PCI コンプライアントなファイル転送
MOVEit マネージド・ファイル・トランスファーで、PCI DSS コンプライアンスを確保
セキュリティで保護されたネットワーク
MOVEit は、ネットワークを複数のファイアウォールで、信頼できるゾーン、DMZ、インターネットに分離し、データを安全に管理できる、マネージド・ファイル・トランスファー・ソリューションです。
保存されたカード所有者のデータを保護
MOVEit Automation と MOVEit Transfer では、支払い情報を含む古いファイルのデータを、安全に削除するようスケジュールすることができます。
PCI コンプライアンスの確保
MOVEit は、銀行、信用金庫などの金融機関を始め、クレジットカードを取り扱う数多くの組織が、PCI コンプライアンスを達成し、維持するのを支援します。
PCI コンプライアンスを満たすための MOVEit のしくみ
ネットワークセキュリティの維持
MOVEit Transfer は、インターネットとの接続がファイアウォールで保護される DMZ に配置されます。内部の信頼できるネットワークに展開される MOVEit Automation は、ファイアウォールを介して MOVEit Transfer サーバーへの接続を確立できます。このようにすることで、内部ネットワークと外部との間のデータの送受信を、安全な接続手段で行うことができます。ファイルを DMZ に保管したくない場合は、DMZ に MOVEit Gateway を配置し、MOVEit Transfer を信頼できる内部ネットワークに展開できます。
送信中および保管中のカード所有者のデータを保護
MOVEit は、セキュア FTP over SSL/TLS (FTPS)、セキュア FTP over SSH2 (SFTP および SCP2) を使用した転送と、HTTPS と AS2、AS3 プロトコルを使用したセキュアなファイル転送をサポートしています。保管中には、MOVEit Crypto 暗号化ソフトウェアを使用してデータを安全に保存します。MOVEit Crypto は、アメリカ国立標準技術研究所(National Institute of Standards and Technology、NIST)およびカナダ通信安全保証部(Communications Security Establishment Canada、CSEC)によって FIPS 140-2 の認証を受けています。
強力なアクセスコントロール
MOVEit では、それぞれのユーザーに、適切なレベルの権限を与えられるよう、詳細なロールを指定することができます。MOVEit Transfer では、フォルダーのアクセス許可を詳細にコントロールでき、プロトコルアクセスに制限を加えたりといった細かな権限の調節が可能です。パスワードとキーは、セキュア SSL/TLS および SSH2 を使用して暗号化されます。
脆弱性管理プログラム
MOVEit は、感染したファイルが転送されるのを防ぐために、転送ファイルの外部スキャンの統合をサポートしています。プログレスのサポート部門は、すべての MOVEit 製品のセキュリティを維持するために、定期的にセキュリティ更新プログラムを顧客コミュニティに投稿します。
ネットワークの定期的な監視とテスト
MOVEit 監査ログ機能は、マネージド・ファイル・トランスファー製品が提供する最も包括的な機能の 1 つです。MOVEit 監査レコードへのアクセスは、ユーザーが自分の組織および/または自分の管理下にあるグループ、ユーザー、フォルダー、転送タスクに関連するイベントのみを表示できるように制御されています。
PCI DSS とは?
PCI DSS (Payment Card Industry Data Security Standard、クレジットカード業界データセキュリティ基準) は、クレジットカード所有者のデータを処理、保存、または送信するすべての組織で採用されている国際的なデータセキュリティ標準です。次の 6 つのセクションから構成されており、12 の重要なデータセキュリティ要件があります。
- カード所有者データを保護するためのファイアウォール構成のインストールと保守
- システムパスワードやその他のセキュリティパラメータにベンダー提供のデフォルトを使用しない
- 保存中のカード所有者データを保護する
- オープンなパブリックネットワークを介したカード所有者データの送信を暗号化する
- ウイルス対策ソフトウェアまたはプログラムを使用し、定期的に更新する
- 安全なシステムとアプリケーションを開発し維持する
- ビジネス上のノウハウでカード所有者データへのアクセスを制限する
- コンピュータにアクセスできる各ユーザーに一意の ID を割り当てる
- カード所有者データへの物理的なアクセスを制限する
- ネットワークリソースとカード所有者データへのすべてのアクセスを追跡および監視する
- セキュリティシステムとプロセスを定期的にテストする
- 従業員および契約社員の情報セキュリティに関するポリシーを維持する
PCI DSS コンプライアンスを満たすべき組織
PCI DSS は、クレジットカード所有者のデータを送信、処理、および/または保存する加盟店、金融処理業者、POS ベンダー、銀行、信用金庫、その他の金融機関が満たすべき基準です。
ビジネスで、何らかの方法でクレジット カード決済を扱っている場合、PCI コンプライアンスは実務上のスタンダードであり、ビジネスを安全かつ効率的に運営する上で不可欠な要素になります。PCI コンプライアンスは、顧客やパートナーのクレジットカードデータを保護する上で非常に重要な要件であり、データ侵害を受けて大惨事に陥らないようビジネスを保護するためにも大いに推奨される取り組みです。
MOVEit ソリューションのアーキテクチャ
MOVEit は、ネットワークを複数のファイアウォールで、信頼できるゾーン、DMZ、インターネットに分離し、データを安全に管理できる、マネージド・ファイル・トランスファー・ソリューションです。
ご存知ですか?
コンプライアンス要件は、ビジネスの規模によって異なります
PCI セキュリティ基準評議会 (PCI Security Standards Council、PCI SSC) は、個々の企業に適用される要件を決定するために、規模とリスクでビジネスを4つに分類しました。ほとんどの中小企業はレベル4に相当し、Amazon や Walmart のような大規模な多国籍小売業者はレベル1に分類されます。
レベル 1: 年間 6,000,000 件を超える取引を行う業者、または過去にデータが侵害されたことのある業者。
レベル 2: 年間 150,000 から 6,000,000 件の取引を行う業者。
レベル 3: 年間 20,000 から 150,000 件の取引を行う業者。
レベル 4: 年間の取引件数が 20,000 件未満の業者。
用語の説明
- PCI: Payment Card Industry (クレジットカード業界) の頭字語。オンラインで製品を購入したり、コンピュータ経由でクレジットカード情報を提供したりしたことがあれば、この組織の保護を受けていることになります。
- PCI DSS: PCI Data Security Standard (クレジットカード業界データセキュリティ基準)。PCI DSS 規制は、特定のルールを設けて、すべてのトランザクションが安全であることを保証することを要請します。
- ROC: Report on Compliance (コンプライアンスレポート)。PCI の基準を遵守することによって達成されるコンプライアンス・プロセスの公式な書面による報告書。
- QSA: Qualified Security Assessor (認定審査機関) の頭字語。PCI 国際協議会によって、PCI 標準の実装者として認定された審査機関。
- DMZ: DeMilitarized Zone (非武装地帯)。エンドユーザーとプロバイダーの間の中立的な場所として機能する、ホストされた領域または小さな安全なネットワーク。この「ゾーン」は、実際のトランザクションを処理しクレジットカード情報を保存する安全なサーバーへの不正アクセスを防ぎます。外部ユーザーは DMZ までしかアクセスできず、その先へのアクセスは許されません。
