MOVEit

GDPR 的資料保護原則,第三部分:準確度與儲存限制

今年五月是個很有意思的月份。Google 和 Facebook 雙雙面臨 88 億美元的訴訟;Kanye West 宣佈支持 Donald Trump;而幾乎所有人的收件匣都擠滿了「我們已更新隱私權聲明」電子郵件。這一切代表什麼?癥結點是什麼?當然,這意味著我們也必須遵守 GDPR。Kanye 那件事毫不相關,所以不算在內。

一般資料保護規範 (General Data Protection Regulation, GDPR) 自 2018 年 5 月 25 日起正式生效。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。同時,這也表示現在該繼續探討系列文章「詳細解讀 GDPR 的資料保護原則」了。

請務必遵守 GDPR。下載這份免費指南。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

第一篇文章中,我們介紹了 GDPR 的基本概念,包括何謂 GDPR、GDPR 的重點,以及 GDPR 所影響的對象;此外,我們也探討了資料保護的第一條原則:有權要求公平、合法且公開透明的資料處理流程。不出您所料,我們的第二篇文章已經探討過第二條和第三條原則:目的限制與資料最小化。

所以,現在就接續之前的內容,繼續探討第四條和第五條原則:準確度與儲存限制。

個人資料必須準確無誤

依據 GDPR 的第四條原則,舉凡所收集或處理的個人資料,皆須「準確無誤,且必須酌情保持更新。」GDPR 進一步規定以資料處理目的為前提,「必須在合理範圍內盡一切可能立即刪除或更正不準確的個人資料,不得延誤」。

這究竟是什麼意思?簡而言之:您不能保留無用資料,而且有責任確保資料的準確度與時效性。如果資料不準確或不符合時效,就必須刪除。舉例來說,假設您忙著處理一項政治宣傳活動,而您所用的資料是上一次大選期間得到的資料。第四條原則規定您有責任先確認自己使用的資料準確無誤且符合時效,之後才能將資料寄給選民。

這項規定牽涉到資料當事人更正及刪除資料的權利,而這兩項權利都是 GDPR 的重要條款。依據更正權的規定,個人有權要求更正不正確的資訊,也有權要求補齊不完整的資訊。依據刪除權的規定,個人有權要求刪除其資料,而且您應該及時進行刪除。

GDPR 並未深入規範資料準確度原則。具體而言,這條原則並未確切列舉出何謂「盡一切可能」保障準確度。不過,有一點是肯定的:若不更新或刪除已經過時的無用資料,您有可能會面臨重罰,這就關係到下一條原則。

您必須針對個人資料的儲存設限 (亦即不可保留不再需要的資料!)

我在探討第三條原則時曾經提過,保留一切資料以備不時之需是違反 GDPR 的行為,還記得嗎?規定制訂者太重視這條規定了,所以整份資料保護原則皆以這條規定為準據:即儲存限制原則。

依據這條原則,個人資料「不得以能夠辨別資料當事人身分的形式進行保存,且保存期限不可超過個人資料處理目的所需時間」。若要長時間儲存個人資料,必須證明該項資料「經處理後純粹做為歸檔之用,其目的是以公共利益、科學或歷史研究或統計為準據」。

基本上,就像之前提過的,唯有在依據資料收集目的完成作業所需的期間內,您才能保留資料。資料可用期限也許更長,但您不能繼續持有,也不能將資料重複運用於其他用途 (或將資料出售給他人)。這樣的規定有助於預防諸如 Facebook/Cambridge Analytica 所發生的醜聞,同時這也是 GDPR 所賦予的基本權利。

您必須備妥規定留存期限的政策,以及該項政策的文件記錄規定 (為進行法遵稽查所需),才算遵守這項原則。此外,您還要經常檢查已經過時的資料,適時刪除已經不再需要的資料。

管理式檔案傳輸對於企業遵守規定的助益

如前所述,若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

像 MOVEit 如此可靠的管理式檔案傳輸解決方案,能夠透過許多方式協助貴公司遵守 GDPR。

MOVEit 可以讓您運用自動的檔案完整性檢查流程,以利證明檔案未經竄改,避免出現嚴重錯誤而導致資料不準確。

同理可證,您可以運用 MOVEit 的內建排程工具安排一般資料傳輸前及傳輸後作業,例如確認資料的準確度和效力,以及檢查並遵守留存期間。

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

本文轉載自ipswitch官方網站部落格

GDPR 的資料保護原則,第二部分:目的限制與資料最小化

一般資料保護規範 (General Data Protection Regulation, GDPR) 自 2018 年 5 月 25 日起正式生效。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。同時,這也表示現在該繼續探討系列文章「詳細解讀 GDPR 的資料保護原則」了。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

第一篇文章中,我們介紹了 GDPR 的基本概念,包括何謂 GDPR、GDPR 的重點,以及 GDPR 所影響的對象;此外,我們也探討了資料保護的第一條原則:有權要求公平、合法且公開透明的資料處理流程。本週文章將接續上一篇文章的主題,繼續介紹第二條和第三條原則:目的限制與資料最小化。

GDPR 規定必須針對收集資料的目的設限

依據 GDPR [第 5 項第 1(b) 條]中的第二項資料保護原則,收集個人資料時必須「秉持具體、明確且正當的目的為之,如需進一步處理,處理方式不得與其目的相悖。」舉凡進一步處理個人資料之行為,一概不得「背離其原始目的」。

請務必遵守 GDPR。下載這份免費指南。

簡而言之,意思是要有正當、合法的目的才能收集和處理使用者資料,再也不能單憑做得到就將所有資料一網打盡。如果您收集不符合具體目的的資料,可能就違反了 GDPR 規定。同理可證,倘若您為了某個特定目的而收集並處理資料,就不能為了其他不相關的目的處理該項資料。例如,依據 GDPR 的規定,若收集資料的目的是為了研究,就不能為了行銷目的而處理及出售該項資料。

依據 GDPR 的規定,個人資料是指資料本身或合併處理者可能取得的其他資料後,能夠用於辨別個人身分的資料。姓名、電話號碼、IP 位址、電子郵件等等,全都屬於個人資料。

不久前 Cambridge Analytica/Facebook 爆出醜聞,Mark Zuckerberg 甚至為此親赴美國國會及歐盟議會,在議員面前作證;這樁醜聞讓世人得知,英國政治顧問公司 Cambridge Analytica 在 2016 年美國大選期間挪用以研究為目的收集而來的資料,鎖定數百萬名美國與歐盟公民進行政治宣傳。若以 GDPR 規定的最新限制為準,Cambridge Analytica 和 Facebook 會面臨鉅額罰金,最高可罰全球年營業額的 4%。美國現行法規並沒有這類目的限制法。

各企業還必須盡可能減少需要收集與儲存的資料

GDPR 大刀闊斧改革資料收集與處理流程,其中第 5 節第 1(c) 條的資料最小化原則特別值得注意。依據這條原則,舉凡所收集到的個人資料,皆須「適當、相關,且僅止於符合資料處理目的所需的程度」。

這項規定與目的限制息息相關,不同之處在於資料最小化原則限制的重點在於所儲存及收集的資料。重點是,從收集到處理、儲存與使用,舉凡資料生命週期當中的每一個階段,皆須採行資料最小化流程及規定,才算遵守 GDPR。在這個流程當中的每一個環節,您都要捫心自問:我們真的需要這項資料嗎?如果答案是否定的,就該刪除這項資訊。您應該將此流程記載於可資證明的稽核記錄中。

此外,要做到資料最小化,您就需要思考打算儲存特定資料多久。例如,若需要資料的目的是用於一項將會持續七週的專案,則在專案結案後、不再需要該項資料時,您就必須刪除資料。目前業界的慣例是保留一切資料,以防不時之需。敬請注意:這種慣例違反 GDPR。

為遵守 GDPR,收集資料之前請先自問以下問題:

  • 我會如何運用這項資料?
  • 如果不收集這項資料,我能達成目標嗎?
  • 我需要儲存這項資料多久,才能達成目標?

MOVEit 對於遵守 GDPR 第二條和第三條原則的助益

若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

不需編寫指令碼就能掌握先進的工作流程自動化功能。立即試用 MOVEit Automation 免費試用版。

像 MOVEit 如此可靠的管理式檔案傳輸解決方案,能夠透過許多方式協助貴公司遵守 GDPR。

MOVEit 就是一套以表單為主的解決方案,讓您能夠進行符合標準、安全又有記錄可循的資料傳輸作業,以利追蹤資料的去向、使用者,以及瀏覽者。MOVEit 能讓您全權掌握資料生命週期,因此是遵守資料最小化原則不可或缺的要素。MOVEit 提供詳盡而全面的分析功能,您可以深入洞悉檔案傳輸活動的各項資訊,由始至終嚴格遵守 GDPR 的資料保護原則。

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能、資料完整性檢查功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

本文轉載自ipswitch官方網站部落格

GDPR 的資料保護原則,第一部分 基本概念

歐盟將於兩週後開始實施一般資料保護規範 (General Data Protection Regulation, GDPR),值此之際,全球各企業的首要之務就是 GDPR 就緒程度。除了據點設於歐盟 (EU) 地區的企業和組織,其他各地的企業也一樣嚴陣以待。

GDPR 制定高標準資料保護規範,舉凡需要處理歐盟地區居民個人資料的組織,無論組織本身是否設於歐盟境內,一律必須遵守這項規範。這件事非常重要,因為 GDPR 制定的標準遠比現行美國隱私權法規定的標準更加嚴格。違規罰金也相當嚴苛:最高可罰 2400 萬美元或全球年營業額的 4%,且以其中金額較高者為準。

GDPR 奠基於七項資料保護原則,七項原則共同發揮作用,確保企業在收集與處理個人資料時不得不格外留意個人權利。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

首先,我們來瞭解一下 GDPR 的基本概念。

具體而言,GDPR 到底是什麼?

 一般資料保護規範 (GDPR) 是即將針對 28 個歐盟會員國實施的全新資料保護法。

鑑於 28 個歐盟會員國現階段採行的資料保護規章及權力亂無章法,因此,GDPR 的用意即在於取代現行規範,即將成為全歐盟境內完全同調且一體適用的法規。

這項改革措施將歐盟 1995 年資料保護指導方針的各項原則修訂得更符合現代需求,而且能夠規範法規所稱的資料控管者及資料處理者 (文後將詳細探討),進一步保障資料控管者及資料處理者所處理的歐盟公民個人資料。

請務必遵守 GDPR。下載這份免費指南。

新法規加強了使用者對於個人資料處理及儲存方式的掌控權,同時讓使用者得以享有重要的權利及自由,例如刪除權、同意權、知情權、資料流通權,以及個人資料刪除權 (亦即「被遺忘權」)。

接下來,我們來深入探討幾個攸關 GDPR 的重要問題:

GDPR 何時開始生效?

GDPR 是在 2016 年 4 月底簽訂立法,自 2018  5  25 開始生效。自生效日起,任何組織,凡需收集、儲存或處理歐盟居民個人資料者,皆須遵守一般資料保護規範。

何謂個人資料?

個人資料是指資料本身或合併處理者可能取得的其他資料後,能夠用於辨別個人身分的資料。各行各業的組織多需收集、處理及傳輸個人資料,因此成為網路罪犯眼中有利可圖的目標,自然也是網路釣魚、拒絕服務、勒索軟體及進階持續性威脅等各類攻擊的對象。

資料控管者和資料處理者又是什麼?

控管者和處理者是兩種截然不同的組織,但兩者皆須遵守 GDPR。顧名思義,前者是指「控管」使用者資料的組織,後者是指「處理」這類資料的組織。

處理者泛指任何收集、處理、儲存或傳輸歐盟公民個人資料的組織。控管者則是主導處理者所行活動的組織。

也就是說,控管者負責決定個人資料的處理方式和理由,處理者則負責代控管者執行。例如,將支票攝影流程外包出去的銀行稱為資料控管者,其承包商即為處理者。

依據 GDPR 規定,處理者需保留一切處理活動的稽核記錄,但控管者有責任確保其所有資料處理者均遵守規定。一旦處理者網路出現漏洞,控管者也難辭其咎,同樣必須承擔資料保護義務。

控管者和處理者之間的個人資料傳輸作業必須安全無虞,處理資料的過程中,也必須妥善保護資料。在某些情況下,GDPR 也可以要求資料處理者刪除處理完畢後不再需要的個人資料。

誰必須遵守 GDPR

GDPR 規範任何收集、儲存或處理歐盟居民個人資料的組織。無論貴公司的總部設於何處,皆須遵守這項規範。即使在歐盟地區並未設立實體據點的公司,一樣必須遵守 GDPR。

我已經遵守 HIPAA 了,應該不會違反 GDPR 吧?

不一定。兩項規範雖有一些重疊的部分,但 GDPR 的法規範圍更大,影響也更深遠。若有意深入瞭解兩者之間的差異,請參閱這裡。

違規會遭受什麼樣的懲罰?

若不遵守 GDPR,後果相當嚴重,罰金最高可達 2000 萬歐元或全球年營業額的 4%,且以其中金額較高者為準。

英國呢?英國脫歐之後就不需要遵守這項規範了吧?

不,即便脫歐之後,英國的公司行號仍須遵守 GDPR。英國退出歐盟的日期在 2018 年 5 月 GDPR 生效日之後。因此,英國企業仍屬於歐盟管轄範圍,必須遵守 GDPR。脫歐之後,英國企業如需收集、儲存或處理歐盟居民的個人資料,仍然必須遵守這項規範。

還有其他疑問嗎?請參閱我們的給拖延者的 GDPR 指南,查看關於 GDPR 及其象徵含義的深度剖析。現在,我們繼續探討第一條資料保護原則:公正、合法且公開透明的資料處理流程。

公正、合法且公開透明的資料處理流程

「公正、合法且公開透明的資料處理流程」,這項規定是資料保護法案的第一條資料保護原則,同時也是 GDPR 新式規定的基礎。這是什麼意思?

依據這項規定,GDPR 要求資料控管者必須能夠針對個人資料處理事宜提供詳細的資訊給資料當事人 (亦即使用者)。

資料控管者必須以容易取得的方式提供這項資料,並且必須採用簡明扼要、一目瞭然的用語,否則視同違反規定。換句話說,冗長的使用者協議此後再也不管用了。

為遵守公開透明這項規定,資料控管者收集任何資料前皆須告知資料當事人,無論何時,只要變更資料收集流程,也必須告知資料當事人,最後,資料控管者必須請資料當事人同意資料處理事宜。

同意的形式不只一種,但必須是出於資料當事人的自由意志,而且必須由資料當事人主動表達同意 (即按下核取方塊)。也就是說,GDPR 嚴禁默許行為。

這條法律同時也闡明,收集並用於處理的資料必須「適當、相關,且符合資料處理目的所需」,而且該項資料的儲存期限必須「嚴格維持在最短期限內」。

MOVEit 對於遵守 GDPR 的助益

如前所述,若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

第一條原則的重點主要著重於同意權,但像 MOVEit 如此可靠的管理式檔案傳輸解決方案仍然能夠透過許多方式協助貴公司遵守 GDPR。例如,若使用者要求索取一份資料處理記錄副本,由於您必須遵守 GDPR 規定,因此一定要答應對方提出的要求。MOVEit 內建資料不可否認技術,因此您可以證明上傳、下載某個特定檔案的人員,也可以證明上傳及下載的檔案完全一致,從而能夠驗證每一位檔案存取使用者的身分,也能提供一份可靠的檔案存取記錄。

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能、資料完整性檢查功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

歡迎參閱下列資源,進一步瞭解 GDPR 及其象徵含義。

符合數據保護法規的七個步驟

遵守 GDPR 的七個步驟(英文)

檔案傳輸與 GDPR(英文)

英國脫歐與 GDPR(英文)

金融服務資料傳輸與 GDPR(英文)

本文轉載自ipswitch官方網站部落格

檔案傳輸協議(FTP)與 可管理檔案傳輸(MFT)

你應該聽說過在信息經濟中的公理:數據是王道,並且知道 “數據盜竊” 已經成為一個價值數十億美元的全球行業。 無論內部系統,還是外部合作夥伴之間,每日傳輸文檔已成為核心業務流程。 一套安全而得合規範的檔案傳輸必不可少,問題是檔案傳輸協議(FTP)與 可管理檔案傳輸(MFT)有什麼區別?”

我需要可管理檔案傳輸(MFT),還是只需FTP服務器?

通常是因為IT專業人員收到公司內一個非必要的文件傳輸要求開始,慢慢發展到成為核心業務操作時,這個問題才被正視。

答案取決於以下問題:

  • 你只需要偶爾傳輸文件嗎?
  • 如果檔案較大,是否也需要即日傳送完成?
  • 這些文件是否包含敏感、專有或受保護的數據?

在不同答案的組合下,錯誤的選擇會導致重大後果,可能是解決方案花費太多,也可能收到不符合數據保護條例的結果。

檔案傳輸協議(FTP)的早在電腦初普及的時候已經出現,在其最早的表現形式中,它是將文件從一台計算機移動到另一台的簡單方法。對於那些熟悉其局限性的人來說,很明顯它的創建者從未想像過當今的安全威脅環境。雖然基本的FTP通過SSH和SSL進行了增強,但對於那些經常傳輸包含專有或受管數據或敏感文檔的公司而言,FTP服務器已不合國際規範。

可管理檔案傳輸 (MFT)解決方案可以解決許多FTP的問題,顧名思義,MFT增加了許多所需的管理功能,因為檔案傳輸需求從偶然和非關鍵任務,已轉變為高容量且推動核心業務的關鍵任務。或許單從MFT 這個名稱上不那麼明顯,MFT解決方案還提供了高安全性和合規性功能,都是FTP產品不能做到的。

MFT或FTP?哪一個更適合你的公司?MFT or FTP? Which one is right for you?

如何擴展FTP、SFTP和FTPS?

FTP和Secure FTP並不相同 ,FTP雖然通常可以同時代表兩者,但它實際上只是一種極簡主義協議,可以將文件上傳和下載到具有基本訪問控制的服務器而已,就等如你連上互聯網一樣,通常託管公司網站上的FTP伺服器實際上可以以“匿名”模式訪問(即沒有密碼),如果這個網站只是隨便瀏覽一下,當然沒有問題;但如果這與公司業務有關,則需要更多保護並尋找SFTP伺服器。 FTPS則是一種不太普遍的選擇,通常使用安全協議,如SSH或SSL來加密傳輸中的文件。

SFTP 伺服器的也有不同功能層級,基本功能的通常是免費的,像FileZilla這樣的開源(Open Source)解決方案。但免費的解決方案總不能滿足你所有需要。 但是,如果您的傳輸需求並不常發生,而文件無法下載或訪問時不會對業務產生影響,問題則不大。 另一方面,我們的WS_FTP伺服器 便是高端的解決方案的例子,提高更高層級的功能。

正如您可以將你所擁有的汽車轉換為高轉速、高性能一樣,您可以將SFTP伺服務器功能擴展。 但重要的是,SFTP伺服只僅僅為伺服器,本身並不是企業級解決方案,所以如果你的公司的多個部門有不同的使用需求,那麼你可能需要不同的伺服器,其中存在的問題就是FTP伺服器擴展的可能性。

遷移到MFT的IT團隊最常見的抱怨之一是“我們有太多的FTP伺服器”,每台伺服器都需要各自的管理,存在於不同平台上,使用著不同的腳本(Script)類型、操作系統、安全漏洞更新需求和維護成本等。如果要符合PCI-DSS,HIPAA,ISO-27001或GDPR等數據保護法規或要求,值得注意的是,您應該明白到許多審計人員會將 “多個FTP伺服器” 視為表示可能違規的“紅旗”。

可管理檔案傳輸(MFT)的優勢

與FTP作為伺服器相反,Managed File Transfer系統可以是一個龐大而集中式的檔案傳輸系統,包含所有可見性、報告、日誌記錄、安全性、可追踪性與安全基礎建設結構的整合、故障轉移和內置可靠的保證送達功能。這些都是企業級的解決方案,核心流程(如醫院的醫療賬單和支付系統)可以建立在這些解決方案上。例如,單一任務可以同時分派到多個傳輸伺服器,工作流自動化系統和基於雲的傳輸服務,所有服務均由中央控制台管理。

因為需要與各方交換包含敏感數據的文件,這些系統還需要讓公司確保於核心業務流程的數據安全性。 從而遵守數據保護要求,例如PCI-DSS,HIPAA,ISO-27001,GDPR等,以免在數據外洩、丟失或違規情況下會被罰款。 在這種情況下,MFT的其中一個很有價值的功能便是與預先設定的安全基礎設施(例如防病毒、DLP和訪問控制系統)整合、集中記錄和合規性報告中。

我們將推出一連串部落格文章談及關於MFT在FTP上的好處,並完整論述不同公司應該如何選擇, 希望這篇文章能夠先給你一個初步概念,幫助你為你的公司選取到最佳的檔案傳輸解決方案。

其他有用資源

我們為IT專業人士在就如何選擇FTP 和MFT 撰寫了一本的電子書,名為 “為什麼IT團隊遷移到MFT”。 它深入地考慮你需要權衡的因素,讓你做出正確的決定。

我們還撰寫了一個名為“可管理檔案傳輸採購指南”的有用工具書,此清單有助IT經理選擇最佳的檔案傳輸解決方案。

Ipswitch的可管理檔案傳輸 (MFT) – MOVEit允許您通過單一系統管理、查看’保護和控制所有檔案傳輸活動。 MOVEit減少了對IT實際操作的需求,並允許用戶根據需要自助服務。 它為檔案傳輸提供了完美而安全的解決方案,以滿足任何行業和公司規模的安全和合規性需求,同時減少管理時間和成本,我們很樂意為您提供免費試用

忘記FTP吧! 立即開始以安全和合規的方式傳輸數據,立即試用MOVEit。

除了可管理檔案傳輸 (MFT)解決方案,我們還分別有FTP客戶端和伺服器: WS_FTP伺服器 和WS_FTP專業客戶端均被認證為可靠而安全的檔案傳輸解決方案,並支持最新的安全文件傳輸協議。 如想試試WS_FTP 的威力,立即下載我們的免費試用吧。

本文轉自官方部落格

Ipswitch 參與台灣iThome 資訊安全焦點論壇 展示檔案傳輸產品MOVEit

2018 年 8 月 1 日 – Ipswitch 為安全檔案傳輸及網路管理軟體的領導廠商,產品簡單易用,更屢獲殊榮。該公司今天參與台灣iThome 資訊安全焦點論壇,在會上展示其檔案傳輸產品MOVEit 2018版本。

隨著數位轉型風潮興盛,人工智慧 (AI)、物聯網 (IoT) 的應用普及,使企業 IT 系統走上 App 化,連 OT 系統也開始連網;在應用環境變動的同時,駭客的潛在進入點開始增多,既有的資安架構顯得鞭長莫及,導致資安威脅愈趨嚴重。

而企業光是應付日常接踵的資安議題已疲於奔命,還得因應 GDPR、資通安全管理法等嚴苛的法遵壓力,肩上的擔子更形沈重。

礙於預算、人力與時間的限制,企業不可能針對每一種威脅防護、每一項法遵需求,各自部署對應的管理系統、對應的資安分析人才。即便如此,駭客或內賊並不會因您的防禦缺陷而仁慈鬆手,法規主管機關更不會對您的資料外洩疏失網開一面;換言之,該有的保護機制,不容許因為任何理由而妥協犧牲!

Ipswitch 高級副總裁兼技術長 Bill Doll 表示:「MOVEit 2018 能讓多種產業的組織進一步降低營運成本、以更快的速度推出新的資料共用服務,以及為更廣泛的使用群提供簡單易用的協同作業功能。」

MOVEit 提升與其他服務和應用程式之間的互通性意味著能夠提高工作流程的效益,同時能盡量減少人工作業以及縮短開發時間。新的整合功能可以協助 IT 團隊以更快的速度開發出效益更高的工作流程,包括用於進行 MOVEit Transfer 及 MOVEit Automation 管理作業的傳入 REST API,以及能讓 MOVEit Automation 輕鬆整合第三方應用程式的傳出 REST API。

如需詳細資訊,請造訪:https://tw.ipswitch.com/moveit

使用安全的檔案傳輸來保護創意資產

在需要更新檔案傳輸流程的公司裡面,網路管理員和IT工程師都會面臨一項挑戰:如何確保數字資產安全並預防潛伏的網路犯罪分子。

Rocksteady Studios 是其中一家專門應付這類挑戰的公司。這家電子遊戲開發商位於倫敦,以其獲獎的“蝙蝠俠:阿卡漢”系列而聞名, 該公司的運作模式為向代理機構轉讓其“創意資產”,因此需要一個可靠和安全的檔案傳輸系統,來確保遊戲開發能按照計劃進行。

在傳輸大型檔案時,公司還需要確保員工不會對任何數字資產的安全造成威脅,並保持數據安全。

用 Secure FTP 安全地移動大量創意資產

Rocksteady 每天都會跟合作夥伴分享大量檔案,包含音效、音樂、藝術作品、屏幕圖形和道具。像許多其他遊戲開發商一樣,Rocksteady 需要安全地傳輸創意資產以滿足保密要求。同樣重要的是,檔案需要準時送達,並且完好無損。即使使用安全的電子郵件,這也不是一個好選擇,附件對電子郵件的伺服器來說太大了。所以,它需要一個安全的檔案傳輸解決方案。

Rocksteady 之前使用 Microsoft Internet 信息服務(IIS)中的檔案傳輸協議(FTP)客戶端來傳輸檔案。然而,長遠來說這不是一種好方法。因為該公司的數字用戶線路連接太小了,幾十GB的數據會被分解成壓縮檔案包,這引起數據包丟失和可靠性的問題。

Rocksteady Studios 的系統工程師 Benjamin Nias 評論:“由於連接不穩定,所以不能保證所有數據包都能送達目的地。我從這些機構收到越來越多電子郵件和電話,說資產沒有送達。因此,我需要一個可信任和更穩定的轉移機制。“

安全的檔案傳輸能降低IT複雜性並提供全面控制

Nias 的團隊最終選擇了 Ipswitch 的 WS_FTP Server 作為安全檔案傳輸的最佳方案,用來保護廣告資源。Nias 說:“WS_FTP Server 的可靠性和高級加密技術令它成為一個明確的選擇。

WS_FTP Server 在提供傳輸可靠性和保護敏感數據方面非常出色 – 擁有20多年在多個安全敏感行業保護機密信息的經驗。WS_FTP Server 是經過驗證、高效且易於使用的檔案傳輸解決方案。它可確保雲端數據傳輸,同時整合可簡化傳輸任務並提高效率的可編程方法。企業還可以改善對傳輸活動的控制、可視性和安全性 – 能夠防範信息和數據洩露。 WS_FTP提供多個安全檔案傳輸協議,這包括SSH檔案傳輸協議(Secure Shell)以及SSL(安全套接字層)和SCP2(安全複製)。

使用 WS_FTP 伺服器後,當 Rocksteady Studios 的創意資產、知識產權、商業機密和敏感數據往外傳輸時,都會受到256位AES加密的保護。與此同時,Rocksteady Studios 也能防止欺詐性轉移。

另外,代理分支機構需要使用多因素認證才能訪問檔案。附屬機構中的每個最終用戶都必須使用常規自動過期的強密碼。

完整的檔案傳輸服務組合

對於每個遊戲開發商來說,任何數字資產的損失都可能會受到嚴厲的法律和經濟指責。但WS_FTP Server可以提供完整的檔案傳輸服務組合,確保 Rocksteady Studios 受到全面的保護。

Rocksteady Studios 可以滿足出版商強制要求的嚴格法律需求。與此同時,分支機構將 Rocksteady Studios 視為更有能力的公司之一。在這例子可以看到IT基礎設施的性能和安全性為公司品牌帶來的正面影響。如想看看其他例子,可以到 Branding In Healthcare: A Strong Brand Builds Trust

此外,Rocksteady Studios 能夠通過用戶存取控制和實時查看檔案來進一步加強保護檔案共享和傳輸活動。Benjamin Nias 報告自從安裝 WS_FTP Server 之後,他節省了大量的時間和精力:

“時間在我們的行業是非常寶貴的,通過任何方式加快檔案傳輸可以帶來很大的收益。 本來每天將資產數據分割成可管理的數據包並整夜通過IIS將它們轉移需要相當長的一段時間,現在我可以用 WS_FTP Server 在30秒內完成此操作。“

提高檔案傳輸安全性帶來的另一個好處是容易符合標準,因為許多法規要求企業證明傳輸中的數據與靜止時的一樣安全。

您可以查看此網頁,了解事件管理日誌 (Event Log) 如何在安全性和合規性方面發揮作用,您也可以閱讀去年的“Three Compliance and Security Predictions”,了解他們今年如何影響您的安全性和合規性。

為您的公司實施託管檔案傳輸解決方案

每個企業都會在內部的終端用戶之間以及外部的合作夥伴和客戶之間交換資訊。基於速度、效率和安全性的問題,如FTP之類的傳統檔案傳輸技術已不會再使用了。如果你在一個受規管的行業工作,審計人員會因為FTP伺服器維護不當而出現的安全漏洞,而對FTP解決方案感到不滿,更不用說基本的FTP伺服器不能很好地擴展。所以,可管理的檔案傳輸解決方案現在被認為是許多企業的必需品。

忘記FTP吧! 立即開始以安全和合規的方式傳輸數據,立即試用MOVEit。

但是,實施託管檔案傳輸解決方案並不是一件應該倉促完成的事情。擺脫傳統的檔案傳輸技術和本來的解決方案需要使用有效且循序漸進的方法。

在為您的企業實施可管理檔案傳輸解決方案之前,您應該先對目前的狀態和檔案傳輸進行徹底分析。選擇能滿足您業務需求的解決方案是很困難的,因此不僅要分析當前的需求,還要製定未來的預計需求。

然後,您需要製作一個滿足這些需求的解決方案供應商名單,嘗試找出一個可以幫助您使用適當的度量標準、策略和過程來管理應用程序的解決方案。

在您尋找時,您可能會發現 Ipswitch 的 WS_FTP Server 是適合您業務的安全檔案傳輸系統。就像 Rocksteady Studios 那樣,您可以使用安全檔案傳輸來保護您重要的創意資產。至於包含日誌報告和自動化更強大的產品,MOVEit managed file transfer 可能是您的選擇。

本文轉載自官方網站部落格

從基本FTP轉移到安全檔案傳輸(SFT)的最佳理由

很多檔案傳輸工具尚未能夠滿足安全性及合規性的複雜需求,就像FTP解決方案。

幾乎每個企業都在想怎樣傳輸檔案才是安全的,但許多中小型企業缺乏資源,而大公司也要面對很多風險,像被網路攻擊等。

儘管企業採用了IT安全措施,但網路犯罪分子依然有辦法從網路基礎設施和本地機器等竊取知識產權和大量數據。由於缺乏安全意識,安全漏洞往往隨之發生,因此未能滿足安全性及合規性的複雜需求。

主要的罪魁禍首通常是使用了標准檔案傳輸協議(FTP)解決方案。在這篇博客中,我們將看看為什麼 “安全FTP”其實不安全、FTP用戶端如何安全地傳送檔案以及企業和組織如何使用的補救措施 – 安全檔案傳輸(SFT)。

用戶使用未經授權的檔案傳輸解決方案?立即下載 MOVEit 2018 試用版

讓我們先回到備份的起點   一個被受歡迎的協議:FTP

使用FTP伺服器傳輸檔案已經流行多年,FTP協議也被廣泛認為是最簡單的傳輸業務數據方法。研究估計,大約有80%的企業使用過FTP。然而,在這些企業中,很少會對FTP的安全級別感到滿意,大部分人對FTP 能夠防止敏感數據遭到入侵有所保留。

其中一個缺乏安全性的原因是內部IT團隊經常將檔案傳輸解決方案的優先度視為最低。一些很久以前部署、本地化的FTP命令解決方案是非常常見的,這些解決方案沒有被充分利用、記錄或維護。密碼保護需有幫助,但在受監管的行業中仍算不上能充分解決問題。

FTP現在經常用於傳送受HIPAA、PCI、FINRA、FDA、SOX和其他行業法規約束的高度敏感的數據,這使企業卻不未知道他們正面臨數據洩露和違規的風險,可能會造成嚴重的財務負擔和公關問題。

這應該不足為奇,傳送敏感信息絕不是FTP本來的用途。儘管如此,公司仍在努力尋找代替方案。

從FTP到SFTP

安全文件傳輸協議(SFTP)的出現解決了FTP的的安全性需求,它使用SSH(Secure Shell)為FTP伺服器和客戶端之間的通信提供加密,包括身份驗證和信息流量。SFTP雖然沒有被廣泛使用,FTPS也同時解決了SSL(安全套接字層)的檔案傳輸安全性問題。然而,SSH很快就成為大多數操作系統的默認設置(不包括微軟 Windows)。因此,通過SFTP(SSH)比使用FTPS(SSL)更容易實現IT標準化。

SSH反過來利用基於其前身RCP(遠程複製協議)的SCP(安全複製協議),並支持網絡上主機之間的檔案傳輸。在一般操作中,SFTP客戶端打開與伺服器的SSH連接,請求它打開SCP對話,從而啟用傳輸。SSH提供強大的身份驗證和加密通信,可降低網絡犯罪分子攔截的風險。

由於SFTP加密檔案傳輸和相關的網絡流量,因此它可以防止在跨開放網絡傳輸期間的數據攔截或修改,從而增強外部傳輸的安全性。

要查看SFT的實例,請查看 Enterasys(現在稱為 Extreme Networks)如何從FTP 轉用為SFT。Enterasys 使用SFT後,能提供了對業務至關重要的快速、安全和可靠的網路。與此同時,Enterasys可以通過審計跟踪證明它受到保護的數據,有助於遵守關鍵的行業標準。

別再用FTP!開始以安全且合規的方式傳輸數據吧。立即下載 MOVEit 2018 試用版

為何要使用安全檔案傳輸(SFT)?

通過從FTP遷移到SFT,您的企業可以利用獨特的業務級功能來確保關鍵數據的可靠性和安全傳輸,以下是其中一些關鍵功能及好處:

通過對檔案傳輸活動的實時可見性控制用戶訪問和權限:您可以從任何互聯網連接遠程管理和管理伺服器,您並且可以為上載、下載、刪除和重命名檔案以及分配用戶或組權限創建目錄。

在傳輸中加密以確保企業級可靠性和安全性:高級安全功能包括256位AES加密、安全複製(SCP2)、檔案完整性、SMTP伺服器身份驗證、SSH偵聽器選項、多因素身份驗證加密登錄、數字證書管理,以及伺服器和客戶端設備的相互身份驗證。

使用外部身份驗證控製檔案傳輸活動:LDAP查詢和各種管理工具支持檔案傳輸自定義。 您還可以從對最終用戶身份驗證的虛擬伺服器、最終用戶電子郵件通知、最終用戶檔案夾控制和IP白名單的支持中受益。

Ad-hoc電子郵件傳輸:允許您以 “人對人檔案傳輸” 實施一致性的傳輸流程。

實時故障轉移:當您傳送關鍵任務檔案並且必須避免任何停機時,故障轉移選項可提供可靠性和連續性。

在網上瀏覽器傳輸:簡單、安全、靈活,讓你在瀏覽器作檔案傳輸,使用戶可以輕鬆上傳和下載檔案。

在遵守HIPAA、PCI DSS、GDPR和其他法規時,SFT比FTP的優越得多。在涉及監管合規審計的情況下,FTP存在風險,讓許多審計公司認為FTP伺服器是一個危險的問題。

相反地,SFT在確保遵守所有主要法規方面具有相當大的優勢,包括可應用流程來強化系統並加密靜態數據以及高級用戶訪問控制和防篡改審計跟踪。所有這些功能都十分關鍵,因為外部檔案傳輸將數據通道暴露給公用互聯網。如共享的數據是專有的、已分類的、受限制的或受數據保護法規約束,則需要確保採取強有力的安全措施,這正是SFT所能提供的。

準備好了解更多?

您還可以訪問我們的網站,了解有關 Ipswitch 安全檔案傳輸解決方案的更多信息。

本文轉載自官方網站部落格

Ipswitch MOVEit 2018 SP1 最新版本釋出

Ipswitch WhatsUp Gold 2018 SP1 最新版本於 2018/06/19 釋出。

MOVEit Transfer 2018 SP1版本新增許多增強功能:

    1. 網頁介面可一次性選擇後大量下載檔案(瀏覽器需支援Javascript):
    2.  允許普通用戶重新激活臨時用戶:

      具有適當權限的普通用戶可以單擊“解鎖”()操作圖標用以重新激活臨時用戶:
    3.  時間顯示更改為台灣常用的格式:
      Chinese (Traditional)2018/6/19 下午 01:45:15
    4. 增強的REST API功能,REST Endpoint 增加了群組和改進的調用選項。
      ( 此版本還包括對文件上傳的完整性檢查支持。)

      CallPurpose
      DELETE /api/v1/folders/{Id}/aclsRemove user permissions from folder
      DELETE /api/v1/folders/{Id}/aclsRemove group permissions from folder
      POST /api/v1/folders/{Id}/aclsAdd user permissions to folder
      POST /api/v1/folders/{Id}/aclsAdd group permissions to folder
      GET api/users/{id}/groupsGet a list of groups a user belongs to
      GET api/folders/{id}/contentGet a list of folders and files within a folder
      GET  api/groups/{id}/membersGet a list of users that belong to a group
      GET  api/groupsGet a list of groups for the organization
    5. 全新設計的Swagger UI:
      可於此瀏覽MOVEit Transfer REST文檔,並可使用簡單的交互式HTML表單構建並測試RESTful Call。
    6.  Secure HTTP Response Headers。
    7. 導出更安全的報表:
      當您導出.csv文件時,您現在可以選擇使用公式運算符號轉譯來導出.csv。 這可以防止用戶使用Excel打開.csv文件時觀察到潛在漏洞。

 

MOVEit Automation 2018 SP1版本新增以下增強功能:

  1. 新增的REST Call:
    1. About Info – get MOVEit Automation Web Admin and Server versions, licensing, and time zone information
    2. Custom Scripts – List all custom scripts or get a specified custom script
    3. Date Lists – List all date lists or get a specified date list
    4. Global Parameters – List global parameters or get a specified global parameter
    5. PGP Keys – List all PGP keys or get a specified PGP key
    6. SSH Keys – List all SSH keys or get a specified SSH key
    7. Task Groups – List task groups or get a specified task group

 

如此多的新功能,快來下載測試最新釋出的Ipswitch MOVEit 2018 SP1吧:)
https://www.ecnetworker.com/trial/

Ipswitch MOVEit 2018 SP1 Release Notes:
https://docs.ipswitch.com/MOVEit/Transfer2018SP1/releasenotes/en/index.htm

Ipswitch MOVEit 2018 SP1 Release Notes:
https://docs.ipswitch.com/MOVEit/Automation2018SP1/ReleaseNotes/en/index.htm

Ipswitch宣布MOVEit已為客戶就GDPR(通用數據保護條例)作好準備

美國馬薩諸塞州伯靈頓市 – 2018年6月19日 – Ipswitch公司宣佈其可管理檔案傳輸解決方案MOVEit已準備好用於2018年5月25日全面生效的通用數據保護條例(GDPR)。

GDPR為數據保護設定高標準,並適用於任何處理歐盟居民個人數據的組織,包括地理位置上不屬於於歐盟國家中的公司,對違規行為的處罰非常苛刻。因此,世界各地的公司必須為GDPR做好準備。
GDPR基於七項數據保護原則,共同確保個人權利為收集和處理個人數據的核心。 Ipswitch的MOVEit遵守GDPR的數據保護原則,以安全、準確、可控、以文件化的方式支援外部數據傳輸,以確保符合GDPR

我們收集的數據比以往更多,包含個人數據的檔案、表單和數據庫分佈在世界各國的伺服器。可管理檔案傳輸解決方案的出現的因此而變得十分重要。 MOVEit為GDPR做好準備,符合ISO 27001,HIPAA,PCI,SOX,BASEL I / II / III,FIPS,FISMA,GLBA,FFIEC,ITAR和其他數據隱私法規。這對每個行業都是一個有用的解決方案。最新版本MOVEit 2018於GDPR生效之前於2018年4月 發布。

全球數千家公司正使用MOVEit可管理檔案傳輸(MFT)軟件:

快來下載測試最新釋出的Ipswitch MOVEit 2018吧:D
https://www.ecnetworker.com/trial/

任何MOVEit技術問題,歡迎與我們易璽科技聯繫

 

文章轉載自:https://tw.ipswitch.com/about/news-and-events/ipswitch-news/ipswitch宣布moveit已為客戶就gdpr(通用數據保護條例)作好準備

Ipswitch 網路監控和安全檔案傳輸解決方案的大幅進步於亞洲地區獲得肯定

美國麻州柏靈頓市訊  2018  6  7  – Ipswitch®為安全檔案傳輸及網路管理軟體的領導廠商,產品簡單易用,更屢獲殊榮。該公司今天宣佈 WhatsUp® Gold 網路監控和 MOVEit® 管理式檔案傳輸榮獲 NetworkWorld Asia (NWA) 資訊管理獎。WhatsUp Gold 在網路監控解決方案類連續獲獎,而 MOVEit 則獲頒安全檔案傳輸解決方案類獎項。NWA 資訊管理獎始於 2012 年,宗旨是鼓勵亞洲地區推出資料管理、安全及儲存解決方案的績優廠商,表揚他們在過去數年來的大幅進步。

NetworkWorld Asia 出版商 Questex Asia 公司集團總編 Victor Ng 表示:「一般用戶組織採行並運用大數據、IoT、網路安全技術、混合雲以及 AI 人工智慧技術的速度突飛猛進,因此,今年的第 7 屆年度資訊管理獎見證了這些解決方案及服務供應商為了因應這類需求所展現出來的創新精神和應變能力。在這個快速成長的領域中,NWA 資訊管理獎是唯一的區域編輯及資訊長精選獎項,因此,贏得此獎足以彰顯極高的聲望與榮譽。」

無論網路裝置、伺服器、儲存設備和無線設備部署於雲端或公司內部,WhatsUp Gold 都能讓網路管理員輕鬆掌握其正常/故障狀態及效能資訊。此外,網路團隊還能透過同樣便於直覺操作的介面主動監控網路流量、應用程式、虛擬環境以及裝置設定,進一步運用更多管理工具。

近期推出的 WhatsUp Gold 2018 包含多項重要增強功能,能監控 Amazon Web Services (AWS) 和 Microsoft Azure 雲端部署、Meraki 雲端管理式無線系統以及 Dell Compellent 儲存裝置的效能。

全球數千組織選擇使用 MOVEit,因為這套軟體讓他們得以全面洞悉檔案傳輸活動,實現完全掌控。MOVEit 不但讓核心業務流程保持穩定可靠,更能保證合作夥伴、客戶、使用者及系統之間的敏感資料傳輸作業安全且符合規範。MOVEit 2018 包括全新的 REST API,適用於 MOVEit Transfer 及 MOVEit Automation,能夠進一步整合第三方服務及應用程式,另有 Windows 系統和 Mac 系統均適用的全新拖放用戶端。

MOVEit 2018 也將 Ipswitch 的 SaaS 型 MFT 解決方案 MOVEit Cloud 拓展至歐盟 (EU),讓位於歐盟的客戶多一項符合一般資料保護規範 (General Data Protection Regulation,GDPR) 的部署選擇。

頒獎典禮已於 2018 年 6 月 6 日 (星期三) 在新加坡萬豪酒店 (Singapore Marriott) 舉行。如需瞭解關於各獎項的詳細資訊,請造訪:https://www.networksasia.net/IMA2018/

 

快來下載測試最新釋出的Ipswitch WhatsUp Gold 2018 SP1與Ipswitch MOVEit 2018吧:D
https://www.ecnetworker.com/trial/

任何WhatsUp Gold及MOVEit技術問題,歡迎與我們易璽科技聯繫

 

文章轉載自:https://tw.ipswitch.com/about/news-and-events/ipswitch-news/ipswitch-whatsup-gold-和-moveit-榮獲-networkworld-asia-(nwa)-資訊管理獎