Bedrijven hebben steeds meer te maken met een toenemende reeks van eisen van wetgever, industrie of branche. Meestal hebben die betrekking op de veiligheid. Deze eisen zoals de Health Insurance Portability and Accountability Act (HIPAA), de Sarbanes-Oxley Act (SOX), de Gramm-Leach-Bliley Act (GLBA), de Payment Card Industry Data Security Standards (PCI DSS) en Basel II hebben allemaal strenge regels met betrekking tot het beveiligen van specifieke gegevens binnen een organisatie. Vaak vormen deze gegevens de kern van het bedrijf, zoals klantinformatie, patienteninformatie of financiële gegevens.
Soms zijn deze eisen zeer technisch gespecificeerd. PCI DSS bijvoorbeeld biedt specifieke richtlijnen over wat voor soort gegevens moeten worden beschermd (klant- en kaarthouderinformatie), wanneer het moet worden beschermd (in transit en/of bij opslag) en op welke wijze het moet worden beschermd (in de meeste gevallen door encryptie). In andere gevallen zijn de eisen veel algemener en minder technisch van aard. HIPAA bijvoorbeeld heeft een algemene voorwaarde dat patiëntinformatie niet ter beschikking mag komen aan niet geautoriseerde partijen.
Moeilijk uitvoerbaar
Die algemene eisen zijn soms zeer moeilijk uit te voeren vanuit een technologisch perspectief. Stel bijvoorbeeld dat bepaalde informatie veilig en gecontroleerd moet worden overgedragen naar een partnerbedrijf. Dat betekent dat er een implementatie van diverse technische controles plaats moet vinden:
• Versleutel de gegevens, terwijl deze opgeslagen zijn;
• Versleutel de gegevens tijdens de overdracht binnen uw bedrijf, vooral als een dergelijke overdracht plaatsvindt via een openbaar toegankelijk netwerk (bijvoorbeeld door telewerkende werknemers);
• Versleutel de gegevens tijdens de overdracht aan uw partner;
• Verwijder automatisch tijdelijke kopieën van de gegevens die tijdens de overdracht zijn ontstaan;
• Blijf op de hoogte van elke toegang tot de gegevens, terwijl het opgeslagen is;
• Blijf op de hoogte van iedere verplaatsing van de gegevens;
• Bewaar de trackinginformatie in een beveiligde, fraudebestendige databank of log;
• Bepaal wie de overdracht van specifieke soorten gegevens kunnen initiëren.
Managed File Transfer
Een Managed File Transfer (MFT) systeem kan ondersteuning bieden bij het voldoen aan deze eisen. Door een goed geconfigureerd MFT-systeem als de enige mogelijkheid van het verzenden van gegevens aan te bieden, zowel binnen de organisatie als extern, kunt u op een eenvoudige wijze voldoen aan deze eisen. De MFT-oplossing kan bijhouden wie een bestand heeft overgedragen, wanneer een bestand was overgedragen, hoe lang de overdracht duurde naar de plaats waar het bestand is overgebracht, welk bestand was overgedragen enzovoort. Die informatie moet worden opgeslagen in een beveiligde, fraudebestendige database die niet aanpasbaar is. Een goede MFT-oplossing kan ook centraal bepalen wie transfers kan initiëren en kan ingezet worden om te bepalen welke overdrachtsprotocollen gebruikt worden, wat voor soort logging wordt bijgehouden en welke soorten bestanden kunnen worden overgedragen. Door het toevoegen van authenticatie kan ervoor worden gezorgd dat zowel de afzender als de ontvanger elkaars identiteit kunnen controleren alvorens te beginnen met de overdracht – dit zijn vaak compliance-eisen. Een MFT-oplossing kan deze functionaliteit aanbieden door middel van een tussenlaag van file-based encryptie, gebaseerd op een standaardtechnologie zoals PGP.
ViaCloud
Verder moet er een aantal technische protocollen en configuraties worden opgezet. Het bouwen van een eigen oplossing met SFTP, PHP, SSL, SHA, SSH en een aantal andere security-gerelateerde protocollen is gewoon niet meer haalbaar. Sterker nog, het is zelfs niet echt praktisch voor bedrijven om vandaag experts te worden in deze complexe materie als deze al ingebouwd zijn binnen een MFT-oplossing. ViaCloud B.V. te Schiphol-Rijk biedt een aantal MFT-oplossingen die voldoen aan deze voorwaarden. Zowel voor cloud-integratie, PCI-DSS compliancy, person-to-person, mobile workflow als PGP encryptie.
Voor meer inlichtingen: www.viacloud.nl en info@viacloud.nl