Cumplimiento normativo: Seguridad y privacidad de los datos

Agosto de 2023

NetApp tiene un compromiso continuo y a largo plazo de cumplimiento del conjunto de normativas y reglamentos globales, regionales y de seguridad de datos y privacidad que están en constante cambio. Para mantener este compromiso, se llevan a cabo autoevaluaciones y auditorías rigurosas realizadas por parte de terceros acreditados independientes. Estas auditorías validan la adhesión de nuestros productos y servicios a los requisitos de normas como la ISO/IEC 27001, el RGPD y la certificación Common Criteria. Con estas evaluaciones se demuestra la integración que hace NetApp de los procesos y las prácticas recomendadas reconocidos internacionalmente dentro de la empresa, de manera que los clientes pueden utilizar nuestros productos y servicios independientemente de sus necesidades en materia de cumplimiento de normativas.

NetApp proporciona información para cada oferta de cumplimiento normativo (enumerada a la izquierda), incluida una lista de productos de software y hardware que están dentro del alcance y enlaces a los certificados pertinentes y los informes del auditor.

Obtén una lista completa de todos los servicios, el hardware y el software de NetApp que cumplen con las normativas y reglamentos en materia de seguridad, ingeniería y privacidad de datos a nivel internacional, regional y específico del sector que rigen la recopilación y el uso de los datos. 

NetApp se compromete a respetar los derechos de privacidad de los consumidores y a operar de conformidad con las leyes internacionales de privacidad de datos, incluida la Ley de privacidad del consumidor de California (CCPA, California Consumer Privacy Act) y su ampliación, la Ley de derechos de privacidad de California (CPRA, California Privacy Rights Act). Nuestros compromisos contractuales con el cumplimiento legal incluyen nuestra política de privacidad y nuestros contratos con clientes. Estos se basan en si recopilamos datos personales de los clientes o si actuamos como proveedor de servicios de clientes que recopilan datos personales. Respaldamos estos compromisos contractuales con procesos y políticas diseñados para cumplir con la CCPA y la CPRA.

El software de gestión de datos ONTAP de NetApp es la primera solución de almacenamiento de tipo empresarial validada por el programa Commercial Solutions for Classified (CSfC). Permite una protección de seguridad mejorada para datos en reposo, tanto a nivel de hardware como de software. El Programa CSfC es un componente clave de la estrategia de ciberseguridad comercial de la Agencia Nacional de Seguridad (NSA) de EE. UU. Valida los productos comerciales que cumplen los rigurosos requisitos de seguridad que se necesitan para proteger la información secreta y los datos confidenciales clasificados.

Siguiendo con una tradición de certificación que se remonta a 2005, cuando NetApp Data ONTAP la obtuvo por primera vez, NetApp ha obtenido la certificación Common Criteria (ISO/IEC 15408-1:2009) para sus productos de hardware y software de almacenamiento. Laboratorios de pruebas acreditados independientes auditaron los productos de NetApp y certificaron su cumplimiento de la certificación Common Criteria. Los clientes y contratistas gubernamentales de NetApp pueden confiar en nuestra certificación Common Criteria para sus requisitos de compra.

NetApp ONTAP consiguió por primera vez en 2005 la certificación de la Agencia de sistemas de información de defensa (DISA, Defense Information Systems Agency) de Estados Unidos. La DISA incluyó los productos de NetApp que se encuentran dentro del ámbito en la Lista de productos aprobados para redes de información del Departamento de Defensa (Dodin APL, Department of Defense Information Network Approved Products List) de Estados Unidos. La certificación de los productos de NetApp en la DoDIN APL permite que las agencias y organizaciones de defensa de EE. UU. que sustentan la base industrial de defensa puedan usarlos con confianza.

Amazon FSx para NetApp ONTAP está autorizado para los niveles de impacto 2, 4 y 5 de la Guía de requisitos de seguridad en computación en la nube del Departamento de Defensa (DoD) (CC SRG) en las regiones de Amazon Web Services (AWS) GovCloud (EE. UU.) y el nivel de impacto 2 en las regiones de AWS en EE. UU.

Tanto Amazon FSx para NetApp ONTAP (a través de Amazon Web Services) como Azure NetApp Files^® (a través de Microsoft Azure y Microsoft Azure Government) han obtenido un P-ATO de la Junta de Autorización Conjunta (JAB, Joint Authorization Board), el organismo de gobierno principal de FedRAMP.  

Amazon FSx para NetApp ONTAP cuenta con la autorización FedRAMP en los niveles de impacto alto y moderado para las regiones de AWS en EE. UU. y el nivel de impacto alto para las regiones de AWS GovCloud (EE. UU.). Azure NetApp Files® cuenta con la autorización FedRAMP en los niveles de impacto alto y medio para los servicios comerciales en la nube de Azure y un nivel de impacto alto para los servicios gubernamentales en la nube de Azure. 

La FIPS 140 es una norma gubernamental de EE. UU. que establece los requisitos de seguridad de los módulos criptográficos en hardware, software y firmware, y NetApp ofrece módulos criptográficos que han conseguido la validación FIPS 140. NetApp ofrece una variedad de hardware, software y servicios y, por lo tanto, aplica una variedad de enfoques para el cumplimiento de la normativa FIPS 140. Por ejemplo, en el caso del software cubierto, NetApp incluye módulos criptográficos que han alcanzado una validación de nivel 1 para el cifrado de datos en tránsito y en reposo.

NetApp mantiene una estrategia completa de cumplimiento de las leyes de privacidad de datos, incluido el Reglamento general de protección de datos (RGPD) de la UE. Respaldamos nuestros compromisos a través de medidas organizativas y de ingeniería diseñadas para respetar los derechos de los interesados y procesar de forma segura la información personal de conformidad con el RGPD y nuestros reguladores europeos. Tanto si tu empresa es un controlador o un procesador de datos, los productos y servicios de NetApp ofrecen las herramientas necesarias para implantar programas que respalden tu cumplimiento con el RGPD. Respaldamos estos compromisos con una serie de contratos con clientes.

Los clientes que gestionan datos que se rigen por la Ley sobre la responsabilidad y el carácter transferible de los seguros médicos (HIPAA, Health Insurance Portability and Accountability Act) pueden beneficiarse de diversos productos y servicios de NetApp para la gestión del almacenamiento.

Para respaldar la conformidad de los servicios de NetApp con la HIPAA, NetApp confía en nuestras certificaciones SOC 2 tipo 2 a través de un tercero independiente. Los informes SOC 2 garantizan a los clientes que los controles de NetApp protegen razonablemente la confidencialidad y privacidad de la información de usuario que procesan los sistemas de NetApp. Las soluciones de NetApp con informes SOC 2 tipo 2 también pueden estar disponibles para entidades cubiertas o socios comerciales en relación a su gestión de datos sanitarios protegidos. 

Anualmente, NetApp cuenta con un organismo de certificación acreditado, que ha certificado que el Sistema de Gestión de Seguridad de la Información de NetApp demuestra su conformidad con la norma ISO 27001. Nuestro auditor ha verificado que las políticas, los procedimientos y los controles de NetApp mantienen la privacidad, seguridad, integridad y disponibilidad de la información.

Tras una amplia auditoría, el organismo certificador acreditado INFOCERT ha renovado la certificación de NetApp^® StorageGRID^® según la norma contable francesa NF Logiciel (NF203). Esta renovación incluye la certificación de la norma internacional ISO/IEC 25051, que establece cómo se desarrollan, prueban y validan los productos.

Foregenix, un evaluador de seguridad calificado, ha realizado las auditorías requeridas de Instaclustr™ de NetApp^® y ha emitido una certificación de cumplimiento del estándar de seguridad de datos (DSS) del sector de las tarjetas de pago (PCI) en el nivel 1, que es el nivel más alto de transacciones.

Los productos y servicios de NetApp se auditan regularmente de acuerdo a la norma SOC 2 (AT Section 101) mediante una empresa de contabilidad pública certificada independiente y un auditor de servicios. Para ello, examinaron los servicios gestionados y de nube dentro del alcance de NetApp, y afirmaron que habían obtenido informes SOC 2 basados en los criterios de servicios de confianza correspondientes.