Exigences relatives à la confidentialité, à la sécurité et aux audits

Cette section répond aux questions concernant la conformité attendue de la part de MOVEit avec certaines réglementations (HIPAA, FDIC, OCC, loi G-L-B, California SB 1386, loi canadienne PIPEDA, Payment Card Industry (PCI), Sarbanes-Oxley (SARBOX), etc.). Veuillez contacter Ipswitch pour en savoir plus sur la manière dont MOVEit aide les clients qui doivent répondre à des exigences de sécurité à transférer et stocker leurs fichiers conformément aux normes en vigueur, à la réglementation, ainsi qu'aux exigences contractuelles et propres à leur secteur en matière de sécurité et de confidentialité.

• Données au repos : MOVEit se conforme à cette exigence en cryptant tous les fichiers stockés sur disque à l'aide d'un cryptage AES 256 bits avec validation FIPS 140-2. MOVEit Crypto (le module de cryptage de MOVEit) n'est que le 10e produit à avoir été approuvé, validé et certifié par les gouvernements des États-Unis et du Canada pour sa conformité aux normes FIPS 140-2, très strictes en matière de cryptographie.
• Données actives : MOVEit se conforme à cette exigence en utilisant des voies cryptées (SSL ou SSH) pour l'envoi et la réception de données.
• Piste d'audit inviolable : MOVEit maintient une piste d'audit pour chaque transfert de fichier et action administrative. Toutes les entrées sont liées les unes aux autres de manière cryptographique afin de rendre facilement détectable toute altération du journal. Des contrôles sont effectués régulièrement pour détecter les éventuelles altérations. Vous pouvez également les exécuter manuellement.
• Contrôle de l'intégrité : MOVEit et les clients MOVEit de transfert de fichiers, y compris l'assistant de téléchargement, EZ, Xfer, Freely, Central, l'API Windows et l'API Java font appel à des hachages cryptographiques pour vérifier l'intégrité des fichiers tout au long de la chaîne de transfert. Tous les clients sécurisés MOVEit FTP, API et Web (y compris l'assistant de téléchargement) prennent en charge le contrôle de l'intégrité. Remarque : Le contrôle de l'intégrité est effectué à part si vous utilisez l'assistant JavaScript.
• Non-répudiation : les contrôles d'authentification et d'intégrité MOVEit permettent de prouver que certaines personnes ont transmis et/ou reçu des fichiers spécifiques.
• Livraison garantie : la combinaison des fonctionnalités MOVEit de non-répudiation et de redémarrage/reprise du transfert satisfait aux exigences en matière de garantie de livraison.
• Destruction des données obsolètes : MOVEit remplace tous les fichiers supprimés par une séquence aléatoire de données cryptées afin d'empêcher tout accès ultérieur. MOVEit répond aux exigences de la publication NIST SP800-88 (effacement des données).
• Accès aux informations pertinentes uniquement : vous pouvez définir des autorisations MOVEit pour des utilisateurs/groupes afin d'accéder à des ressources spécifiques.
• Excellente protection des mots de passe : MOVEit requiert des mots de passe sûrs, empêche les utilisateurs de réutiliser d'anciens mots de passe et leur demande périodiquement d'en changer.
• Excellent cryptage : MOVEit fait appel à SSL pour communiquer sur les réseaux. Vous pouvez appliquer ce protocole « négocié » pour permettre des connexions à 128 bits (la valeur la plus élevée sur le marché actuellement). MOVEit propose MOVEit Crypto, un module de cryptage AES 256 bits avec validation FIPS 140-2, pour stocker les données sur disque. (Cet algorithme a été sélectionné par NIST pour remplacer DES. Il est plus rapide et plus sûr que le Triple DES.)
• Protection contre les attaques par déni de service : MOVEit est résilient aux attaques DOS (saturation des ressources via des contrôles d'authentification ou d'autres ressources disponibles pour les utilisateurs anonymes). Les adresses IP considérées comme nuisibles sont bloquées.
• Sécurisation : l'installation de MOVEit implique une procédure sécurisée en plusieurs étapes (et documentée) couvrant le système d'exploitation, l'environnement des services Web, les autorisations et les applications externes.
• Pare-feu : MOVEit inclut un guide de configuration du pare-feu à l'intention des administrateurs. MOVEit prend en charge l'utilisation native d'IPSec en tant que pare-feu de filtrage des paquets et seconde ligne de défense.
• Entiercement du code : l'intégralité du code source et des instructions de build pour les principales versions de MOVEit est déposée auprès d'une tierce partie.
• Examen du code et tests de régression : l'intégralité du code MOVEit est soumise à examen. Le contrôle des modifications est maintenu avec l'application Microsoft SourceSafe. Les tests de régression sont effectués à chaque nouvelle version.
• Authentification à plusieurs facteurs : lorsque vous vous servez d'un nom d'utilisateur, les adresses IP, les mots de passe et les clés/certificats client proposent une authentification à un, deux ou trois facteurs.