Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Cloud-Schlüsselverwaltung

Cloud-Sicherheits-Compliance-Standards – PCI DSS und DSGVO

Geschrieben vonDivyansh Dwivedi 5 Minute
Vorschriften und Compliance hängen vom jeweiligen Land ab. Es ist wichtig, sich über CSPs und die von ihnen befolgten Vorschriften und Compliance-Richtlinien zu informieren.
Inhaltsverzeichnis

Einführung

Kunden und Cloud-Dienstanbieter (CSP) Die Verantwortung für Sicherheit und Compliance teilen sich die Unternehmen. So hat das Unternehmen die Freiheit, seine Sicherheits- und Compliance-Anforderungen entsprechend den vom CSP genutzten und angestrebten Services zu gestalten. Der CSP trägt die Verantwortung für die sichere Bereitstellung der Services und die physische Sicherheit der Cloud.

Entscheidet sich ein Kunde jedoch für Software-as-a-Service, gewährleistet der CSP die Einhaltung der Standards. Das Unternehmen muss jedoch prüfen, ob es die angestrebten Vorschriften und Compliance-Levels einhält. Nicht alle Cloud-Dienste (wie z. B. verschiedene Datenbanken) sind gleich. Richtlinien und Verfahren für alle Sicherheitsanforderungen und die Betriebsverantwortung sollten zwischen CSP und Kunde vereinbart werden.

Lassen Sie uns näher auf die besonderen Compliance- und Regulierungsvorschriften der Branche eingehen.

PCI DSS in der Cloud

Datensicherheitsstandards der Zahlungskartenindustrie (PCI DSS) ist ein 2004 eingeführter Satz von Sicherheitsstandards zum Schutz von Kredit- und Debitkartentransaktionen vor Datendiebstahl und Betrug. PCI DSS ist eine Compliance-Richtlinie, die für jedes Unternehmen erforderlich ist.

Angenommen, Zahlungskartendaten werden in einer Cloud-Umgebung gespeichert, verarbeitet oder übertragen. In diesem Fall gilt PCI DSS für diese Umgebung und beinhaltet die Validierung der Infrastruktur des CSP und der Nutzung dieser Umgebung durch den Kunden.

PCI DSS-Anforderung Verantwortungszuweisung für das Management der Kontrollen
IaaS PaaS SaaS
Installieren und verwalten Sie eine Firewall-Konfiguration zum Schutz der Karteninhaberdaten Kunde und CSP Kunde und CSP CSP
Verwenden Sie nicht die vom Anbieter bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter Kunde und CSP Kunde und CSP CSP
Schützen Sie gespeicherte Karteninhaberdaten Kunde und CSP Kunde und CSP CSP
Verschlüsseln Sie die Übertragung von Karteninhaberdaten über ein offenes, öffentliches Netzwerk Kunden Kunde und CSP CSP
Verwenden und aktualisieren Sie regelmäßig Antivirensoftware oder -programme Kunden Kunde und CSP CSP
Entwickeln und warten Sie sichere Systeme und Anwendungen Kunde und CSP Kunde und CSP Kunde und CSP
Beschränken Sie den Zugriff auf Karteninhaberdaten entsprechend den geschäftlichen Anforderungen Kunde und CSP Kunde und CSP Kunde und CSP
Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu Kunde und CSP Kunde und CSP Kunde und CSP
Beschränken Sie den physischen Zugriff auf Karteninhaberdaten CSP CSP CSP
Verfolgen und überwachen Sie sämtliche Zugriffe auf Netzwerkressourcen und Karteninhaberdaten Kunde und CSP Kunde und CSP CSP
Testen Sie regelmäßig Sicherheitssysteme und -prozesse Kunde und CSP Kunde und CSP CSP
Pflegen Sie eine Richtlinie zur Informationssicherheit für alle Mitarbeiter Kunde und CSP Kunde und CSP Kunde und CSP

Maßgeschneiderte Cloud-Schlüsselverwaltungsdienste

Erhalten Sie flexible und anpassbare Beratungsdienste, die auf Ihre Cloud-Anforderungen abgestimmt sind.

Mehr erfahren

Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) ist das Herzstück der europäischen Gesetzgebung zum digitalen Datenschutz. „Die digitale Zukunft Europas kann nur auf Vertrauen aufbauen. Mit soliden gemeinsamen Datenschutzstandards können die Menschen sicher sein, dass sie die Kontrolle über ihre persönlichen Daten behalten“, sagte Andrus Ansip, Vizepräsident für den digitalen Binnenmarkt, anlässlich der Einigung auf die Reformen im Dezember 2015.

Die DSGVO gilt für alle Unternehmen, die Daten von EU-Bürgern erheben und verarbeiten. Unternehmen außerhalb der EU müssen einen DSGVO-Vertreter ernennen und haften für alle Bußgelder und Sanktionen. Wichtige Anforderungen der DSGVO sind:

  1. Rechtmäßige, faire und transparente Verarbeitung

  2. Zweck-, Daten- und Speicherbeschränkung

    Erfassen Sie nur die notwendigen Informationen und verwerfen Sie alle personenbezogenen Daten nach Abschluss der Verarbeitung.

  3. Betroffenenrechte

    Ein Kunde kann fragen, welche Daten eine Organisation über ihn hat und wofür diese Daten verwendet werden sollen.

  4. Zustimmung

    Unternehmen müssen die Einwilligung des Kunden einholen, wenn personenbezogene Daten über legitime Zwecke hinaus verarbeitet werden. Der Kunde kann seine Einwilligung jederzeit widerrufen.

  5. Verstöße gegen den Schutz personenbezogener Daten

    Je nach Schwere und gesetzlichen Bestimmungen muss der Kunde innerhalb von 72 Stunden nach Feststellung des Verstoßes informiert werden.

  6. Datenschutz durch Design

    Organisationen sollten bei der Entwicklung neuer Systeme und Prozesse organisatorische und technische Mechanismen zum Schutz personenbezogener Daten einbeziehen.

  7. Datenschutz-Folgenabschätzung

    Bei der Initiierung eines neuen Projekts, einer Änderung oder eines neuen Produkts sollte eine Datenschutz-Folgenabschätzung durchgeführt werden.

  8. Datenübertragungen

    Organisationen müssen sicherstellen, dass personenbezogene Daten geschützt sind und die DSGVO-Anforderungen eingehalten werden, auch wenn dies durch Dritte geschieht.

  9. Datenschutzbeauftragter

    Wenn in einer Organisation umfangreiche personenbezogene Daten verarbeitet werden, sollte die Organisation einen Datenschutzbeauftragten ernennen.

  10. Sensibilisierung und Schulung

    Unternehmen müssen ihre Mitarbeiter für die wesentlichen DSGVO-Anforderungen sensibilisieren

Um die DSGVO in der Cloud umzusetzen, müssen wir diese zusätzlichen Schritte unternehmen

  • Organisationen sollten den Ort kennen, an dem die Daten von CSP gespeichert und verarbeitet werden
  • Unternehmen sollten wissen, welche CSPs und Cloud-Apps ihren Sicherheitsstandards entsprechen. Sie sollten angemessene Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten vor Verlust, Veränderung und unbefugter Verarbeitung zu schützen.
  • Organisationen sollten eine Datenverarbeitungsvereinbarung mit CSP und den Cloud-Apps haben, die sie verwenden werden.
  • Organisationen sollten nur die Daten erfassen, die sie wirklich benötigen, und die Verarbeitung personenbezogener Daten weiter einschränken.
  • Organisationen sollten sicherstellen, dass die Datenverarbeitungsvereinbarung eingehalten wird und personenbezogene Daten von CSP oder Cloud-Apps nicht für andere Zwecke verwendet werden.
  • Organisationen sollten in der Lage sein, Daten nach Belieben aus allen Datenquellen im CSP zu löschen.

Fazit

Vorschriften und Compliance-Anforderungen hängen vom jeweiligen Land ab. Es ist wichtig, sich über CSPs und die von ihnen eingehaltenen Vorschriften und Compliance-Anforderungen zu informieren. Weitere Informationen zu den CSPs finden Sie auf den jeweiligen Websites:

Wenn eine Organisation die in einem Land oder einer Region geltenden Vorschriften nicht einhält, drohen ihr möglicherweise Geldstrafen und sie verliert möglicherweise die Möglichkeit, in diesem Land tätig zu werden.

Entdecken Sie unsere

Verwandte Blogs

Microsoft Azure ist einer der drei größten Cloud-Service-Anbieter, die heute von Unternehmen genutzt werden. Die beiden anderen, die hauptsächlich von Unternehmen genutzt werden, sind Amazon Web Services (AWS) und Google Cloud Platform (GCP). Angesichts der aktuellen Lage verlagern viele Unternehmen ihre Dienste auf eine teilweise oder vollständig Cloud-basierte Plattform wie Azure oder AWS.

Wie können Sie mit Microsoft Azure die Produktivität Ihrer Organisationen steigern?

2. Februar 2022
Einführung in das Krypto-Shreddern

Machen Sie sich mit dem neuen Konzept des Crypto-Shredding vertraut

August 20, 2021
Unterschiede zwischen AWS KMS Azure Key Vault und GCP KMS

AWS KMS vs. Azure Key Vault vs. GCP KMS

Juli 23, 2021

Entdecken

Weitere Themen