Compliance: Datensicherheit und Datenschutz

August 2023

NetApp engagiert sich seit langem im Bereich der Compliance mit den sich ständig weiterentwickelnden globalen, regionalen Datensicherheitsstandards und Datenschutzstandards und -bestimmungen. Wir kommen dieser Verpflichtung mithilfe von Selbstbewertungen und strengen Audits durch unabhängige akkreditierte Dritte nach. Die Audits validieren die Konformität unserer Produkte und Services mit Standards wie ISO/IEC 27001, der DSGVO und den Common Criteria. Die Bewertungen belegen die Einbindung international anerkannter Prozesse und Best Practices in unser Geschäft, damit Kunden unsere Produkte und Services unabhängig von ihren Compliance-Anforderungen nutzen können.

NetApp liefert Informationen zu jedem Compliance-Angebot (links aufgelistet). Dazu gehören eine Liste der im Umfang enthaltenen Software und Hardware sowie Links zu den entsprechenden Zertifikaten und Berichten des Auditors.

Hier finden Sie eine vollständige Liste aller Services, Hardware und Software von NetApp, die den globalen, regionalen und branchenspezifischen Datensicherheits-, Engineering- und Datenschutzvorschriften und -standards bezüglich der Erfassung und Nutzung von Daten entsprechen. 

NetApp verpflichtet sich zur Wahrung der Persönlichkeitsrechte unserer Verbraucher und zur Einhaltung globaler Datenschutzgesetze wie des kalifornischen Verbraucherdatenschutzgesetzes (California Consumer Privacy Act, CCPA) und des kalifornischen Datenschutzgesetzes (California Privacy Rights Act, CPRA) als seiner Erweiterung. Unsere vertraglichen Verpflichtungen zur Einhaltung der gesetzlichen Bestimmungen umfassen unsere Datenschutzrichtlinie und Kundenverträge. Diese sind davon abhängig, ob wir personenbezogene Daten von Kunden erfassen oder als Serviceprovider für Kunden agieren, die personenbezogene Daten erheben. Wir unterstützen diese vertraglichen Verpflichtungen mit Prozessen und Richtlinien, die auf die Einhaltung von CCPA und CPRA ausgerichtet sind.

Die NetApp ONTAP Datenmanagement-Software ist die erste Storage-Lösung der Enterprise-Klasse, die vom Commercial Solutions for Classified (CSfC) Program validiert wurde. Sie bietet verbesserten Sicherheitsschutz für Daten im Ruhezustand auf Hardware- und Softwareebene. Das CSfC-Programm ist eine zentrale Komponente der kommerziellen Cybersicherheitsstrategie der US-amerikanischen National Security Agency (NSA). Es dient der Validierung kommerzieller Produkte, die die hohen Sicherheitsanforderungen zum Schutz klassifizierter und streng geheimer Daten erfüllen.

NetApp setzt eine langjährige Reihe von Zertifizierungen fort, die 2005 mit der erstmaligen Zertifizierung von NetApp Data ONTAP begann, und hat für seine Storage-Software- und Hardwareprodukte die Common Criteria-Zertifizierung (ISO/IEC 15408-1:2009) erhalten. Unabhängige, akkreditierte Prüflabore haben NetApp Produkte überprüft und deren Compliance mit den Common Criteria-Anforderungen zertifiziert. NetApp Kunden aus Behörden und der öffentlichen Hand können sich hinsichtlich ihrer Kaufanforderungen auf unsere Zertifizierung gemäß Common Criteria verlassen.

NetApp ONTAP wurde erstmals 2005 von der US-amerikanischen Defense Information Systems Agency (DISA) zertifiziert. DISA hat im Umfang enthaltene NetApp Produkte auf die Department of Defense Information Network Approved Products List (DoDIN APL) gesetzt. Dank der Zertifizierung von NetApp Produkten für die DoDIN APL können US-amerikanische Sicherheitsbehörden und Organisationen, die die Rüstungsindustrie unterstützen, sie vertrauensvoll nutzen.

Amazon FSx for NetApp ONTAP verfügt über die Zulassung für den US-amerikanischen Department of Defense (DoD) Cloud Computing Security Requirements Guide (CC SRG) mit der Sicherheitsstufe 2, 4 und 5 in den Amazon Web Services (AWS) GovCloud-US-Regionen sowie Sicherheitsstufe 2 in AWS-US-Regionen.

Sowohl Amazon FSx for NetApp ONTAP (über Amazon Web Services) als auch Azure NetApp Files (über Microsoft Azure und Microsoft Azure Government) haben vom Joint Authorization Board (JAB), dem primären Leitungsgremium von FedRAMP, einen P-ATO erhalten.

Amazon FSx for NetApp ONTAP verfügt über eine FedRAMP-Autorisierung der Sicherheitsstufen High und Moderate Impact Level (hohe und mäßige Auswirkungen) für AWS-US-Regionen und High Impact Level für die Regionen AWS GovCloud (US). Azure NetApp Files verfügt über eine FedRAMP-Autorisierung der Sicherheitsstufen High und Moderate Impact Level für die kommerziellen Cloud-Services von Azure und High Impact Level für Cloud-Services von Azure Government. 

FIPS 140 ist ein US-amerikanischer Regulierungsstandard, der die Sicherheitsanforderungen für kryptografische Module in Hardware, Software und Firmware festlegt. NetApp bietet kryptografische Module mit FIPS 140-Validierung. NetApp verfügt über eine Vielzahl von Hardware, Software und Services und verfolgt daher verschiedene Ansätze für die Compliance mit FIPS 140. Bei der Software integriert NetApp beispielsweise kryptografische Module, die für die Verschlüsselung von Daten bei der Übertragung und im ruhenden Zustand der Stufe 1 validiert sind.

NetApp verfolgt eine umfassende Strategie für die Einhaltung von Datenschutzgesetzen, einschließlich der EU-Datenschutz-Grundverordnung (DSGVO). Wir untermauern unsere Verpflichtungen durch organisatorische und technische Maßnahmen zur Wahrung der Rechte der betroffenen Personen und zur sicheren Verarbeitung personenbezogener Daten unter Einhaltung der DSGVO und Befolgung europäischer Regulierungsbehörden. Unabhängig davon, ob Ihr Unternehmen im Bereich Datenkontrolle oder Datenverarbeitung tätig ist, verfügen die NetApp Produkte und Services über die nötigen Tools, um Programme zu implementieren, die zur Einhaltung der DSGVO erforderlich sind. Wir unterstützen dieses Engagement mit einer Reihe von Kundenverträgen.

Kunden, die das Datenmanagement gemäß dem Health Insurance Portability and Accountability Act (HIPAA) durchführen, können verschiedene Produkte und Services von NetApp für das Storage-Management nutzen.

Zur Unterstützung der HIPAA-Compliance von NetApp Services setzt NetApp auf unsere SOC-2-Typ-2-Zertifizierungen durch einen unabhängigen Dritten. SOC-2-Berichte bieten Kunden die Gewissheit, dass die Vertraulichkeit und der Datenschutz von Benutzerinformationen, die von NetApp Systemen verarbeitet werden, durch NetApp Kontrollen angemessen geschützt sind. NetApp Lösungen mit SOC-2-Typ-2-Berichten können auch für das Management geschützter Gesundheitsinformationen der jeweiligen Einheiten oder Geschäftspartner zur Verfügung gestellt werden. 

Jedes Jahr beauftragt NetApp eine akkreditierte Zertifizierungsstelle, um die Konformität des NetApp Informationssicherheits-Managementsystems mit der Norm ISO 27001 zu attestieren. Unser Auditor überprüft, ob durch die NetApp Richtlinien, Verfahren und Kontrollen der Datenschutz, die Sicherheit, die Integrität und die Verfügbarkeit von Informationen gewahrt bleiben.

Nach einem umfassenden Audit hat die akkreditierte Zertifizierungsstelle INFOCERT die Zertifizierung von NetApp StorageGRID nach dem französischen Rechnungslegungsstandard NF Logiciel (NF203) erneuert. Diese Erneuerung umfasst die Zertifizierung nach dem internationalen Standard für die Entwicklung, Prüfung und Validierung von Produkten, ISO/IEC 25051.

Foregenix, ein qualifizierter Security Assessor, hat die erforderlichen Audits von Instaclustr by NetApp durchgeführt und eine Bestätigung der Compliance mit dem Datensicherheitsstandard (DSS) der Payment Card Industry (PCI) auf Ebene 1 herausgegeben – der höchsten Transaktionsebene.

Die Produkte und Services von NetApp werden regelmäßig von einem unabhängigen, zertifizierten Wirtschaftsprüfer und Auditor gemäß SOC 2 (Abschnitt 101) geprüft. Die Prüfung der im Umfang von NetApp enthaltenen Cloud- und Managed Services zeigte, dass der SOC-2-Berichtsstandard basierend auf den geltenden Trust-Services-Kriterien erreicht wurde.