1

2

What is Proofpoint

Legal Archive SystemProofpoint provides a Legal Archive service that CES utilizes. As a true Legal 

Archive, the Proofpoint archive does not allow for the disposition of any item prior to the expiration of it’s retention period. This ensure that, regardless of user intervention, all messages received by a user are kept in tact.

Geo‐redundant Data CentersAll data contained within the Proofpoint system are stored at two separate 

data centers. This ensures that, in the case of a catastrophic event, no data in the Legal Archive will be lost. The data centers for the CES Solution are Santa Clara and Atlanta.

Data encrypted at restAs mail flows into, out of, and inside CES, it will flow via the Journaling 

service to the Proofpoint device in the Microsoft Data Center. This device then encrypts the mail and transfer it via SSL to the Proofpoint Data Centers. Since the data is already encrypted, it resides in storage encrypted. All access via the Proofpoint Interface similarly travels through this method, ensure that queries and their results are encrypted as well. 

3

4

This slide illustrates how the Proofpoint appliances delivery both mail archiving and the access to the archive. Has animation, please run as a slideshow.

55

Worldwide presence with global support and datacenters

Datacenters for the CES deployment are in Santa Clara and Atlanta. 

Certifications: Proofpoint currently maintains a SSAE 16 SOC 1 Type II certification and is a signee to the US Department of Commerce US‐EU Safe Harbor agreement. Proofpoint Enterprise Archive is FISMA Moderate‐compliant. Proofpoint Encryption is compliant with the FIPS 140‐2 standard. Proofpoint is currently working towards ISO27001 certification.

User TypesThere are 2 primary types of users in the Proofpoint Service, and only these 

2 are exposed via the CES implementation. Search Users

These users have access to search their own Archive only. By default, a search user will not be allowed to view any items that are not contained within their own mail archive. They can be granted access by a Discovery user to manage, search, or add to an Ad‐Hoc Litigation Hold.Discovery Users

Discovery Users are able to search the entire mail archive for a department. These are also the only users that can create and manage Litigation Holds. 

6

User ManagementAll user access in the Proofpoint System are controlled by Active Directory 

Group Memeberhip. The following groups grant the specified access. Any user in a department/agency Active Directory could belong to All, Some, or none of these groups. However, in order for email to be Archived for a users, it MUST be part of the Participants group.

[ForestName] Archive Search Users (e.g. ADP Archive Search Users) – Any user object placed in this group, that is a participant, can search their own archive.

[ForestName] Archive Discovery Users (e.g. ADP Archive Discovery Users) – Any user object placed in this group has access to search all archives and manage holds.

[ForestName] Archiving Participants (e.g. ADP Archiving Participants) – Any user object placed in this group will have all messages that pass through their mailbox archived to Proofpoint via the Journaling interface. 

[Dept]‐Proofpoint‐[Duration] (e.g. ADP‐Proofpoint‐24) – Any user object placed in this group will have all messages that are archived stamped with the listed duration. These groups MUST be documented on the OTech provided Proofpoint Form and correspond exactly with those provided to OTech. While a department may have more than one group, a User can only belong to 1 group, or risk having the wrong duration applied.

7

• All departments MUST fill out the OTech created form which can be found on the CES Outreach portal. This form includes details about who the department contact will be for Proofpoint administration, which groups the department will utilize, and a signed understanding of application of retention policies.

• This form will allow each department to configure multiple groups, as needed, to enforce the required retention period. 1 to 5 groups may be outlined for the department. This form contains an explanation of the naming standards for these groups. Please follow them exactly.

8

A Litigation Hold, or Legal Hold, is the process by which data in a mail system is kept beyond the documented Retention Period. These holds are normally enforced due to a legal inquiry.‐ Litigation, or Legal, Holds are a temporary change to a messages retention period. This is 

important, as the actually Retention Period applied to a message will always be kept. If a message is removed from Legal Hold, it’s Retention will be returned to it’s previous duration. 

‐ If that Retention Period has already been met, it will be Disposed of on the next clean up cycle. If it has not been met, the message simply return to the old duration and be kept until that has been met.

‐ There are 2 types of Legal Holds in Proofpoint: People based and Ad‐Hoc Holds. ‐ People based Holds are solely based upon email people. They do NOT have to be 

Proofpoint users. Any valid CES User can be placed on hold. Any email coming to or from that user that interacts with a Proofpoint Subscriber will be held. If that user is a Proofpoint Subscriber, all message to or from them will be held. Only Discovery Users can manage these types of holds.

‐ The second type, Ad‐hoc Holds, are search result based Holds. 

9

Search Scopes

• Discovery Users• A user who is a member of the Proofpoint Discovery Users group in AD, a user 

has the ability to search all email that is contained within the archive which has been stamped with the Discovery User’s department identifier.

• Search Users• As a member of the Proofpoint User Search AD group, a user can search only 

email which they have been a part of. They can search any email which has been sent to or from them. 

• In addition, a Discovery User can assign a Search User to be able to search through, update, or manage an existing Legal Hold. A search user can never, however, create a Legal Hold themselves.

10

Presenting Search Findings

• There are several ways to collect the data that is discovered within the ProofpointInterface. 

• The first is to create a folder within the User Interface. This folder will reside until delete within the creating user’s Proofpoint Interface. It connected in no way to Outlook or the user’s mailbox. This folder can be used to store the result of queries for later review or as prep area for Ad‐Hoc Legal Hold.

• The second collection of items is the Legal Hold itself. A user with access can search through the result of either People Based or Ad‐Hoc Legal Holds. 

• Once a set of data has been refined and is ready for delivery, there are two format for exporting this data out of Proofpoint.

• PST is very accessible and can easily be viewed and search using Outlook. This is the most common form of export for review, as the majority of users have a way of reviewing the data.

• Many E‐Discovery engines will use a more complex data format. This format, EDRM XML, can be highly preferable for quickly performing E‐Discovery. An XML database of the items is created along with all associated meta‐data. While the data resides in the XML Format, this can be a much more efficient data repository.

11

12

13