合规标准帮助企业验证并确保其敏感系统和数据免受网络威胁。遵守这些标准可以加强企业的网络安全,并有助于与客户和合作伙伴建立信任。不合规通常会导致业务中断、政府罚款和处罚(结算成本、生产力损失等),使企业平均损失超过1400万美元。
合规准备工作不再只是一种锦上添花的“奢侈品”,而是一种至关重要的必要条件。领先的分析公司强调,合规准备是推动快速采用特权访问管理解决方案的主要因素之一。通过采用像ManageEngine PAM360这样的综合解决方案,您的企业将获得符合主要行业标准的PAM解决方案,帮助您满足监管合规和审计要求的迫切需求。
与ManageEngine的任何其他解决方案一样,PAM360符合广泛的隐私和合规性标准。这些认证都达到了行业的黄金标准,向您证实我们对隐私和安全的重视。
PAM360的核心功能帮助企业监管对敏感信息的访问,维护数据完整性,从而遵守各种区域和行业法规。以下功能易于设置,并提供切实的合规性优势。
企业必须采用最小特权原则,以确保最终用户拥有执行任务所需的最低访问权限。使用PAM360基于角色的访问控制和即时特权提升,您可以强制执行最小特权访问,并最大限度地减少组织内每个功能的未经授权的访问。合规标准,如GDPR(第32条)、ISO/IEC 27001:2013(9.4.1)[旧]、ISO/IEC 27001:2022(A 8.3)[新] 等都规定了这一要求,以确保数据的完整性和保密性。
访问控制对于简化访问配置至关重要。PAM360的请求-发布工作流可帮助管理员根据需要向授权业务用户授予有效任务的访问权限。这限制了对关键任务系统和数据的访问,从而符合标准和法规的特定访问控制要求,如HIPAA(164.312(a)(1))、ISO/IEC 27001:2013(A.9.2)[旧]、ISO/IEC 27001:2022(A 8.2)[新]、GLBA(第501 b节)和PCI-DSS(要求7)。
严格的密码策略可确保整个组织的密码安全。您可以使用 PAM360 设置适合组织安全策略的密码策略和密码重置计划,以符合 PCI DSS(要求 8)和 ISO/IEC 27001: 2013 (A.9.3) 等标准,这些标准要求在整个组织范围内采取强密码安全措施。
会话监控对于实时检测可疑活动至关重要。借助PAM360广泛的特权会话管理功能,管理员可以在异常活动发生时随时留意,远程终止会话,记录在端点上执行的每个操作,等等。
因此,企业遵守HIPAA 164.308(a)(5)(ii)(C)、SOX(第802条和第404条)、NIST SP 800-53(AC-20(3))和PCI-DSS要求10.3等法规,这些法规要求采用适当的会话监控和记录方法。
企业在其IT环境中管理大量SSL/TLS证书。如果这些证书没有得到妥善管理或及时更新,它们可能会导致业务中断和网络威胁。PAM360提供完整的证书生命周期管理功能,以帮助用户发现其所有证书,创建、更新和部署新证书,为证书过期生成自定义告警等。通过这些功能,企业可以确保其关键系统始终处于加密和安全状态,帮助他们遵守HIPAA(164.312(e)(1))、GDPR(第32(1 a)条)、ISO/IEC 27001:2013(10.1.1)、ISO/IEC 27001:2022(A 8.24)[新]和FedRAMP(AC-16和AC-17)等标准。
审计是特权访问管理的关键部分。PAM360的实时审计持续监控和捕获用户执行的所有敏感活动。企业可以为审计人员创建一个新帐户,并将其作为密码审计员添加到PAM360中。
这些用户可以无缝访问所有特权访问审计和报表。实时审计帮助企业遵守SOC 2(CC6.2:03)、ISO 27001:2013(A.12.4.3)、PCI-DSS(要求10.2)和其他法规。
PAM360的现成报表概述了用户执行的所有关键特权管理操作。作为此产品的一部分,管理员只需点击几下即可为PCI-DSS、ISO-IEC 27001、NERC-CIP和GDPR等合规标准生成专用报表。您可以找到违规行为(如果有的话),并立即解决它们。
除了上述功能外,PAM360还提供端到端资源和帐户发现、秘密管理、自助服务特权提升、应用程序凭据管理、特权用户行为分析等,有助于满足各种合规需求,并改善组织的整体安全态势。
PAM360的功能可帮助您对许多本地合规法规采用合规性优先的方法。以下标准要求企业采用各种特权访问管理功能,以实现合规性:
| 标准和监管要求 | 满足小节或要求 | 特权访问管理解决方案的作用 |
|---|---|---|
| Cyber Essentials - 英国 |
用户访问控制-Cyber Essentials的五项要求之一。 它需要严格的访问控制政策来规范对“电子邮件、网络和应用程序服务器;台式计算机;笔记本电脑;平板电脑;手机”的访问,重点是管理高权限账户,如行政账户等。 |
在PAM360的帮助下,企业可以设置请求发布工作流程和基于角色的访问控制,以规范对关键任务端点的访问。 |
| 《个人数据保护法》(PDPA)-新加坡 |
第24节:保护个人数据。 组织必须通过做出合理的安全安排来保护其拥有或控制下的个人数据,以防止- |
PAM360可以通过安全地管理和规范对此类系统的访问来增强内部系统的安全性,从而最大限度地减少对个人数据的未经授权的访问。 |
| 《通用数据保护法》(LGPD)-巴西 |
第46条的部分规定: 处理代理应采取安全、技术和行政措施,保护个人数据免受未经授权的访问,以及意外或非法的破坏、丢失、更改、通信或任何类型的不当或非法处理。 |
PAM360具有基于角色的访问控制、基于策略的访问控制、命令控制和即时提升等高级功能,为您提供了正确的功能集,以防止未经授权访问敏感信息。 |
| 个人信息保护(APPI)-日本 |
第20条:处理个人信息的业务经营者应采取必要和适当的措施,防止泄露、丢失或损坏,并对个人数据进行其他安全控制。 第二十二条:处理个人信息的业务经营者委托个人或业务经营者全部或部分处理个人数据时,应当对受托人进行必要和适当的监督,确保对委托个人数据的安全控制。 |
通过基于角色的访问控制和即时特权提升,以及PAM360的特权会话审计、监控和管理功能,企业可以防止未经授权访问个人数据并审计每个启动的会话。 |
| Essential 8 - 澳大利亚 |
应用程序控制,限制管理员访问(所有三个成熟度级别)-Essential 8的一部分需要以下内容: 只允许访问系统上所需的应用程序,并限制对敏感系统数据的访问。 |
借助PAM360的命令控制、远程应用程序访问和请求发布工作流程,企业可以限制对管理帐户的访问,并授予对关键设备的基于需求的、受限、仅限应用程序的访问。此外,企业在访问PAM360时还可以强制执行多因素身份验证(MFA),以进一步保护其敏感业务帐户。 |
| 个人信息保护和电子文件法(PIPEDA)-加拿大 |
(原则4.7.1):安全保护措施应保护个人信息免遭丢失或盗窃,以及未经授权的访问、披露、复制、使用或修改。组织应保护个人信息,无论其保存方式如何。 |
PAM360严格的访问控制、命令控制和远程应用程序访问功能通过防止特权用户运行未经授权的命令和限制其整体访问,帮助保护个人数据免受未经授权的访问。 |
| 个人信息保护法(POPIA)-南非 |
第17条:责任方必须保留《促进信息获取法》第14条或第51条所述的其负责的所有处理操作的文件。 第19节:关于个人信息完整性和保密性的安全措施。 第19条要求责任方通过实施合理的技术和组织措施来确保个人信息的完整性和机密性。责任方必须防止个人信息的丢失、损坏或未经授权的销毁,以及非法访问或处理。这包括识别风险,建立保障措施,定期验证其有效性,并在新风险出现时进行更新。责任方应考虑适用于其行业或职业的公认安全实践和程序。 |
通过实施基于角色的访问控制、请求发布工作流程和PAM360提供的即时访问配置功能,可以维护个人数据的安全性和完整性。此外,PAM360还可以监控和记录特权用户执行的所有活动,以及记录用户和管理员执行的所有关键操作的实时审计。 |
这不是一份详尽的清单。使用PAM360,您可以遵守各种当地和国际法规。
