米国の大手運送会社で PCI コンプライアンスを審査する監査が行われ、多くのファイル転送問題が明らかになったため不合格となりました。 この監査を行った監査者は、PCI DSS 3.1「日常業務」で規定されている義務要項に関連して、継続的なコンプライアンス状態を達成することの重要性を強調しました。

スクリプトで苦労

IT部門では、4つのデータセンター間、およびパートナーとベンダーとの間のファイル転送を自動化しようとしていました。スクリプト作成やファイアウォールのカスタマイズに多大な時間を費やした上に、SFTP ソフトウェアを購入する必要もありました。1つのファイル転送タスクを作成するのに2〜3週間かかりました。毎月100件を超えるファイル転送タスクが実施されていたので、その負担は絶大でした。

IT部門では、PCI コンプライアンスを満たすためにファイル転送をセキュアにしてきちんと管理できるよう検討し直す必要があると判断しました。そして、パートナー、顧客、システムおよびユーザー間でのファイル交換のために MOVEit Transfer を導入することに決定しました。

MOVEit Transferは、PCI などのデータ保護規制へのコンプライアンスやSLAを満たしていることを実証するための監査証跡を作成します。SSH、TLS、および SSL 暗号化を使用する SFTP と FTPS プロトコルを使用して転送中のデータを保護し、AES 256 暗号化を使用して保存中のデータを保護します。

また、高度なプログラミング・スキルを必要とせずにワークフローを容易に作成できる MOVEit Automation も実装しました。MOVEit Automationによって、ファイル転送タスクを作成するのにかかる時間が、2〜3週間から6営業日に短縮できました。ゼロからの作成ではなく、既存のファイル転送タスクをコピーして編集すればよく、単一の宛先に対する複数のタスクがあれば、ホスト名、IPアドレス、クレデンシャルの入った宛先を1回設定するだけですむなど、効率的なタスク作成が可能です。

PCI コンプライアンス達成

再監査を行った監査者は、同社が継続的なコンプライアンス達成により、PCI DSS 3.1「日常業務」で規定されている義務要項を満たしていることを確認しました。多数の SFTP サーバーを検索するのではなく、ワンクリックですべての PCI ファイル転送の完全なリストを見ることができます。

ファイル転送をセキュアにし、自動化し、PCI コンプライアンスを達成するのに効果的な MOVEit のオンデマンド・デモをご覧ください。