Sichere Datenübertragung (Managed File Transfer) & PCI DSS Compliance

Juni 15, 2021 Sicherheit und Compliance, MOVEit

Manchmal tun wir Dinge nicht, weil wir es wollen, sondern weil wir es müssen. Obwohl die Versuchung oft groß ist, gegen Vorschriften zu verstoßen und "den ersten Schritt zu wagen", fühlen wir uns im Grunde erleichtert, weil wir wissen, dass wir auf der guten Seite des Gesetzes stehen, und das ist es, was zählt. Dafür gibt es ein Wort: Compliance.

Das ist in der Finanzbranche oft der Fall.

In einer Umgebung, in der hochsensible Karteninhaberdaten (man denke nur an den Namen des Karteninhabers, den Namen des Dienstleisters, die primäre Kontonummer und mehr) häufig den Besitzer wechseln, muss es einige Regeln geben, die definieren, wie Unternehmen mit solchen Daten umgehen und gleichzeitig die Einhaltung der Vorschriften sicherstellen sollen.

Eine solche "Regel" ist der Payment Card Industry's Data Security Standard (PCI DSS).

PCI DSS-Einhaltung: Auf das Wesentliche reduziert

Wie der Name schon sagt, handelt es sich bei PCI DSS um eine Reihe von international anerkannten Anforderungen, die sicherstellen sollen, dass alle Unternehmen, die Kreditkartendaten verarbeiten, übertragen oder speichern, dies in einer sicheren und vertrauenswürdigen Umgebung tun.

PCI DSS wurde für Organisationen im Finanzsektor geschaffen, darunter vor allem Acquirer, Dienstleister, Banken, Händler, Aussteller und Prozessoren.

Das Wesentliche dabei ist einfach: Karteninhaberdaten gehören zu den am meisten angegriffenen, verwundbaren und sensiblen Informationen auf diesem Planeten. Hacker und bösartige Akteure sind immer auf der Lauer und versuchen herauszufinden, wer die Tür zu den Karteninhaberdaten unverschlossen gelassen hat.

Genau aus diesem Grund wurde PCI DSS entwickelt. Um die Worte des PCI Security Standards Council zu zitieren, wurde PCI DSS geschaffen, um " die Datensicherheit zu fördern und zu verbessern und die breite Einführung von konsistenten Datensicherheitsmaßnahmen weltweit zu erleichtern."

Wie Sie vielleicht schon geahnt haben, zielt dieser regulatorische Standard darauf ab, Verbraucher und Unternehmen der Finanzbranche vor Kredit- und Debitkartenbetrügern zu schützen.

Trotz der offensichtlichen Vorteile, die die Einhaltung des PCI DSS mit sich bringt (man denke nur an die Verringerung von Unfällen mit Kartendiebstahl, das gesteigerte Vertrauen bei Partnern und vieles mehr), entscheiden sich einige Unternehmen immer noch dafür, in die andere Richtung zu schauen. Die Auswirkungen eines solchen Schrittes können verheerend sein, vor allem, wenn Ihr nicht konformes Unternehmen eine Datenpanne erleidet. Das ist ein Weg, den Sie nicht gehen wollen.

Managed File Transfer & PCI-Konformität: Was es dazu braucht

PCI DSS besteht derzeit aus zwölf Schlüsselanforderungen. Zu den wichtigsten Anliegen des Standards in Bezug auf Managed File Transfers gehören:

  • Entwicklung und Pflege von sicheren Anwendungen und Systemen
  • Schutz von Karteninhaberdaten im Ruhezustand
  • Kontrolle des Zugriffs auf Karteninhaberdaten
  • Verschlüsselung von Karteninhaberdaten während der Übertragung

Werfen wir einen genauen Blick auf jede einzelne dieser gesetzlichen Anforderungen.

1. Schutz von Daten im Ruhezustand

Das klingt fast wie eine Selbstverständlichkeit.

Das erste was Sie tun können um ruhende Karteninhaberdaten zu schützen ist ihre Speicherung in Ihren lokalen Netzwerken und Systemen zu reduzieren. In einer so schnelllebigen, vielschichtigen und dynamischen Umgebung kann viel schief gehen.

Erstellen Sie stattdessen Protokolle, die die Menge der intern gespeicherten Karteninhaberdaten und die Zeit in der sie aufbewahrt werden begrenzen. Bleiben Sie nur bei den Daten die Sie und Ihr Team zur Erfüllung der betrieblichen Kernanforderungen benötigen.

Wenn es um veraltete Daten geht müssen Sie Strategien, Protokolle und Richtlinien festlegen, um deren sichere Löschung zu gewährleisten.

Für alle Karteninhaberdaten, die intern aufbewahrt werden müssen, sollten Sie sie mit einer angemessenen kryptografischen Schlüsselverwaltung, einer Ende-zu-Ende-Datenbankverschlüsselung und einer ordnungsgemäßen Dokumentation all Ihrer Sicherheitsprotokolle schützen. Einfach und leicht!

2. Veschlüsselung von Karteninhaberdaten bei der Übermittlung

Haben Sie schon einmal "Money Heist" gesehen? Natürlich, das haben Sie! Wir können aus der 3-stufigen Blockbuster-Serie lernen, dass alles was sich auf dem Transportweg befindet, immer schwieriger zu schützen ist als das, was sich vor Ort befindet. Wenn überhaupt war es für den Professor und sein Team fast immer einfaches Geld zu stehlen als es zu transportieren. Alles hätte mit ihrem "hart verdienten" Geld da draußen passieren können.

Das genau ist der Grund, warum PCI DSS Abschnitt 3 so streng ist, was die Verschlüsselung von Daten während der Übertragung angeht.

Als Erstes müssen alle Karteninhaberdaten verschlüsselt werden, damit sie bei der Übertragung über schlecht gesicherte öffentliche Netzwerke nicht von böswilligen Akteuren angegriffen werden können. Wenn Sie hier zögern, sind Sie auf der falschen Seite der PCI DSS-Compliance.

Die sichere Übertragung von Karteninhaberdaten geschieht jedoch nicht im luftleeren Raum, sondern erfordert zuverlässige Schlüssel und Zertifikate, verstärkte Verschlüsselung und sichere Dateiübertragung mit HTTPS und den Protokollen AS1, AS2 und AS3.

FTP allein wird hier nicht ausreichen. Um Ihre Dateien sicher und effektiv zu übertragen, entscheiden Sie sich für sicheres FTP über SSH2 (SFTP und SCP2) oder FTP über SSL (FTPS). Die Wahl liegt bei Ihnen.

Was das erforderliche Zertifikat und die Schlüssel angeht, müssen Sie sicherstellen, dass diese vertrauenswürdig, aufbewahrt und entsprechend verwaltet werden.

3. Kontrolle des Zugriffs auf Karteninhaberdaten

Wie oft haben sie den Begriff "Kontrollierter Zugriff" schon gehört? So klischeehaft er auch klingen mag, die PCI DSS-Anforderung 7 geht kein Risiko ein was die Einhaltung von Zugriffskontrollprotokollen angeht.

Für größtmögliche Konformität sollten Sie von Grund auf sicherstellen, dass nur verifizierte Personen auf Karteninhaberdaten zugreifen können. Stellen Sie außerdem sicher, dass Sie über die entsprechenden Prozesse und Protokolle verfügen, um den Zugriff auf der Grundlage von Arbeitsaufgaben und Geschäftsanforderungen zu regeln.

PCI DSS spricht sich auch für eine verwaltete Zugriffsrichtlinie aus. Gehen Sie dabei von einer granularen Ebene aus und definieren Sie umfassend die verschiedenen Benutzerzugriffsrollen in Ihrem Unternehmen (CTO, Mitarbeiter usw.) und legen Sie fest, auf welchen Teil Ihrer Anwendung (in unserem Fall die Managed-File-Transfer-Lösung) diese zugreifen können.

Abhängig von Ihrem Ökosystem müssen Sie möglicherweise auch allen Benutzerkonten die "geringsten" Zugriffsrechte zuweisen. Das bedeutet, dass Sie jedem Beteiligten nur so viel Zugriff auf das jeweilige System oder Modul geben, wie er für seine Kernaufgaben benötigt.

Die Dokumentation sollte durchgängig Standard sein. Wann immer ein Benutzer seine interne Rolle ändert, vergessen Sie nicht, die Änderung zu dokumentieren und seine Zugriffsrechte bei Bedarf anzupassen.

4. Entwicklung und Pflege von sicheren Systemen und Anwendungen

Diesen Aspekt von PCI konnten wir doch nicht auslassen, oder?

Böswillige Akteure werden nie aufhören nach Sicherheitslücken zu suchen, die sie ausnutzen können. Daher sollte Sicherheit eine ständige Initiative in all Ihren virtuellen oder verwalteten Dateitransferumgebungen sein.

Auch der PCI DSS erkennt dies an. Deshalb betont er die Notwendigkeit innerhalb eines bestimmten Zeitraums geeignete Sicherheits-Patches zu installieren, um die übermäßig empfindliche Karteninhaberumgebung zu schützen.

Denken Sie daran, dass diese Vorschrift für alle Anwendungen/Module in Ihrer Umgebung gilt, nicht nur für die, die Sie selbst entwickelt haben oder die Sie ausgelagert haben.

Stellen Sie mit MOVEit File Transfer eine ganzheitliche, durchgängige Compliance sicher

Wenn Sie in einer extrem sensiblen Branche wie dem Gesundheits- oder Finanzwesen tätig sind kann sich die Einhaltung des PCI DSS wie ein erheblicher Arbeitsaufwand anfühlen. Sie müssen mit zu vielen Zugriffsrechten taktieren, eine Vielzahl von Karteninhaberdaten sichern (sowohl im Ruhezustand als auch bei der Übertragung) und 12 hochrangige Anforderungen verfolgen.

Zum Glück müssen Sie sich nicht mehr über die Schulter schauen. Dank des leistungsstarken, hoch skalierbaren MOVEit Managed File Transfer-Tools. Schutz der gespeicherten Karteninhaberdaten? Überprüfen. Ein sicheres Netzwerk aufbauen und pflegen? Prüfen. PCI-Konformität sicherstellen? Abgehakt. Mit MOVEit wird die Einhaltung des PCI DSS zum Kinderspiel, ohne dass Sie sich darum kümmern müssen.

MOVEit nutzt sicheres FTP, SSL/TLS und HTTPS, um die Daten der Karteninhaber während des Transports zu schützen. Im Ruhezustand verwendet MOVEit die Verschlüsselungssoftware MOVEit Crypto, um die Daten sicher zu speichern. Unsere Software ermöglicht auch die spezifische Zuweisung von Protokollzugriffsrechten, die Zuweisung von Ordnerrechten, IP-Adressbeschränkungen und andere eingeschränkte Privilegien. Sie müssen sich nicht mehr fragen, wer wann auf welche Karteninhaberdaten zugreift. Es ist alles mit einem Mausklick zugänglich.

Und wenn Sie eine sichere Verbindung einrichten müssen, über die sensible Daten von Ihrem internen System nach außen gelangen können, ist MOVEit Automation für Sie da.

Sie glauben wir haben die richtige Lösung für Sie? Starten Sie noch heute mit einer kostenlosen Testversion und lassen Sie Ihre Geschäftsdaten auf die sicherste und nahtloseste Weise den Besitzer wechseln!

David Perez

David Perez has been in the tech industry for over 20 years, working for some of the top semiconductor, data center hardware, and enterprise software companies in Silicon Valley and beyond. David is currently the marketing manager for Progress's Managed File Transfer product, MOVEit. Progress is the leading provider of products to develop, deploy, and manage high-impact business applications.

Read next Verwaltete Dateiübertragung (Managed File Transfer, MFT) – Was ist das?