es erfordert auch die Implementierung von Techniken zur Verhinderung gängiger Softwareangriffe. Unterkategorie 6.3 betont die Identifizierung und Verwaltung von Sicherheitsanfälligkeiten. Dies umfasst die Nutzung branchenanerkannter Quellen für Anfälligkeitsinformationen, die Zuweisung von Risikostufen, die Aufrechterhaltung eines Inventars von Softwarekomponenten und die umgehende Installation von Sicherheitspatches.
Unterkategorie 6.4 konzentriert sich auf den Schutz öffentlich zugänglicher Webanwendungen vor Angriffen. Sie erfordert regelmäßige Schwachstellenbewertungen, die Korrektur identifizierter Schwachstellen und den Einsatz automatisierter technischer Lösungen zur Erkennung und Verhinderung webbasierter Angriffe. Unterkategorie 6.5 befasst sich mit sicherem Änderungsmanagement für alle Systemkomponenten. Sie schreibt festgelegte Verfahren für die Implementierung von Änderungen vor, einschließlich der Dokumentation des Grundes und der Sicherheitsauswirkungen, der Einholung von Genehmigungen, Tests und der Bestätigung der PCI DSS-Anforderungen nach signifikanten Änderungen. Sie erfordert auch die Trennung von Vorproduktionsund Produktionsumgebungen sowie die Entfernung von Testdaten vor der Produktionsbereitstellung.

Unterkategorie 6.4 konzentriert sich auf den Schutz öffentlich zugänglicher Webanwendungen vor Angriffen. Sie erfordert regelmäßige Schwachstellenbewertungen, die Korrektur identifizierter Schwachstellen und den Einsatz automatisierter technischer Lösungen zur Erkennung und Verhinderung webbasierter Angriffe. Unterkategorie 6.5 befasst sich mit sicherem Änderungsmanagement für alle Systemkomponenten. Sie schreibt festgelegte Verfahren für die Implementierung von Änderungen vor, einschließlich der Dokumentation des Grundes und der Sicherheitsauswirkungen, der Einholung von Genehmigungen, Tests und der Bestätigung der PCI DSS-Anforderungen nach signifikanten Änderungen. Sie erfordert auch die Trennung von Vorproduktionsund Produktionsumgebungen sowie die Entfernung von Testdaten vor der Produktionsbereitstellung.
Für Unterkategorie 6.4 implementiert Kiteworks eine gehärtete virtuelle Appliance mit mehreren Schutzschichten, einschließlich einer eingebetteten Web Application Firewall (WAF), die Web- und REST-API-Angriffe erkennt und blockiert. Dies entspricht der Anforderung, öffentlich zugängliche Webanwendungen zu schützen. Bezüglich Unterkategorie 6.5 unterstützt Kiteworks sicheres Änderungsmanagement durch sein Ein-Klick-Update-System, das die kryptografische Überprüfung von Updates ermöglicht. Das Unternehmen unterhält separate Produktions- und Entwicklungs-Umgebungen, implementiert rollenbasierte Zugriffskontrollen (RBAC) und gewährleistet die Entfernung von Testkonten vor dem Einsatz.
Kiteworks verfolgt einen umfassenden Ansatz zur sicheren Softwareentwicklung und -wartung, einschließlich regelmäßiger Schulungen, Best Practices wie OWASP, kontinuierlicher Sicherheitstests, gehärteter virtueller Appliances mit mehreren Schutzschichten, sicherem Änderungsmanagement und strengen Zugriffskontrollen, die alle mit den PCI DSS-Anforderungen für die Entwicklung und Wartung sicherer Systeme und Software übereinstimmen.

Implementieren Sie starke Zugriffskontrollmaßnahmen

Anforderung 7: Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten nach dem geschäftlichen Erfordernis zu wissen

Definierte Anforderungen an den Ansatz	Kiteworks-Lösung
Anforderung 7 konzentriert sich auf die Einschränkung des Zugriffs auf Systemkomponenten und Karteninhaberdaten basierend auf dem geschäftlichen Bedarf zu wissen. Sie umfasst zwei Hauptunterkategorien: 7.2 und 7.3. Beide Unterkategorien betonen die Bedeutung regelmäßiger Überprüfungen, angemessener Zugriffsvergabe und des Prinzips der geringsten Rechte, um eine sichere Umgebung für Karteninhaberdaten und Systemkomponenten zu gewährleisten. Unterkategorie 7.2 fordert eine angemessene Definition und Zuweisung von Zugriff auf Systemkomponenten und Daten. Sie verlangt ein definiertes Zugriffskontrollmodell, das Zugriff basierend auf geschäftlichen Anforderungen, Stellenklassifizierungen und dem Prinzip der geringsten Rechte gewährt. Der Zugriff von Benutzern, einschließlich privilegierter Benutzer und Konten Dritter, muss regelmäßig überprüft und genehmigt werden. Anwendungs- und Systemkonten sollten mit minimal notwendigen Rechten verwaltet und periodisch überprüft werden. Unterkategorie 7.3 befasst sich mit der Verwaltung des logischen Zugriffs durch Zugangskontrollsysteme. Diese Systeme sollten den Zugang basierend auf dem Informationsbedarf des Benutzers einschränken, alle Systemkomponenten abdecken und die zugewiesenen Privilegien durchsetzen. Wichtig ist, dass das Zugangskontrollsystem standardmäßig auf „Alles verweigern“ gesetzt ist, um sicherzustellen, dass der Zugang nur gewährt wird, wenn er ausdrücklich autorisiert ist.	Für Unterkategorie 7.2 implementiert Kiteworks ein umfassendes rollenbasiertes Zugriffskontrollsystem (RBAC). Dieses System umfasst vordefinierte Rollen wie Eigentümer, Manager, Mitarbeiter, Downloader, Betrachter und Uploader, jeweils mit spezifischen Berechtigungen, die auf die Arbeitsfunktionen und das Prinzip der geringsten Rechte abgestimmt sind. Kiteworks ist so konzipiert, dass Benutzern automatisch die geringsten notwendigen Berechtigungen zugewiesen werden, wobei eine explizite Admin-Aktion für erweiterte Privilegien erforderlich ist. Im Hinblick auf Unterkategorie 7.3 setzt Kiteworks ein ausgeklügeltes Zugriffskontrollsystem ein, das den Zugang basierend auf dem Bedarf des Benutzers einschränkt. Die Plattform unterstützt verschiedene Authentifizierungsmethoden, einschließlich Zwei-Faktor-Authentifizierung (2FA) und Single Sign-On (SSO), und implementiert eine zero-trust-Architektur, bei der jeder Dienst die Kommunikation von anderen Diensten als nicht vertrauenswürdig behandelt. Kiteworks unterstützt auch eine attributbasierte Zugriffskontrolle (ABAC), die dynamische Risikopolitiken basierend auf Inhaltsattributen, Benutzerattributen und spezifischen Aktionen ermöglicht. Zusätzlich führt Kiteworks umfassende Audit-Logs aller zugriffsbezogenen Aktivitäten, einschließlich Berechtigungsänderungen, Benutzerverwaltung und Konfigurationsmodifikationen. Dieses Protokollierungssystem unterstützt regelmäßige Überprüfungen des Benutzerzugriffs, eine Schlüsselanforderung beider Unterkategorien. Das Prinzip „standardmäßig verweigern, ausnahmsweise erlauben“ von Kiteworks passt perfekt zur PCI DSS-Anforderung, dass Zugriffskontrollsysteme standardmäßig auf „alles verweigern“ eingestellt sein müssen.

Definierte Anforderungen an den Ansatz

Kiteworks-Lösung

Anforderung 7 konzentriert sich auf die Einschränkung des Zugriffs auf Systemkomponenten und Karteninhaberdaten basierend auf dem geschäftlichen Bedarf zu wissen. Sie umfasst zwei Hauptunterkategorien: 7.2 und 7.3. Beide Unterkategorien betonen die Bedeutung regelmäßiger Überprüfungen, angemessener Zugriffsvergabe und des Prinzips der geringsten Rechte, um eine sichere Umgebung für Karteninhaberdaten und Systemkomponenten zu gewährleisten.
Unterkategorie 7.2 fordert eine angemessene Definition und Zuweisung von Zugriff auf Systemkomponenten und Daten. Sie verlangt ein definiertes Zugriffskontrollmodell, das Zugriff basierend auf geschäftlichen Anforderungen, Stellenklassifizierungen und dem Prinzip der geringsten Rechte gewährt. Der Zugriff von Benutzern, einschließlich privilegierter Benutzer und Konten Dritter, muss regelmäßig überprüft und genehmigt werden. Anwendungs- und Systemkonten sollten mit minimal notwendigen Rechten verwaltet und periodisch überprüft werden.
Unterkategorie 7.3 befasst sich mit der Verwaltung des logischen Zugriffs durch Zugangskontrollsysteme. Diese Systeme sollten den Zugang basierend auf dem Informationsbedarf des Benutzers einschränken, alle Systemkomponenten abdecken und die zugewiesenen Privilegien durchsetzen. Wichtig ist, dass das Zugangskontrollsystem standardmäßig auf „Alles verweigern“ gesetzt ist, um sicherzustellen, dass der Zugang nur gewährt wird, wenn er ausdrücklich autorisiert ist.

Für Unterkategorie 7.2 implementiert Kiteworks ein umfassendes rollenbasiertes Zugriffskontrollsystem (RBAC). Dieses System umfasst vordefinierte Rollen wie Eigentümer, Manager, Mitarbeiter, Downloader, Betrachter und Uploader, jeweils mit spezifischen Berechtigungen, die auf die Arbeitsfunktionen und das Prinzip der geringsten Rechte abgestimmt sind. Kiteworks ist so konzipiert, dass Benutzern automatisch die geringsten notwendigen Berechtigungen zugewiesen werden, wobei eine explizite Admin-Aktion für erweiterte Privilegien erforderlich ist.
Im Hinblick auf Unterkategorie 7.3 setzt Kiteworks ein ausgeklügeltes Zugriffskontrollsystem ein, das den Zugang basierend auf dem Bedarf des Benutzers einschränkt. Die Plattform unterstützt verschiedene Authentifizierungsmethoden, einschließlich Zwei-Faktor-Authentifizierung (2FA) und Single Sign-On (SSO), und implementiert eine zero-trust-Architektur, bei der jeder Dienst die Kommunikation von anderen Diensten als nicht vertrauenswürdig behandelt. Kiteworks unterstützt auch eine attributbasierte Zugriffskontrolle (ABAC), die dynamische Risikopolitiken basierend auf Inhaltsattributen, Benutzerattributen und spezifischen Aktionen ermöglicht.
Zusätzlich führt Kiteworks umfassende Audit-Logs aller zugriffsbezogenen Aktivitäten, einschließlich Berechtigungsänderungen, Benutzerverwaltung und Konfigurationsmodifikationen. Dieses Protokollierungssystem unterstützt regelmäßige Überprüfungen des Benutzerzugriffs, eine Schlüsselanforderung beider Unterkategorien. Das Prinzip „standardmäßig verweigern, ausnahmsweise erlauben“ von Kiteworks passt perfekt zur PCI DSS-Anforderung, dass Zugriffskontrollsysteme standardmäßig auf „alles verweigern“ eingestellt sein müssen.

Anforderung 8: Benutzer identifizieren und Zugriff auf Systemkomponenten authentifizieren

Definierte Anforderungen an den Ansatz	Kiteworks-Lösung
Anforderung 8 betont die Bedeutung robuster Praktiken zur Identifizierung und Authentifizierung von Benutzern, um Verantwortlichkeit zu gewährleisten und den Schutz vor unbefugtem Zugriff auf sensible Daten und Systeme zu sichern. Dies konzentriert sich auf die Identifizierung von Benutzern und die Authentifizierung des Zugriffs auf Systemkomponenten. Unterkategorie 8.2 fordert eine strenge Verwaltung von Benutzer-IDs und -Konten während ihres gesamten Lebenszyklus, einschließlich eindeutiger IDs für alle Benutzer, kontrollierter Verwendung von gemeinsam genutzten Konten und sofortiger Zugriffsentzug für ausgeschiedene Benutzer. Unterkategorie 8.3 etabliert starke Authentifizierungspraktiken, einschließlich Zwei-Faktor-Authentifizierung (2FA), Anforderungen an die Passwortkomplexität und sichere Speicherung von Authentifizierungsfaktoren. Unterkategorie 8.4 verlangt die Implementierung von 2FA für alle nicht-konsolenbasierten administrativen Zugriffe auf die Umgebung mit Karteninhaberdaten (CDE) und für allen Fernnetzzugriff. Unterkategorie 8.5 konzentriert sich auf die Konfiguration von 2FA-Systemen, um Missbrauch zu verhindern, und stellt sicher, dass sie nicht anfällig für Replay-Angriffe sind und nicht ohne angemessene Autorisierung umgangen werden können. Zuletzt behandelt Unterkategorie 8.6 das Management von Anwendungs- und Systemkonten, einschließlich der Einschränkung interaktiver Nutzung, dem Schutz von Passwörtern vor hartkodierter Speicherung und der Implementierung periodischer Passwortänderungen basierend auf Risikoanalysen.	Kiteworks unterstützt die Identifizierung von Benutzern und die Authentifizierung des Zugriffs auf Systemkomponenten. Für Unterkategorie 8.2 bietet Kiteworks ein strenges Benutzer-ID-Management, einschließlich eindeutiger IDs für alle Benutzer und kontrollierter Nutzung von gemeinsam genutzten Konten. Die Plattform unterstützt verschiedene Authentifizierungsmethoden (Unterkategorie 8.3), einschließlich kennwortbasierter, zertifikatbasierter und Multi-FaktorAuthentifizierung (MFA), mit Optionen für SAML 2.0 SSO, Kerberos SSO und OAuth. Kiteworks setzt MFA durch verschiedene Methoden wie das RADIUS-Protokoll, PIV/ CAC-Karten und zeitbasierte OTPs um. Die Plattform ermöglicht es Administratoren, Authentifizierungsrichtlinien zu konfigurieren und zu steuern, um sicherzustellen, dass MFA-Systeme ordnungsgemäß implementiert und gegen Missbrauch gesichert sind. Für die Unterkategorie 8.6 ermöglicht Kiteworks Administratoren, starke Passwortrichtlinien festzulegen, einschließlich Mindestlänge, Komplexitätsanforderungen und Passwortverlauf. Die Plattform unterstützt auch das Ablaufen von Passwörtern und erzwingt Passwortänderungen beim ersten Login. Im Rahmen dieser Prozesse führt Kiteworks umfassende Prüfprotokolle aller zugriffsbezogenen Aktivitäten, einschließlich Änderungen der Berechtigungen und Benutzerverwaltung, durch. Die rollenbasierte Zugriffskontrolle (RBAC) und attributbasierte Zugriffskontrolle (ABAC) der Plattform verbessern die Sicherheit weiter, indem sie das Prinzip der geringsten Rechte durchsetzen.

Definierte Anforderungen an den Ansatz

Kiteworks-Lösung

Anforderung 8 betont die Bedeutung robuster Praktiken zur Identifizierung und Authentifizierung von Benutzern, um Verantwortlichkeit zu gewährleisten und den Schutz vor unbefugtem Zugriff auf sensible Daten und Systeme zu sichern. Dies konzentriert sich auf die Identifizierung von Benutzern und die Authentifizierung des Zugriffs auf Systemkomponenten.
Unterkategorie 8.2 fordert eine strenge Verwaltung von Benutzer-IDs und -Konten während ihres gesamten Lebenszyklus, einschließlich eindeutiger IDs für alle Benutzer, kontrollierter Verwendung von gemeinsam genutzten Konten und sofortiger Zugriffsentzug für ausgeschiedene Benutzer. Unterkategorie 8.3 etabliert starke Authentifizierungspraktiken, einschließlich Zwei-Faktor-Authentifizierung (2FA), Anforderungen an die Passwortkomplexität und sichere Speicherung von Authentifizierungsfaktoren. Unterkategorie 8.4 verlangt die Implementierung von 2FA für alle nicht-konsolenbasierten administrativen Zugriffe auf die Umgebung mit Karteninhaberdaten (CDE) und für allen Fernnetzzugriff. Unterkategorie 8.5 konzentriert sich auf die Konfiguration von 2FA-Systemen, um Missbrauch zu verhindern, und stellt sicher, dass sie nicht anfällig für Replay-Angriffe sind und nicht ohne angemessene Autorisierung umgangen werden können.
Zuletzt behandelt Unterkategorie 8.6 das Management von Anwendungs- und Systemkonten, einschließlich der Einschränkung interaktiver Nutzung, dem Schutz von Passwörtern vor hartkodierter Speicherung und der Implementierung periodischer Passwortänderungen basierend auf Risikoanalysen.

Kiteworks unterstützt die Identifizierung von Benutzern und die Authentifizierung des Zugriffs auf Systemkomponenten. Für Unterkategorie 8.2 bietet Kiteworks ein strenges Benutzer-ID-Management, einschließlich eindeutiger IDs für alle Benutzer und kontrollierter Nutzung von gemeinsam genutzten Konten. Die Plattform unterstützt verschiedene Authentifizierungsmethoden (Unterkategorie 8.3), einschließlich kennwortbasierter, zertifikatbasierter und Multi-FaktorAuthentifizierung (MFA), mit Optionen für SAML 2.0 SSO, Kerberos SSO und OAuth.
Kiteworks setzt MFA durch verschiedene Methoden wie das RADIUS-Protokoll, PIV/ CAC-Karten und zeitbasierte OTPs um. Die Plattform ermöglicht es Administratoren, Authentifizierungsrichtlinien zu konfigurieren und zu steuern, um sicherzustellen, dass MFA-Systeme ordnungsgemäß implementiert und gegen Missbrauch gesichert sind. Für die Unterkategorie 8.6 ermöglicht Kiteworks Administratoren, starke Passwortrichtlinien festzulegen, einschließlich Mindestlänge, Komplexitätsanforderungen und Passwortverlauf. Die Plattform unterstützt auch das Ablaufen von Passwörtern und erzwingt Passwortänderungen beim ersten Login.
Im Rahmen dieser Prozesse führt Kiteworks umfassende Prüfprotokolle aller zugriffsbezogenen Aktivitäten, einschließlich Änderungen der Berechtigungen und Benutzerverwaltung, durch. Die rollenbasierte Zugriffskontrolle (RBAC) und attributbasierte Zugriffskontrolle (ABAC) der Plattform verbessern die Sicherheit weiter, indem sie das Prinzip der geringsten Rechte durchsetzen.

Anforderung 9: Beschränken Sie den physischen Zugang zu Karteninhaberdaten

Definierte Anforderungen an den Ansatz	Kiteworks-Lösung
Anforderung 9 betont die Bedeutung umfassender physischer Sicherheitsmaßnahmen zum Schutz von Karteninhaberdaten vor unbefugtem Zugriff oder Entfernung. Unterkategorie 9.2 fordert physische Zugangskontrollen, um den Zutritt zu Einrichtungen und Systemen, die Karteninhaberdaten enthalten, zu verwalten. Dies umfasst angemessene Eintrittskontrollen für Einrichtungen, Überwachung sensibler Bereiche und Einschränkungen für öffentlich zugängliche Netzwerkdosen und drahtlose Zugangspunkte. Unterkategorie 9.3 befasst sich mit der Autorisierung und Verwaltung des physischen Zugangs für Personal und Besucher. Sie verlangt Verfahren zur Identifizierung des Personals, zur Verwaltung von Zugangsänderungen und zur Aufhebung des Zugangs bei Beendigung des Arbeitsverhältnisses. Für Besucher werden Autorisierung, Begleitung und das Führen von Besucherprotokollen vorgeschrieben. Unterkategorie 9.4 konzentriert sich auf die sichere Aufbewahrung, den Zugriff, die Verteilung und die Vernichtung von Medien, die Kartendaten enthalten. Dies umfasst die physische Sicherheit der Medien, die Klassifizierung basierend auf der Datensensibilität, den sicheren Transport und die ordnungsgemäßen Vernichtungsmethoden für sowohl in Papierform als auch elektronische Medien. Unterkategorie 9.5 befasst sich mit dem Schutz von Point-of-Interaction (POI)- Geräten vor Manipulation und unbefugtem Austausch. Sie erfordert die Führung einer Liste der POI-Geräte, regelmäßige Inspektionen und die Schulung des Personals, um verdächtiges Verhalten zu erkennen und zu melden.	Während physische Zugangskontrollen und POI-Geräte nicht im Fokus stehen, unterstützt Kiteworks die Einhaltung der Unterkategorie 9.4. Kiteworks bietet umfassende Fähigkeiten für Audit-Protokolle, die alle Benutzeraktivitäten im Zusammenhang mit Datenzugriff, -änderung und -löschung verfolgen. Dies stellt eine detaillierte Aufzeichnung aller Interaktionen mit sensiblen Daten bereit, die für die Sicherheitsüberwachung und Reaktion auf Vorfälle entscheidend sein kann. Die sichere Löschfunktion der Plattform hilft, die Privatsphäre und Sicherheit der Benutzerdaten zu wahren und entspricht den PCI DSS-Anforderungen für eine ordnungsgemäße Datenvernichtung.

Definierte Anforderungen an den Ansatz

Kiteworks-Lösung

Anforderung 9 betont die Bedeutung umfassender physischer Sicherheitsmaßnahmen zum Schutz von Karteninhaberdaten vor unbefugtem Zugriff oder Entfernung.

Unterkategorie 9.2 fordert physische Zugangskontrollen, um den Zutritt zu Einrichtungen und Systemen, die Karteninhaberdaten enthalten, zu verwalten. Dies umfasst angemessene Eintrittskontrollen für Einrichtungen, Überwachung sensibler Bereiche und Einschränkungen für öffentlich zugängliche Netzwerkdosen und drahtlose Zugangspunkte. Unterkategorie 9.3 befasst sich mit der Autorisierung und Verwaltung des physischen Zugangs für Personal und Besucher. Sie verlangt Verfahren zur Identifizierung des Personals, zur Verwaltung von Zugangsänderungen und zur Aufhebung des Zugangs bei Beendigung des Arbeitsverhältnisses. Für Besucher werden Autorisierung, Begleitung und das Führen von Besucherprotokollen vorgeschrieben.

Unterkategorie 9.4 konzentriert sich auf die sichere Aufbewahrung, den Zugriff, die Verteilung und die Vernichtung von Medien, die Kartendaten enthalten. Dies umfasst die physische Sicherheit der Medien, die Klassifizierung basierend auf der Datensensibilität, den sicheren Transport und die ordnungsgemäßen Vernichtungsmethoden für sowohl in Papierform als auch elektronische Medien.

Unterkategorie 9.5 befasst sich mit dem Schutz von Point-of-Interaction (POI)- Geräten vor Manipulation und unbefugtem Austausch. Sie erfordert die Führung einer Liste der POI-Geräte, regelmäßige Inspektionen und die Schulung des Personals, um verdächtiges Verhalten zu erkennen und zu melden.

Während physische Zugangskontrollen und POI-Geräte nicht im Fokus stehen, unterstützt Kiteworks die Einhaltung der Unterkategorie 9.4. Kiteworks bietet umfassende Fähigkeiten für Audit-Protokolle, die alle Benutzeraktivitäten im Zusammenhang mit Datenzugriff, -änderung und -löschung verfolgen. Dies stellt eine detaillierte Aufzeichnung aller Interaktionen mit sensiblen Daten bereit, die für die Sicherheitsüberwachung und Reaktion auf Vorfälle entscheidend sein kann. Die sichere Löschfunktion der Plattform hilft, die Privatsphäre und Sicherheit der Benutzerdaten zu wahren und entspricht den PCI DSS-Anforderungen für eine ordnungsgemäße Datenvernichtung.

Regelmäßige Überwachung und Prüfung von Netzwerken

Anforderung 10: Protokollierung und Überwachung aller Zugriffe auf Systemkomponenten und Karteninhaberdaten

Definierte Anforderungen an den Ansatz	Kiteworks-Lösung
Anforderung 10 hilft Organisationen dabei, eine sichere Umgebung aufrechtzuerhalten, um unbefugten Zugriff zu verhindern und die Einhaltung der PCI-DSS-Standards zu gewährleisten. Anforderung 10 des PCI DSS konzentriert sich auf die kritische Notwendigkeit, alle Zugriffe auf Systemkomponenten und Karteninhaberdaten zu protokollieren und zu überwachen, um eine robuste Sicherheitsposition gegen Datenpannen zu gewährleisten. Audit-Protokolle, die für die Erkennung von Anomalien und verdächtigen Aktivitäten entscheidend sind, müssen gemäß Unterkategorie 10.2 in allen Systemkomponenten und Umgebungen mit Karteninhaberdaten aktiviert werden. Diese Protokolle müssen umfassende Details der Benutzeraktivitäten erfassen, einschließlich administrativer Aktionen und Zugriffsversuche. Unterkategorie 10.3 konzentriert sich darauf, die Integrität dieser Protokolle zu wahren. Sie müssen vor Zerstörung und unbefugten Änderungen geschützt werden, wobei der Zugriff streng kontrolliert wird. Unterkategorie 10.4 erfordert regelmäßige Überprüfungen dieser Protokolle, um Anomalien zu identifizieren und anzugehen, und Unterkategorie 10.5 verlangt, dass mindestens 12 Monate der Protokollhistorie aufbewahrt werden müssen. Gemäß Unterkategorie 10.6 ist eine konsistente Zeitsynchronisation über alle Systeme hinweg entscheidend, um eine genaue Protokollierung zu gewährleisten. Zuletzt ist innerhalb der Unterkategorie 10.7 die schnelle Erkennung, Meldung und Reaktion auf Ausfälle in kritischen Sicherheitskontrollsystemen wesentlich, um Sicherheitslücken zu verhindern.	FFür Unterkategorie 10.2 stellt Kiteworks sicher, dass Prüfprotokolle aktiviert sind und alle relevanten Aktivitäten erfassen, wie Benutzerauthentifizierungsversuche, Dateiuploads, -downloads, Systemänderungen und Admin-Aktionen, alles innerhalb eines einzigen, konsolidierten Aktivitätsprotokolls. Diese umfassende Protokollierung erfüllt die Anforderungen zur Erkennung von Anomalien und unterstützt die forensische Analyse. Für Unterkategorie 10.3 schützt Kiteworks Prüfprotokolle vor Zerstörung und unbefugten Änderungen, um sicherzustellen, dass die Protokolle geschützt sind und nur Personen mit einem geschäftlichen Bedarf zugänglich sind. Im Einklang mit Unterkategorie 10.4 können diese Protokolle regelmäßig überprüft werden, um verdächtige Aktivitäten umgehend zu identifizieren und anzugehen. Kiteworks adressiert auch Unterkategorie 10.5, indem Organisationen die Möglichkeit gegeben wird, die Aufbewahrungszeiträume anzupassen, um sicherzustellen, dass die Historie der Prüfprotokolle für mindestens 12 Monate aufbewahrt und zugänglich ist. Im Hinblick auf Unterkategorie 10.6 integriert Kiteworks mit Network Time Protocol (NTP)-Servern, um eine konsistente Zeitsynchronisation über alle Systeme hinweg zu gewährleisten, was für eine genaue Protokollierung entscheidend ist. Abschließend ermöglicht unter Unterkategorie 10.7 die Echtzeit-Log-Integration von Kiteworks mit SIEM-Tools die sofortige Erkennung, Berichterstattung und Reaktion auf jegliche Ausfälle kritischer Sicherheitskontrollsysteme.

Definierte Anforderungen an den Ansatz

Kiteworks-Lösung

Anforderung 10 hilft Organisationen dabei, eine sichere Umgebung aufrechtzuerhalten, um unbefugten Zugriff zu verhindern und die Einhaltung der PCI-DSS-Standards zu gewährleisten. Anforderung 10 des PCI DSS konzentriert sich auf die kritische Notwendigkeit, alle Zugriffe auf Systemkomponenten und Karteninhaberdaten zu protokollieren und zu überwachen, um eine robuste Sicherheitsposition gegen Datenpannen zu gewährleisten. Audit-Protokolle, die für die Erkennung von Anomalien und verdächtigen Aktivitäten entscheidend sind, müssen gemäß Unterkategorie 10.2 in allen Systemkomponenten und Umgebungen mit Karteninhaberdaten aktiviert werden. Diese Protokolle müssen umfassende Details der Benutzeraktivitäten erfassen, einschließlich administrativer Aktionen und Zugriffsversuche.

Unterkategorie 10.3 konzentriert sich darauf, die Integrität dieser Protokolle zu wahren. Sie müssen vor Zerstörung und unbefugten Änderungen geschützt werden, wobei der Zugriff streng kontrolliert wird. Unterkategorie 10.4 erfordert regelmäßige Überprüfungen dieser Protokolle, um Anomalien zu identifizieren und anzugehen, und Unterkategorie 10.5 verlangt, dass mindestens 12 Monate der Protokollhistorie aufbewahrt werden müssen. Gemäß Unterkategorie 10.6 ist eine konsistente Zeitsynchronisation über alle Systeme hinweg entscheidend, um eine genaue Protokollierung zu gewährleisten. Zuletzt ist innerhalb der Unterkategorie 10.7 die schnelle Erkennung, Meldung und Reaktion auf Ausfälle in kritischen Sicherheitskontrollsystemen wesentlich, um Sicherheitslücken zu verhindern.

FFür Unterkategorie 10.2 stellt Kiteworks sicher, dass Prüfprotokolle aktiviert sind und alle relevanten Aktivitäten erfassen, wie Benutzerauthentifizierungsversuche, Dateiuploads, -downloads, Systemänderungen und Admin-Aktionen, alles innerhalb eines einzigen, konsolidierten Aktivitätsprotokolls. Diese umfassende Protokollierung erfüllt die Anforderungen zur Erkennung von Anomalien und unterstützt die forensische Analyse. Für Unterkategorie 10.3 schützt Kiteworks Prüfprotokolle vor Zerstörung und unbefugten Änderungen, um sicherzustellen, dass die Protokolle geschützt sind und nur Personen mit einem geschäftlichen Bedarf zugänglich sind. Im Einklang mit Unterkategorie 10.4 können diese Protokolle regelmäßig überprüft werden, um verdächtige Aktivitäten umgehend zu identifizieren und anzugehen. Kiteworks adressiert auch Unterkategorie 10.5, indem Organisationen die Möglichkeit gegeben wird, die Aufbewahrungszeiträume anzupassen, um sicherzustellen, dass die Historie der Prüfprotokolle für mindestens 12 Monate aufbewahrt und zugänglich ist.

Im Hinblick auf Unterkategorie 10.6 integriert Kiteworks mit Network Time Protocol (NTP)-Servern, um eine konsistente Zeitsynchronisation über alle Systeme hinweg zu gewährleisten, was für eine genaue Protokollierung entscheidend ist. Abschließend ermöglicht unter Unterkategorie 10.7 die Echtzeit-Log-Integration von Kiteworks mit SIEM-Tools die sofortige Erkennung, Berichterstattung und Reaktion auf jegliche Ausfälle kritischer Sicherheitskontrollsysteme.

Die auf dieser Seite bereitgestellten Informationen stellen keine Rechtsberatung dar und sind auch nicht als solche gedacht. Alle Informationen, Inhalte und Materialien auf dieser Seite dienen ausschließlich zu allgemeinen Informationszwecken. Informationen auf dieser Website stellen möglicherweise nicht die aktuellsten rechtlichen oder sonstigen Informationen dar. Zusatzoptionen sind in diesem Leitfaden enthalten und werden benötigt, um die Compliance zu unterstützen.

Kiteworks-Leitfaden zu PCI DSS 4.0

Sicherung von Karteninhaberdaten und Vereinfachung der Compliance: Wie die leistungsstarken Funktionen von Kiteworks mit den Anforderungen von PCI DSS v4.0 übereinstimmen

Einführung

Die Kiteworks sichere Filesharing- und Governance-Plattform

Schutz unstrukturierter Daten

Governance und Compliance

Einfachheit und Benutzerfreundlichkeit

Die Kiteworks-Plattform und PCI DSS v4.0

Aufbau und Wartung eines sicheren Netzwerks und Systems

Kartendaten schützen

Ein Vulnerability-Management-Programm pflegen

Implementieren Sie starke Zugriffskontrollmaßnahmen

Regelmäßige Überwachung und Prüfung von Netzwerken

Einführung

Die Kiteworks sichere Filesharing- und Governance-Plattform

Schutz unstrukturierter Daten

Governance und Compliance

Einfachheit und Benutzerfreundlichkeit

Die Kiteworks-Plattform und PCI DSS v4.0

Aufbau und Wartung eines sicheren Netzwerks und Systems

Kartendaten schützen

Ein Vulnerability-Management-Programm pflegen

Implementieren Sie starke Zugriffskontrollmaßnahmen

Regelmäßige Überwachung und Prüfung von Netzwerken

Get started.

Lancez-vous.

Jetzt loslegen.

Comienza ahora.