Anforderungen an Datenschutz, Sicherheitsnormen und Prüfungen
In diesem Abschnitt werden einige Fragen zur erwarteten Konformität von MOVEit mit Vorschriften und Gesetzen wie HIPAA, FDIC und OCC, dem G-L-B Act, dem kalifornischen Security Breach Information Act (SB-1386), dem kanadischen Personal Information Protection and Electronic Documents Act (PIPEDA), der Payment Card Industry (PCI), Sarbanes-Oxley (SARBOX) und anderen Bestimmungen beantwortet.
Zögern Sie nicht, Progress nach dem neuesten Stand der Informationen hinsichtlich MOVEit zu fragen und in Erfahrung zu bringen, wie das Produkt seine sicherheitsbewussten Kunden dabei unterstützt, ihre Datenschutz- und Sicherheitsstandards im Rahmen der Dateiübertragung und Speicherung sowie die zutreffenden vertraglichen, branchenüblichen und gesetzlichen Anforderungen zu erfüllen.
Mehrstufige Authentifizierung – Zwei oder mehr Faktoren zur Authentifizierung erschweren den Kennwortdiebstahl und ‑missbrauch. In interaktiven Eingabeschnittstellen unterstützt MOVEit Transfer Kennwörter plus Authentifizierungsanwendungen mit Software-Token wie Google Authenticator, bei denen RFC 6238 (TOTP, Zeitbasierte Kennwörter zur einmaligen Verwendung) und RFC 4226 (HOTP, HMAC-basierte Kennwörter zur einmaligen Verwendung) implementiert ist. Maschinenschnittstellen und FTP- bzw. SSH-Clients können so konfiguriert werden, dass ein Kennwort und ein Client-Schlüssel/‑Zertifikat erforderlich ist.
Data at Rest (Gespeicherte Daten) – MOVEit erfüllt diese Anforderung durch Verschlüsselung aller auf Festplatte gespeicherten Dateien durch eine FIPS 140-2-validierte 256-Bit-AES-Verschlüsselung. MOVEit Crypto (die Verschlüsselungsengine von MOVEit) war gerade einmal das zehnte Produkt, das von den Regierungen der USA und Kanadas nach den strengen Richtlinien von FIPS 140-2 für seine kryptografische Eignung zertifiziert wurde.
Data in Motion (Daten während der Übertragung) – MOVEit erfüllt diese Anforderung durch Verwendung verschlüsselter Kanäle (SSL oder SSH) beim Senden und Empfangen von Daten.
Tamper-Evident Audit Trail (Prüfpfad mit Manipulationsnachweis) – MOVEit zeichnet von jeder Dateiübertragung und jedem administrativen Vorgang einen Prüfpfad auf. Alle Einträge sind kryptografisch verkettet, so dass eine Manipulation der Protokolle nachweisbar wäre. Manipulationsprüfungen können nach Zeitplan automatisch, aber auch manuell ausgeführt werden.
Integritätsprüfung – MOVEit und die Dateiübertragungsclients von MOVEit, einschließlich der Upload-/Download-Assistenten, EZ, Xfer, Freely, Central, API-Clients, überprüfen die Integrität der übertragenen Dateien während der gesamten Übertragungskette anhand kryptografischer Hash-Werte. Alle sicheren FTP-, API- und webbasierten MOVEit-Clients, einschließlich der Upload-/Download-Assistenten, unterstützen die Integritätsprüfung. (Hinweis: Bei der Verwendung des JavaScript-Assistenten ist die Integritätsprüfung ein separater Schritt.)
Verbindlichkeit/Nichtabstreitbarkeit (engl. „Non-Repudiation“) – Dank Authentifizierung und Integritätsprüfung kann in MOVEit jederzeit nachgewiesen werden, wer welche Dateien übertragen und/oder empfangen hat.
Garantierte Zustellung – Die MOVEit-Komponenten Verbindlichkeit/Nichtabstreitbarkeit und Wiederaufnahme/Fortsetzung von Übertragungen nach einem Abbruch erfüllen gemeinsam die Anforderungen für die garantierte Zustellung.
Vernichtung alter Daten – MOVEit überschreibt alle von der Festplatte gelöschten Dateien durch zufällig generierte, einer Verschlüsselung ähnlich kommende Daten, um jeglichen Zugriff auf diese Daten unmöglich zu machen. Damit erfüllt MOVEit die Anforderungen von NIST SP800-88 (Datenvernichtung).
Zugriff nur auf nötige Daten (Need-to-know-Zugriff) – Mit den Benutzer- und Gruppenberechtigungen von MOVEit kann der Zugriff für Benutzer und Gruppen auf bestimmte Daten eingeschränkt werden.
Guter Kennwortschutz – MOVEit verlangt starke Kennwörter, verhindert die Wiederverwendung der gleichen Kennwörter innerhalb eines bestimmten Zeitraums und erzwingt von den Benutzern in regelmäßigen Abständen eine Kennwortänderung.
Gute Verschlüsselung – MOVEit verwendet SSL zur Kommunikation über Netzwerke. Dieses „verhandelte“ Protokoll kann mit einer Stärke von 128-Bit, der zurzeit stärksten Verschlüsselung, erzwungen werden. Zum Speichern der Daten auf Festplatte verwendet MOVEit die FIPS 140-2-validierte 256-Bit-AES-Verschlüsselung von MOVEit Crypto. (Dieser Algorithmus, der schneller und sicherer als Triple-DES ist, wurde von NIST als Ersatz für das vormalige DES gewählt.)
Denial of Service (DoS)-Schutz – MOVEit ist gegenüber DoS-Angriffen aufgrund von Identitätsprüfungen und anderen Ressourcen, die anonymen Benutzern zur Verfügung stehen, unempfindlich. (Nicht benötigte oder störende IP-Adressen werden einfach ausgesperrt.)
Härtung – Die Installation von MOVEit beinhaltet ein aus mehreren Schritten bestehendes (und gut dokumentiertes) Härtungsverfahren, das das Betriebssystem, die Webdienstumgebung, Berechtigungen und einige Anwendungen einschließt.
Firewall – MOVEit stellt Administratoren von Firewalls eine Anleitung für die Firewall-Konfiguration bereit. MOVEit unterstützt als zweite Verteidigungslinie das systemeigene IPSec als Firewall für die Filterung von Paketen.
Codeprüfung und Regressionstests – Sämtlicher MOVEit-Code wird gründlich geprüft. Die Änderungsverwaltung erfolgt mit einem Quellensteuerungssystem. Jedes Release wird ausführlichen Regressionstests unterzogen.
Zögern Sie nicht, Progress nach dem neuesten Stand der Informationen hinsichtlich MOVEit zu fragen und in Erfahrung zu bringen, wie das Produkt seine sicherheitsbewussten Kunden dabei unterstützt, ihre Datenschutz- und Sicherheitsstandards im Rahmen der Dateiübertragung und Speicherung sowie die zutreffenden vertraglichen, branchenüblichen und gesetzlichen Anforderungen zu erfüllen.