GoAnywhere MFT e la conformità al PCI DSS

GoAnywhere MFT aiuta le aziende a rendere qualsiasi trasferimento di file gestito conforme alle richieste dello standard PCI DSS (Payment Card Industry Data Security Standard) grazie a funzionalità preimpostate e di facile utilizzo.

La normativa PSI DSS contiene gli “standard di sicurezza per la protezione dei dati degli account”, così come riportato nel sito ufficiale dell’ente. I requisiti per la sicurezza dei dati sono 12, divisi a loro volta in più articoli

pci dss panoramica

GoAnywhere possiede funzioni che proteggono, automatizzano e controllano i trasferimenti di file per aiutarvi a ottemperare ai diversi requisiti del PCI DSS. Vediamole in dettaglio:

PCI DSSCaratteristiche di GoAnywhere MFT
Requisiti 1.1.6, 1.2.1, 1.3
Installare e gestire una configurazione firewall per proteggere i dati dei titolari di carta
Con GoAnywhere è possibile personalizzare gli indirizzi IP e le porte il che permette flessibilità con i firewall. I campi per le descrizioni rendono inoltre facile documentare perché sono utilizzate certe connessioni. La soluzione utilizzata con il Gateway GoAnywhere, facilita la separazione tra dati interni, DMZ e reti pubbliche.
Requisiti 2.1, 2.2, 2.3
Non utilizzare valori predefiniti del fornitore per le password di sistema e altri parametri di protezione
Il registro di controllo “Security Setting” di GoAnywhere fornisce una lista dettagliata di tutte le funioni di default della soluzione, i servizi abilitati e le caratteristiche di sicurezza configurate. L’utilizzo del protocollo HTTPS assicura che tutti gli accessi amministrativi siano crittografati.
Requisiti 3.1, 3.4, 3.5, 3.6
Proteggere i dati dei titolari di carta memorizzati
Con la soluzione i vostri file a riposo saranno protetti , utilizzando metodi di crittografia forte come AES e OpenPGP. È disponibile anche un sistema di gestione delle chiavi di crittografia. La conservazione dei dati potrà inoltre essere automatizzata definendo i tempi di conservazione.
Requisito 4.1
Cifrare i dati dei titolari di carta trasmessi su reti aperte e pubbliche
GoAnywhere protegge gli scambi su reti pubbliche e private usando protocolli sicuri, inclusi SFTP, FTPS, AS2 e HTTPS. Sono supportati i protocolli TLS 1.1 e1.2.
Requisiti 5.1, 5.3
Proteggere tutti i sistemi dal malware e aggiornare regolarmente i programmi o il software antivirus
GoAnywhere oltre a supportare soluzioni anti-virus/endpoint protection di terze parti, dispone di un’integrazione ICAP server per la scansione e la prevenzione della perdita di dati con funzionalità avanzate.
Requisiti 6.2, 6.4, 6.5.7, 6.5.10, 6.6
Sviluppare e gestire sistemi e applicazioni protette
GoAnywhere supporta ambienti separati di sviluppo, test, QA e produzione. Così è semplice far passare un progetto dalla fase di test alla produzione pur mantenendo separati gli ambienti. I progetti possono essere migrati tra gli ambienti e le loro revisioni registrate, consentendo un agevole ripristino delle modifiche.
Requisito 7.1
Limitare l’accesso ai dati dei titolari di carta solo se effettivamente necessario
GoAnywhere ha una sistema di sicurezza basato sui diritti di accesso ed i ruoli affinché ogni utente abbia accesso solo alle informazioni necessarie.
Requisiti 8.1.4, 8.1.6, 8.1.7, 8.1.8, 8.2, 8.2.3, 8.2.4, 8.2.5, 8.2.6, 8.5
Individuare e autenticare l’accesso ai componenti di sistema
Per soddisfare tutti i requisiti del PCI DSS, GoAnywhere oltre a disporre di un sistema di gestione degli account interno, può essere integrata via LDAP a sistemi di Identity management esterni e supporta l’autenticazione RSA a 2 fattori.
Requisito 9.5
Limitare l’accesso fisico ai dati dei titolari di carta
La flessibilità di installazione di GoAnywhere, che è multipiattaforma e supporta gli ambienti virtuali, vi permetterà di utilizzare la soluzione ed archiviare i dati in un ambiente protetto.
Requisiti 10.2, 10.3, 10.5
Registrare e monitorare tutti gli accessi a risorse di rete e dati dei titolari di carta
GoAnywhere facilita il monitoraggio di tutte le attività del sistema grazie a dettagliati registri di controllo. È prevista inoltre l’integrazione con soluzioni di terze parti.

Un’ulteriore conformità con lo standard PCI DSS: GoAnywhere Gateway

Con riferimento al requisito 1.3: Vietare l’accesso pubblico diretto tra Internet e i componenti di sistema nell’ambiente dei dati dei titolari di carta, è importante sapere che GoAnywhere MFT dispone anche di un Gateway per la protezione dei dati che permette di mantenere i file e le credenziali fuori dalla DMZ (zona demilitarizzata) senza richiedere l’apertura di porte in entrata.

HelpSystems, vendor e produttore di GoAnywhere MFT, è membro organizzativo del PCI Security Standards Council.

Aggiornamento della normativa: qual è l’ultima versione del PCI DSS?

La versione riportata nell’articolo è la V3-2-1, quella del Maggio 2018 attualmente in vigore.

La nuova versione, V4, entrerà in vigore il 31 marzo 2024, come spiegato nell’articolo qui.

Se la vostra azienda opera in un qualsiasi settore normato dallo standard PCI DSS chiamateci per una demo: vi faremo scoprire come rendere la conformità più semplice.