ECS: Compliance voor CAS

Naleving

Beschrijft ECS-functies die overheids- en industriestandaarden ondersteunen voor de opslag van elektronische records.

ECS voldoet aan de storagevereisten van de volgende normen, zoals gecertificeerd door Cohasset Associates Inc:

• Securities and Exchange Commission (SEC) in voorschrift 17 CFR 240.17a-4(f)
• Commodity Futures Trading Commission (CFTC) in voorschrift 17 CFR 1.31(b)-(c)

Compliance bestaat uit drie componenten:

• Platformverharding: Veelvoorkomende beveiligingsproblemen aanpakken.
• Bewaren van records op basis van beleid: Beperking van de mogelijkheid om het bewaarbeleid te wijzigen voor records die worden bewaard.
• Nalevingsrapportage: Periodieke rapportage door een systeemagent registreert de nalevingsstatus van het systeem.

Platformverharding en naleving

De volgende ECS-beveiligingsfuncties ondersteunen nalevingsstandaarden.

Beveiligingsfuncties van het ECS platform:

• roottoegang van gebruikers tot knooppunten is uitgeschakeld (root-logins voor gebruikers zijn niet toegestaan).
• ECS-klanten hebben toegang tot knooppunten via de admin-gebruiker die is ingesteld tijdens de eerste installatie.
• De beheerder voert opdrachten uit op knooppunten met behulp van sudo.
• Er is een volledige auditregistratie voor sudo-opdrachten.
• ESRS kan alle externe toegang tot knooppunten afsluiten. Stel in ESRS Policy Manager de actie Externe terminal starten in op Nooit toestaan.
• Alle onnodige poorten (ftpd, sshd) zijn gesloten.
• De emcsecurity-gebruiker met de rol Lock Administrator kan knooppunten in een cluster vergrendelen. Dit betekent dat externe toegang via het netwerk door SSH is uitgeschakeld. De Lock Administrator kan vervolgens een knooppunt ontgrendelen om externe onderhoudsactiviteiten of andere geautoriseerde toegang mogelijk te maken.

Nalevings- en bewaarbeleid

Beschrijft verbeterde regels voor het bewaren van records op een ECS-systeem met naleving. ECS stelt objectretentiefuncties in op Aan op object-, bucket- en namespaceniveau. Naleving versterkt deze functies door wijzigingen te beperken die kunnen worden aangebracht in de bewaarinstellingen voor objecten die worden bewaard. Regels zijn onder meer:

• Naleving wordt ingesteld op namespaceniveau. Dit betekent dat alle buckets in de namespace een retentieperiode moeten hebben die groter is dan nul. Voor CAS kunnen buckets zonder retentie worden gemaakt, zolang de instelling Retentie-informatie afdwingen in object is ingeschakeld.
• U kunt Compliance alleen inschakelen wanneer u een namespace maakt. (U kunt Compliance niet toevoegen aan een bestaande naamruimte.)
• U kunt Compliance niet uitschakelen wanneer deze eenmaal is ingeschakeld.
• Alle buckets in een namespace moeten een bewaarperiode hebben die groter is dan nul.
  OPMERKING: Als u een applicatie hebt die bewaarperioden op objectniveau toewijst, moet u ECS niet gebruiken om een langere bewaarperiode toe te wijzen dan de retentieperiode van de applicatie. Deze actie veroorzaakt applicatiefouten.
• Een bucket met data erin kan niet worden verwijderd, ongeacht de bewaarwaarde.
• Het toepassen van de optie Oneindig op een bucket betekent dat objecten in de bucket in een naamruimte die is ingeschakeld voor naleving, niet permanent kunnen worden verwijderd.
• De bewaartermijn voor een object kan niet worden verwijderd of verkort. Daarom kan de bewaartermijn voor een bucket niet worden verwijderd of verkort.
• U kunt de retentieperioden voor objecten en buckets verlengen.
• Geen enkele gebruiker kan een object onder retentie verwijderen. Dit geldt ook voor gebruikers met de CAS privilegeddelete-machtiging.

Nalevingsagent

Beschrijft de werking van de nalevingsagent.

Nalevingsfuncties zijn standaard ingeschakeld, behalve voor nalevingscontrole. Als bewaking is ingeschakeld, registreert de agent periodiek een bericht.