Home / Ressourcen / Best Practices / Compliance bei der Dateiübertragung
file-transfer-compliance
resource hero banner decoration

Best Practice

Compliance bei der Dateiübertragung

Diese Übersicht bietet 8 technische Kontrollen, die für das Bestehen von Compliance-Audits für die Dateiübertragung von entscheidender Bedeutung sind.

Sicherheitsschlüssel zum Bestehen von Compliance-Audits für die Dateiübertragung

Die heutigen Unternehmen haben mit einer zunehmenden Anzahl von gesetzlichen und branchenspezifischen Anforderungen zu kämpfen, die sich hauptsächlich um die Sicherheit drehen. Gesetze wie der Health Insurance Portability and Accountability Act (HIPAA), der Sarbanes-Oxley Act (SOX), der Gramm- Leach-Bliley (Act) GLBA, die Payment Card Industry Data Security Standards (PCI DSS), Basel II und mehr haben strenge Datensicherheitsanforderungen für bestimmte Arten von Daten in Ihrem Unternehmen - oft die Daten, die den Kern Ihrer Geschäft, wie Kundeninformationen oder Finanzdaten. Manchmal sind diese Anforderungen technisch sehr präzise. PCI DSS bietet beispielsweise spezifische Richtlinien, welche Art von Daten geschützt werden müssen (Kunden- und Karteninhaberinformationen), wann es geschützt werden muss (während der Übertragung und wenn es gespeichert wird) und wie es geschützt werden muss (Verschlüsselung, in den meisten Fällen). In anderen Fällen sind die Anforderungen viel allgemeiner und weniger technischer Natur. HIPAA zum Beispiel hat einfach eine allgemeine Anforderung, dass Patienteninformationen dürfen nicht an Unbefugte weitergegeben werden; Eine Ergänzung von HIPAA aus dem Jahr 2009 erfordert auch, dass Dateninhaber Einzelpersonen benachrichtigen, wenn ihre geschützten Informationen nicht ordnungsgemäß offengelegt wurden. Diese allgemeinen Anforderungen auf Geschäftsebene kann aus technologischer Sicht extrem schwierig zu implementieren sein. Angenommen, Sie arbeiten in der Gesundheitsbranche und unterliegen HIPAA. Sie müssen bestimmte Patienteninformationen an ein Partnerunternehmen übertragen, und Zwar auf eine Weise, die HIPAA-konform ist. Das bedeutet, dass Sie tatsächlich mehrere technische Kontrollen implementieren müssen:

  • Verschlüsseln Sie die Daten, während sie gespeichert sind
  • Mögliche Verschlüsselung der Daten während der Übertragung innerhalb Ihres Unternehmens, insbesondere wenn eine solche Übertragung über ein öffentlich zugängliches Netzwerk erfolgt (z. B. wenn Telearbeitsmitarbeiter darauf zugreifen)
  • Verschlüsseln Sie die Daten während der Übertragung an Ihren Partner
  • Sicheres Löschen aller temporären Kopien der während der Übertragung erstellten Daten
  • Behalten Sie den Überblick über jeden Zugriff auf die Daten, während sie gespeichert sind
  • Behalten Sie den Überblick über jede Übertragung der Daten
  • Speichern Sie diese Tracking-Informationen in einer sicheren, manipulationssicheren Datenbank oder einem Protokoll
  • Kontrollieren Sie, wer übertragungen bestimmter Arten von Daten initiieren kann

Ein Managed File Transfer (MFT)-System kann bei vielen dieser Anforderungen helfen. Durch die Verwendung eines ordnungsgemäß konfigurierten MFT-Systems als alleiniges Mittel zur Datenübertragung – möglicherweise sowohl innerhalb Ihres Unternehmens als auch innerhalb Ihres Unternehmens und extern – Sie können diese Anforderungen viel einfacher erfüllen.

In Kürze