Exigences relatives à la confidentialité, aux normes de sécurité et aux audits
Cette section répond aux questions concernant la conformité attendue de la part de MOVEit avec certaines réglementations (HIPAA, FDIC, OCC, loi G-L-B, California SB 1386, loi canadienne PIPEDA, Payment Card Industry (PCI), Sarbanes-Oxley (SARBOX), etc.).
Veuillez contacter Progress pour en savoir plus sur la manière dont MOVEit aide les clients qui doivent répondre à des exigences de sécurité à transférer et stocker leurs fichiers conformément aux normes en vigueur, à la réglementation, ainsi qu'aux exigences contractuelles et propres à leur secteur en matière de sécurité et de confidentialité.
Authentification à facteurs multiples - Deux facteurs ou plus rendent le vol et l'utilisation inappropriée des informations d'identification beaucoup plus difficiles. Pour les interfaces humaines interactives, MOVEit Transfer prend en charge des applications d'authentification par « jeton logiciel » telles que Google Authenticator, qui mettent en œuvre les protocoles de sécurité RFC 6238 TOTP (Time-Based One-Time Password) et RFC 4226 HOTP (HMAC-Based One-Time Passwords). Les interfaces machine et les clients FTP ou SSH peuvent être configurés de manière à exiger un mot de passe et une clé ou un certificat client pour garantir une authentification à facteurs multiples.
Données au repos : MOVEit se conforme à cette exigence en cryptant tous les fichiers stockés sur disque à l'aide d'un cryptage AES 256 bits avec validation FIPS 140-2. MOVEit Crypto (le module de cryptage de MOVEit) n'est que le 10e produit à avoir été approuvé, validé et certifié par les gouvernements des États-Unis et du Canada pour sa conformité aux normes FIPS 140-2, très strictes en matière de cryptographie.
Données actives : MOVEit se conforme à cette exigence en utilisant des voies cryptées (SSL ou SSH) pour l'envoi et la réception de données.
Piste d'audit inviolable : MOVEit maintient une piste d'audit pour chaque transfert de fichier et action administrative. Toutes les entrées sont liées les unes aux autres de manière cryptographique afin de rendre facilement détectable toute altération du journal. Des contrôles sont effectués régulièrement pour détecter les éventuelles altérations. Vous pouvez également les exécuter manuellement.
Contrôle de l'intégrité : MOVEit et les clients MOVEit de transfert de fichiers, y compris l'assistant de téléchargement, EZ, Xfer, Freely, Central et les clients API font appel à des hachages cryptographiques pour vérifier l'intégrité des fichiers tout au long de la chaîne de transfert. Tous les clients sécurisés MOVEit FTP, API et Web (y compris l'assistant de téléchargement) prennent en charge le contrôle de l'intégrité. (Remarque : Le contrôle de l'intégrité peut être effectué à part si vous utilisez l'assistant JavaScript.)
Non-répudiation : les contrôles d'authentification et d'intégrité MOVEit permettent de prouver que certaines personnes ont transmis et/ou reçu des fichiers spécifiques.
Livraison garantie : la combinaison des fonctionnalités MOVEit de non-répudiation et de redémarrage/reprise du transfert satisfait aux exigences en matière de garantie de livraison.
Destruction des données obsolètes : MOVEit remplace tous les fichiers supprimés par une séquence aléatoire de données cryptées afin d'empêcher tout accès ultérieur. MOVEit répond aux exigences de la publication NIST SP800-88 (effacement des données).
Accès aux informations pertinentes uniquement : vous pouvez définir des autorisations MOVEit pour des utilisateurs/groupes afin d'accéder à des ressources spécifiques.
Excellente protection des mots de passe : MOVEit requiert des mots de passe sûrs, empêche les utilisateurs de réutiliser d'anciens mots de passe et leur demande périodiquement d'en changer.
Excellent cryptage : MOVEit fait appel à SSL pour communiquer sur les réseaux. Vous pouvez appliquer ce protocole « négocié » pour permettre des connexions à 128 bits (la valeur la plus élevée sur le marché actuellement). MOVEit propose MOVEit Crypto, un module de cryptage AES 256 bits avec validation FIPS 140-2, pour stocker les données sur disque. (Cet algorithme a été sélectionné par NIST pour remplacer DES. Il est plus rapide et plus sûr que le Triple DES.)
Protection contre les attaques par déni de service : MOVEit est résilient aux attaques DOS (saturation des ressources via des contrôles d'authentification ou d'autres ressources disponibles pour les utilisateurs anonymes). Les adresses IP considérées comme nuisibles sont bloquées.
Sécurisation : l'installation de MOVEit implique une procédure sécurisée en plusieurs étapes (et documentée) couvrant le système d'exploitation, l'environnement des services Web, les autorisations et les applications externes.
Pare-feu : MOVEit inclut un guide de configuration du pare-feu à l'intention des administrateurs. MOVEit prend en charge l'utilisation native d'IPSec en tant que pare-feu de filtrage des paquets et seconde ligne de défense.
Examen du code et tests de régression : l'intégralité du code MOVEit est soumise à examen. Le contrôle des changements est assuré par un système de contrôle des sources. Les tests de régression sont effectués à chaque nouvelle version.
Veuillez contacter Progress pour en savoir plus sur la manière dont MOVEit aide les clients qui doivent répondre à des exigences de sécurité à transférer et stocker leurs fichiers conformément aux normes en vigueur, à la réglementation, ainsi qu'aux exigences contractuelles et propres à leur secteur en matière de sécurité et de confidentialité.