ECS: Conformidade para CAS

Conformidade

Descreve os recursos do ECS que dão suporte aos padrões governamentais e do setor para o armazenamento de registros eletrônicos.

O ECS atende aos requisitos de armazenamento dos seguintes padrões, conforme certificado pela Cohasset Associates Inc:

• Comissão de Valores Mobiliários (SEC) na norma 17 C.F.R. 240.17a-4(f)
• Comissão de Negociação de Futuros de Commodities (CFTC) na regulamentação 17 C.F.R. 1.31(b)-(c)

A conformidade tem três componentes:

• Fortalecimento da plataforma: Resolução de vulnerabilidades comuns de segurança.
• Retenção de registro baseada em política: Limitar a capacidade de alterar as políticas de retenção para registros sob retenção.
• Relatórios de conformidade: A geração de relatórios periódicos por um agente do sistema registra o status de conformidade do sistema.

Fortalecimento e conformidade da plataforma

Os seguintes recursos de segurança do ECS são compatíveis com padrões de conformidade.

Recursos de segurança da plataforma ECS:

• O acesso de root do usuário aos nós está desativado (não são permitidos logins de root do usuário).
• Os clientes do ECS podem acessar os nós por meio do usuário administrador configurado durante as primeiras instalações.
• O usuário administrador executa comandos em nós usando sudo.
• Há registro de auditoria completo para comandos sudo.
• O ESRS pode desligar todo o acesso remoto aos nós. No Gerenciador de políticas do ESRS, defina a ação Iniciar terminal remoto como Nunca permitir.
• Todas as portas desnecessárias (ftpd, sshd) são fechadas.
• O usuário emcsecurity com a função Administrador de bloqueio pode bloquear nós em um cluster. Isso significa que o acesso remoto pela rede por SSH está desativado. Em seguida, o Administrador de bloqueio pode desbloquear um nó para permitir atividades de manutenção remota ou outro acesso autorizado.

Política de conformidade e retenção

Descreve regras aprimoradas para retenção de registros em um sistema ECS habilitado para Compliance. O ECS define os recursos de retenção de objeto como On nos níveis de objeto, bucket e namespace. A conformidade fortalece esses recursos limitando as alterações que podem ser feitas às configurações de retenção em objetos sob retenção. As regras incluem:

• A conformidade é definida no nível do namespace. Isso significa que todos os buckets no namespace devem ter um período de retenção maior que zero. Para CAS, buckets com retenção zero podem ser criados, desde que a configuração Enforce Retention Information in Object esteja ativada.
• Você só pode ativar a Conformidade quando criar um namespace. (Não é possível adicionar Conformidade a um namespace existente.)
• Não é possível desativar a Conformidade depois de ativá-la.
• Todos os buckets em um namespace devem ter um período de retenção maior que zero.
  Nota: Se você tiver um aplicativo que atribui períodos de retenção em nível de objeto, não use o ECS para atribuir um período de retenção maior que o período de retenção do aplicativo. Essa ação causa erros de aplicativo.
• Um bucket com dados não pode ser excluído, independentemente de seu valor de retenção.
• Aplicar a opção Infinite a um bucket significa que os objetos no bucket de um namespace habilitado para conformidade não podem ser excluídos permanentemente.
• O período de retenção de um objeto não pode ser reduzido nem excluído. Portanto, o período de retenção de um bucket não pode ser excluído ou reduzido.
• Você pode aumentar os períodos de retenção de objetos e buckets.
• Nenhum usuário pode excluir um objeto sob retenção. Isso inclui usuários com a permissão privilegeddelete do CAS.

Agente de conformidade

Descreve a operação do agente de conformidade.

Os recursos de conformidade são ativados por padrão, exceto para o monitoramento de conformidade. Se o monitoramento estiver ativado, o agente registrará periodicamente uma mensagem.