ECS: Conformità per CAS

Conformità

Descrive le funzioni ECS che supportano gli standard governativi e di settore per lo storage di record elettronici.

ECS soddisfa i requisiti di storage dei seguenti standard, in base alla certificazione di Cohasset Associates Inc:

• Securities and Exchange Commission (SEC) nella normativa 17 C.F.R. 240.17a-4(f)
• Commodity Futures Trading Commission (CFTC) nella normativa 17 C.F.R. 1.31(b)-(c)

La conformità ha tre componenti:

• Protezione avanzata della piattaforma: Risoluzione delle vulnerabilità di sicurezza comuni.
• Retention dei record basata su policy: Limitazione della possibilità di modificare le policy di retention per i record in retention.
• Reporting sulla conformità: Il reporting periodico da parte di un agent di sistema registra lo stato di conformità del sistema.

Conformità e protezione avanzata della piattaforma

Le seguenti funzionalità di protezione ECS supportano gli standard di conformità.

Funzionalità di protezione della piattaforma ECS:

• L'accesso root dell'utente ai nodi è disabilitato (non sono consentiti accessi root degli utenti).
• I clienti ECS possono accedere ai nodi tramite l'utente amministratore configurato durante le prime installazioni.
• L'utente amministratore esegue i comandi sui nodi utilizzando sudo.
• È disponibile una registrazione di controllo completa per i comandi sudo.
• ESRS può arrestare tutti gli accessi remoti ai nodi. In ESRS Policy Manager, impostare l'azione Start Remote Terminal su Never Allow.
• Tutte le porte non necessarie (ftpd, sshd) sono chiuse.
• L'utente emcsecurity con il ruolo Lock Administrator può bloccare i nodi in un cluster. Ciò significa che l'accesso remoto in rete tramite SSH è disabilitato. Il Lock Administrator può, quindi, sbloccare un nodo per consentire attività di manutenzione remota o altri accessi autorizzati.

Policy di retention e conformità

Descrive le regole avanzate per la retention dei record in un sistema ECS abilitato per la conformità. ECS imposta le funzioni di retention degli oggetti su On a livello di oggetto, bucket e namespace. La conformità rafforza queste funzionalità limitando le modifiche che è possibile apportare alle impostazioni di retention su oggetti in retention. Le regole includono:

• La conformità viene impostata a livello di namespace. Ciò significa che tutti i bucket nel namespace devono avere un periodo di retention maggiore di zero. Per CAS, è possibile creare bucket con retention zero, purché l'impostazione Enforce Retention Information in Object sia attivata.
• È possibile attivare la conformità solo quando si crea un namespace. (Non è possibile aggiungere la conformità a un namespace esistente).
• Non è possibile disattivare la conformità una volta attivata.
• Tutti i bucket in un namespace devono avere un periodo di retention maggiore di zero.
  NOTA: Se si dispone di un'applicazione che assegna periodi di retention a livello di oggetto, non utilizzare ECS per assegnare un periodo di retention maggiore del periodo di retention dell'applicazione. Questa azione causa errori delle applicazioni.
• Un bucket contenente dati non può essere eliminato indipendentemente dal valore della retention.
• L'applicazione dell'opzione Infinite a un bucket significa che gli oggetti nel bucket in un namespace Complianceenabled non possono essere eliminati in modo permanente.
• Il periodo di retention per un oggetto non può essere eliminato o abbreviato. Pertanto, il periodo di retention per un bucket non può essere eliminato o abbreviato.
• È possibile aumentare i periodi di retention di oggetti e bucket.
• Nessun utente può eliminare un oggetto in retention. Sono inclusi gli utenti con autorizzazione CAS privilegeddelete.

Agent di conformità

Descrive l'operazione dell'agent Conformità.

Le funzionalità di conformità sono attivate per impostazione predefinita, ad eccezione del monitoraggio della conformità. Se il monitoraggio è attivato, l'agent registra periodicamente un messaggio.