GoAnywhere MFT aiuta le aziende a rendere qualsiasi trasferimento di file gestito conforme alle richieste dello standard PCI DSS (Payment Card Industry Data Security Standard) grazie a funzionalità preimpostate e di facile utilizzo.
La normativa PSI DSS contiene gli “standard di sicurezza per la protezione dei dati degli account”, così come riportato nel sito ufficiale dell’ente. I requisiti per la sicurezza dei dati sono 12, divisi a loro volta in più articoli
GoAnywhere possiede funzioni che proteggono, automatizzano e controllano i trasferimenti di file per aiutarvi a ottemperare ai diversi requisiti del PCI DSS. Vediamole in dettaglio:
| PCI DSS | Caratteristiche di GoAnywhere MFT |
| Requisiti 1.1.6, 1.2.1, 1.3 Installare e gestire una configurazione firewall per proteggere i dati dei titolari di carta | Con GoAnywhere è possibile personalizzare gli indirizzi IP e le porte il che permette flessibilità con i firewall. I campi per le descrizioni rendono inoltre facile documentare perché sono utilizzate certe connessioni. La soluzione utilizzata con il Gateway GoAnywhere facilita la separazione tra dati interni, DMZ e reti pubbliche. |
| Requisiti 2.1, 2.2, 2.3 Non utilizzare valori predefiniti del fornitore per le password di sistema e altri parametri di protezione | Il registro di controllo “Security Setting” di GoAnywhere fornisce una lista dettagliata di tutte le funzioni di default della soluzione, i servizi abilitati e le caratteristiche di sicurezza configurate. L’utilizzo del protocollo HTTPS assicura che tutti gli accessi amministrativi siano crittografati. |
| Requisiti 3.1, 3.4, 3.5, 3.6 Proteggere i dati dei titolari di carta memorizzati | Con la soluzione i vostri file archiviati saranno protetti utilizzando metodi di crittografia forte come AES e OpenPGP. È disponibile anche un sistema di gestione delle chiavi di crittografia. La conservazione dei dati potrà inoltre essere automatizzata definendo i tempi di conservazione. |
| Requisito 4.1 Cifrare i dati dei titolari di carta trasmessi su reti aperte e pubbliche | GoAnywhere protegge gli scambi su reti pubbliche e private usando protocolli sicuri, inclusi SFTP, FTPS, AS2 e HTTPS. Sono supportati i protocolli TLS 1.1 e1.2. |
| Requisiti 5.1, 5.3 Proteggere tutti i sistemi dal malware e aggiornare regolarmente i programmi o il software antivirus | GoAnywhere oltre a supportare soluzioni anti-virus/endpoint protection di terze parti, dispone di un’integrazione ICAP server per la scansione e la prevenzione della perdita di dati con funzionalità avanzate. |
| Requisiti 6.2, 6.4, 6.5.7, 6.5.10, 6.6 Sviluppare e gestire sistemi e applicazioni protette | GoAnywhere supporta ambienti separati di sviluppo, test, QA e produzione. Così è semplice far passare un progetto dalla fase di test alla produzione pur mantenendo separati gli ambienti. I progetti possono essere migrati tra gli ambienti e le loro revisioni registrate, consentendo un agevole ripristino delle modifiche. |
| Requisito 7.1 Limitare l’accesso ai dati dei titolari di carta solo se effettivamente necessario | GoAnywhere ha una sistema di sicurezza basato sui diritti di accesso ed i ruoli affinché ogni utente abbia accesso solo alle informazioni necessarie. |
| Requisiti 8.1.4, 8.1.6, 8.1.7, 8.1.8, 8.2, 8.2.3, 8.2.4, 8.2.5, 8.2.6, 8.5 Individuare e autenticare l’accesso ai componenti di sistema | Per soddisfare tutti i requisiti del PCI DSS, GoAnywhere oltre a disporre di un sistema di gestione degli account interno, può essere integrata via LDAP a sistemi di Identity management esterni e supporta l’autenticazione RSA a 2 fattori. |
| Requisito 9.5 Limitare l’accesso fisico ai dati dei titolari di carta | La flessibilità di installazione di GoAnywhere, che è multipiattaforma e supporta gli ambienti virtuali, vi permetterà di utilizzare la soluzione ed archiviare i dati in un ambiente protetto. |
| Requisiti 10.2, 10.3, 10.5 Registrare e monitorare tutti gli accessi a risorse di rete e dati dei titolari di carta | GoAnywhere facilita il monitoraggio di tutte le attività del sistema grazie a dettagliati registri di controllo. È prevista inoltre l’integrazione con soluzioni di terze parti. |
Un’ulteriore conformità con lo standard PCI DSS: GoAnywhere Gateway
Con riferimento al requisito 1.3: Vietare l’accesso pubblico diretto tra Internet e i componenti di sistema nell’ambiente dei dati dei titolari di carta, è importante sapere che GoAnywhere MFT dispone anche di un Gateway per la protezione dei dati che permette di mantenere i file e le credenziali fuori dalla DMZ (zona demilitarizzata) senza richiedere l’apertura di porte in entrata.
Aggiornamento della normativa: qual è l’ultima versione del PCI DSS?
La versione riportata nell’articolo è la V3-2-1, quella del Maggio 2018 attualmente in vigore.
La nuova versione, V4, entrerà in vigore il 31 marzo 2024, come spiegato nell’articolo qui.
Se la vostra azienda opera in un qualsiasi settore normato dallo standard PCI DSS chiamateci per una demo: vi faremo scoprire come rendere la conformità più semplice.