MOVEit マネージド・ファイル・トランスファーで、PCI DSS コンプライアンスを確保
MOVEit は、ネットワークを複数のファイアウォールで、信頼できるゾーン、DMZ、インターネットに分離し、データを安全に管理できる、マネージド・ファイル・トランスファー・ソリューションです。
MOVEit Automation と MOVEit Transfer では、支払い情報を含む古いファイルのデータを、安全に削除するようスケジュールすることができます。
MOVEit は、銀行、信用金庫などの金融機関を始め、クレジットカードを取り扱う数多くの組織が、PCI コンプライアンスを達成し、維持するのを支援します。
MOVEit Transfer は、インターネットとの接続がファイアウォールで保護される DMZ に配置されます。内部の信頼できるネットワークに展開される MOVEit Automation は、ファイアウォールを介して MOVEit Transfer サーバーへの接続を確立できます。このようにすることで、内部ネットワークと外部との間のデータの送受信を、安全な接続手段で行うことができます。ファイルを DMZ に保管したくない場合は、DMZ に MOVEit Gateway を配置し、MOVEit Transfer を信頼できる内部ネットワークに展開できます。
MOVEit は、セキュア FTP over SSL/TLS (FTPS)、セキュア FTP over SSH2 (SFTP および SCP2) を使用した転送と、HTTPS と AS2、AS3 プロトコルを使用したセキュアなファイル転送をサポートしています。保管中には、MOVEit Crypto 暗号化ソフトウェアを使用してデータを安全に保存します。MOVEit Crypto は、アメリカ国立標準技術研究所(National Institute of Standards and Technology、NIST)およびカナダ通信安全保証部(Communications Security Establishment Canada、CSEC)によって FIPS 140-2 の認証を受けています。
MOVEit では、それぞれのユーザーに、適切なレベルの権限を与えられるよう、詳細なロールを指定することができます。MOVEit Transfer では、フォルダーのアクセス許可を詳細にコントロールでき、プロトコルアクセスに制限を加えたりといった細かな権限の調節が可能です。パスワードとキーは、セキュア SSL/TLS および SSH2 を使用して暗号化されます。
MOVEit は、感染したファイルが転送されるのを防ぐために、転送ファイルの外部スキャンの統合をサポートしています。プログレスのサポート部門は、すべての MOVEit 製品のセキュリティを維持するために、定期的にセキュリティ更新プログラムを顧客コミュニティに投稿します。
MOVEit 監査ログ機能は、マネージド・ファイル・トランスファー製品が提供する最も包括的な機能の 1 つです。MOVEit 監査レコードへのアクセスは、ユーザーが自分の組織および/または自分の管理下にあるグループ、ユーザー、フォルダー、転送タスクに関連するイベントのみを表示できるように制御されています。
PCI DSS (Payment Card Industry Data Security Standard、クレジットカード業界データセキュリティ基準) は、クレジットカード所有者のデータを処理、保存、または送信するすべての組織で採用されている国際的なデータセキュリティ標準です。次の 6 つのセクションから構成されており、12 の重要なデータセキュリティ要件があります。
PCI DSS は、クレジットカード所有者のデータを送信、処理、および/または保存する加盟店、金融処理業者、POS ベンダー、銀行、信用金庫、その他の金融機関が満たすべき基準です。
ビジネスで、何らかの方法でクレジット カード決済を扱っている場合、PCI コンプライアンスは実務上のスタンダードであり、ビジネスを安全かつ効率的に運営する上で不可欠な要素になります。PCI コンプライアンスは、顧客やパートナーのクレジットカードデータを保護する上で非常に重要な要件であり、データ侵害を受けて大惨事に陥らないようビジネスを保護するためにも大いに推奨される取り組みです。
PCI セキュリティ基準評議会 (PCI Security Standards Council、PCI SSC) は、個々の企業に適用される要件を決定するために、規模とリスクでビジネスを4つに分類しました。ほとんどの中小企業はレベル4に相当し、Amazon や Walmart のような大規模な多国籍小売業者はレベル1に分類されます。
レベル 1: 年間 6,000,000 件を超える取引を行う業者、または過去にデータが侵害されたことのある業者。
レベル 2: 年間 150,000 から 6,000,000 件の取引を行う業者。
レベル 3: 年間 20,000 から 150,000 件の取引を行う業者。
レベル 4: 年間の取引件数が 20,000 件未満の業者。