GoAnywhere MFT : réglementations et certifications

BlueFinch-ESBD

La solution de Managed File Transfer GoAnywhere possède plusieurs certifications reconnues attestant de la conformité du logiciel avec de nombreux contrôles, normes et réglementations. 

Le logiciel GoAnywhere MFT fait régulièrement l’objet de tests approfondis d’interopérabilité avec les systèmes d’exploitation d’entreprise et les navigateurs Web les plus répandus.  

AS2 et AS4 Drummond Certification

AS2 reste l’une des normes de messagerie les plus largement adoptées dans le monde. Les détaillants, les fabricants de biens, les compagnies d’assurance, les services financiers, l’industrie et les agences gouvernementales ont adopté AS2 pour protéger les informations commerciales critiques qui représentent des milliards de dollars chaque année. 

Les produits certifiés Drummond montrent aux partenaires potentiels, aux clients et aux concurrents que les solutions AS2, AS4 ou ebXML sont conformes aux normes de l’industrie et interopérables avec d’autres solutions logicielles certifiées. Le programme de certification de Drummond pour AS2, AS4 et ebMS teste et certifie des solutions logicielles depuis plus de 20 ans.  

BlueFinch-ESBD

Type 2 SOC Assessment 

Les audits SOC (System and Organization Controls – anciennement Service Organization Controls) constituent une évaluation indépendante des risques liés à l’utilisation d’organismes de services et d’autres tiers. 

Ils sont essentiels à la surveillance réglementaire, aux programmes de gestion des fournisseurs, à la gouvernance interne et à la gestion des risques.  

Un rapport d’audit SOC 2 (Service Organization Control) fournit des informations détaillées et des assurances sur les contrôles de sécurité, de disponibilité, d’intégrité du traitement et de confidentialité d’une organisation de services, selon sa conformité avec le TSC (Trust Services Criteria) de l’AICPA (American Institute of Certified Public Accountants). 

Les audits SOC 2 constituent un élément important de la surveillance réglementaire, des programmes de gestion des fournisseurs, de la gouvernance interne et de la gestion des risques. 

Microsoft Azure 

Azure Marketplace est un magasin en ligne qui propose des applications et des services conçus pour s’intégrer à Microsoft Azure. En obtenant un référencement sur le Marketplace, Microsoft a reconnu que le logiciel GoAnywhere MFT est certifié et optimisé pour fonctionner sur Azure. 

La plateforme Cloud de Microsoft Azure permet aux utilisateurs d’exécuter Windows ou Linux sur des machines virtuelles dans Cloud. Les utilisateurs d’Azure peuvent également utiliser le serveur Windows SQL. La solution de serveur FTPS Azure de GoAnywhere peut vous aider à vous assurer que vos données sont à l’abri des vulnérabilités. 

Common Criteria 

NIAP Standards for NSS Procurement Le National Information Assurance Partnership (NIAP) est responsable de la mise en œuvre de Common Criteria aux États-Unis, et notamment de la gestion de l’organisme de validation du NIAP, le « Common Criteria Evaluation and Validation Scheme » (CCEVS).  Le NIAP gère un programme national de développement de profils de protection, de méthodologies d’évaluation et de politiques qui garantiront des exigences réalisables, reproductibles et testables.  En partenariat avec le NIST, le NIAP approuve également les laboratoires de test des Critères Communs pour mener ces évaluations de sécurité dans les opérations du secteur privé à travers les États-Unis.  

Les critères communs d’évaluation de la sécurité des technologies de l’information (CC) constituent la base technique d’un accord international, l’Arrangement de Reconnaissance des Critères Communs (CCRA), qui garantit que : 

– Les produits peuvent être évalués par des laboratoires agréés, compétents et indépendants, afin de déterminer s’ils satisfont à des propriétés de sécurité particulières, dans une certaine mesure ou avec une certaine assurance  

– Les documents d’appui sont utilisés dans le cadre du processus de certification des critères communs pour définir la manière dont les critères et les méthodes d’évaluation sont appliqués lors de la certification de technologies spécifiques  

– La certification des propriétés de sécurité d’un produit évalué peut être délivrée par un certain nombre de Certificate Authorizing Schemes, cette certification étant basée sur le résultat de leur évaluation  

– Ces certificats sont reconnus par tous les signataires de CCRA 

BlueFinch-ESBD

Conformité réglementaire avec GoAnywhere MFT 

Au-delà de ces certifications, GoAnywhere possède plusieurs partenariats avec IBM, Oracle, AWS, Docker Hub, Red Ha, Open PGP Alliance, RSA, Microsoft, etc. et est conforme à de multiples normes et réglementations mondiales. Le logiciel répond donc aux prérequis gouvernementaux en matière de sécurité et protection des données.  

Voici quelques exemples de loi et normes bien connues.

PCI DSS 

Les normes et les ressources de PCI DSS aident à protéger les personnes, les processus et les technologies de l’écosystème des paiements afin de sécuriser les paiements dans le monde entier en : 

  • Gérant les normes mondiales de sécurité des paiements 
  • Validant et en répertoriant les produits et les solutions qui répondent aux normes et aux exigences du programme PCI SSC 
  • Formant, testant et qualifiant les professionnels et les organisations de la sécurité 
  • Fournissant gratuitement des ressources sur les meilleures pratiques et la sécurité des paiements 

 

Notre éditeur et partenaire Fortra participe au Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI DSS). En tant que membre, Fortra dispense des formations et fournit des corrections de nouvelles normes existantes.  

PCI DSS est la norme de sécurité des données de l’industrie des cartes de paiement (Payment Card Industry’s Data Security Standard), créée afin de renforcer les contrôles sur les données sensibles des titulaires de cartes et de réduire la fraude. Elle s’applique à toute organisation qui traite des cartes de crédit ou de débit, bien qu’il ait été démontré que la conformité à la norme PCI DSS protège les entreprises contre les violations de données. 

Voici quelques exigences en matière de transfert de fichiers conformes à la norme PCI : 

La norme PCI DSS comprend actuellement 12 exigences principales et plus de 200 sous-exigences. Les principales préoccupations de la norme sont les suivantes : 

  • Le chiffrement des données en transit et au repos 
  • Le contrôle de l’accès aux données des titulaires de cartes 
  • Le maintien de systèmes et de réseaux sécurisés
 

Lecture connexe : DORA – Le nouveau règlement pour renforcer la sécurité des transferts de fichiers 

RGPD 

Le règlement général sur la protection des données (RGPD) est un règlement destiné à renforcer la protection des données personnelles au sein de l’Union européenne.

Elle modifie les règles régissant la gestion des données personnelles au sein des entreprises. L’objectif de ce règlement européen est de renforcer et d’harmoniser la protection des données afin d’intégrer les évolutions technologiques (Big Data, IOT, IA…) et l’usage qu’elles font ou feront de nos données personnelles. 

Le RGPD oblige les organisations à notifier toute violation de données susceptible de mettre en danger les droits ou libertés individuelles dans les 72 heures suivant la prise de conscience de la violation. Il donne également aux citoyens de l’Union européenne le droit de demander des détails sur la manière dont leurs données sont traitées, de demander l’effacement de leurs données et de retirer leur consentement précédemment donné pour les contacter et utiliser leurs données. 

Toutes les entreprises publiques et privées opérant en Europe ou détenant des données personnelles sur des individus ou des entreprises dans l’UE sont concernées.

C’est là qu’intervient le MFT. Il permet de :

  • de sécuriser la transmission de données à caractère personnel par le biais du chiffrement
  • d’effectuer des contrôles d’intégrité sur les transferts de fichiers réussis afin de protéger l’exactitude des données
  • Démontrer la conformité au GDPR avec des pistes d’audit et des rapports détaillés sur chaque transfert de fichiers
 

ISO 27001 

« Cette norme, la plus connue au monde en matière de management de la sécurité de l’information, aide les organisations à sécuriser leurs actifs informationnels, ce qui est vital dans un monde de plus en plus numérisé. 

Pour relever ces défis en matière de cybersécurité, les organisations doivent renforcer leur résilience et mettre en œuvre des efforts d’atténuation des cybermenaces. ISO/IEC 27001 est utile à différents niveaux, notamment pour : 

  • Sécuriser les informations sous toutes leurs formes, y compris les données sur papier, hébergées sur le Cloud et numériques 
  • Augmenter la résistance aux cyberattaques  
  • Fournir un cadre géré de manière centralisée qui sécurise toutes les informations en un seul endroit  
  • Assurer une protection à l’échelle de l’entreprise, en particulier contre les risques technologiques et autres menaces 
  • Répondre à l’évolution des menaces pour la sécurité  
  • Réduire les coûts et les dépenses consacrées à des technologies de défense inefficaces 
  • Protéger l’intégrité, la confidentialité et la disponibilité des données » 

HIPAA

La Health Insurance Portability and Accountability Act de 1996 (HIPAA) est une loi fédérale qui exigeait la création de normes nationales pour protéger les informations sensibles sur la santé des patients contre toute divulgation sans le consentement ou la connaissance du patient. Le ministère américain de la Santé et des Services sociaux (HHS) a publié la règle de confidentialité HIPAA pour mettre en œuvre les exigences de la HIPAA. La règle de sécurité HIPAA protège un sous-ensemble d’informations couvertes par la règle de confidentialité. 

Cette liste n’est bien évidemment qu’un échantillon de l’étendue des normes auxquelles la solution de MFT GoAnywhere est compatible. 

Avez-vous des exigences ou des risques spécifiques à prendre en compte ? Découvrez comment GoAnywhere peut vous aider dans vos efforts de conformité. 

  • DORA 
  • HIPAA 
  • CIS 
  • FISMA & NIST (800-53r4, CSF, PS 800-37r2 RMF) 
  • ISO 27001 & 27002 
  • SOC 2 
  • SOX 
  • Australia’s CDR 
  • Canadian Consumer Privacy Protection Act 
  • California Consumer Privacy Act 
  • PIPEDA 
  • Singapore’s PDPA 

 

LinkedIn
Email
Print

📢26 nov - 10:15 10:45

Le Tech Coffee Break revient pour une nouvelle édition ! ☕ Ne ratez pas le Live !