Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 8 replies
  • Subscribers 0 subscribers
  • Views 2691 views
  • Users 0 members are here
Options
Suggested

Security

bhlockardd
Hello,

I am wondering if anyone can help answer a few questions:

1. What is the level of security between the customer's Email server and Astaro's Archive server.  I know it requires a TLS password to access the archive server but are email messages encrypted?

2. Who from Astaro or it's partners, contractors, ISPs etc. have access to a customer's data?

3. What is Astaro's policy on releasing a customer's information?  Corporate, Legal, etc...

4. What is done to ensure proper CIA of a customer's data?  This is probably the most important question.
Parents
  • 0
    A personal disclaimer: I Am Not A Lawyer, I cannot guarantee absolute correctness in my answer.

    As I mentioned earlier, access to authorities must be provided by the customer. Just add a new user with full auditor privileges, and full access is there. The defense against this really is up to the customer. We are merely an assistant to the customer's legal obligation to archive Email. We cannot and will not take legal responsibility for the content of customer Emails: the customer has the same control over AMA as he/she would have with a physical on-site solution. As such, with AMA it's also a "1st party fight."

    For European customers, data is guaranteed to be physically stored within the EU (which is important from a legal point of view.) US and other customers have their data physically located in the USA. Safe-harbor provisions do not apply; data of European customers is fully protected by European law within European borders.

    Again, all of this will be properly documented for the GA ... sorry that we can't offer any drafts.

    Lastly, whether the customer provides us with a private key for encryption, or we generate one ... it makes absolutely no difference. In fact, during the early stages of the AMA Beta, we still allowed customers to set their encryption passphrase. We disabled that, because nearly all of the customer-chosen passphrases were extremely weak. We now use a 64 characters long, randomly generated string. It will be made available to the customer through a secure channel in the "export archive" + "account termination" case.
Reply
  • 0
    A personal disclaimer: I Am Not A Lawyer, I cannot guarantee absolute correctness in my answer.

    As I mentioned earlier, access to authorities must be provided by the customer. Just add a new user with full auditor privileges, and full access is there. The defense against this really is up to the customer. We are merely an assistant to the customer's legal obligation to archive Email. We cannot and will not take legal responsibility for the content of customer Emails: the customer has the same control over AMA as he/she would have with a physical on-site solution. As such, with AMA it's also a "1st party fight."

    For European customers, data is guaranteed to be physically stored within the EU (which is important from a legal point of view.) US and other customers have their data physically located in the USA. Safe-harbor provisions do not apply; data of European customers is fully protected by European law within European borders.

    Again, all of this will be properly documented for the GA ... sorry that we can't offer any drafts.

    Lastly, whether the customer provides us with a private key for encryption, or we generate one ... it makes absolutely no difference. In fact, during the early stages of the AMA Beta, we still allowed customers to set their encryption passphrase. We disabled that, because nearly all of the customer-chosen passphrases were extremely weak. We now use a 64 characters long, randomly generated string. It will be made available to the customer through a secure channel in the "export archive" + "account termination" case.
Children
No Data
Unfiltered HTML