Conformité : sécurité et confidentialité des données

Août 2023

NetApp poursuit son engagement de longue date dans le domaine de la conformité grâce à un ensemble de normes et de réglementations internationales et nationales en constante évolution sur les thèmes de la sécurité et de la confidentialité des données. Nous maintenons cet engagement par le biais d'auto-évaluations et d'audits rigoureux menés par des entreprises indépendantes et accréditées. Ces audits confirment la conformité de nos produits et de nos services aux exigences de différentes normes (ISO/IEC 27001, par exemple), au Règlement général de l'Union européenne sur la protection des données (RGPD), à la réglementation ainsi qu'aux Critères Communs. Grâce à ces évaluations, NetApp est en mesure de démontrer l'intégration dans ses activités de processus et de bonnes pratiques reconnus à l'échelle internationale, ce qui permet à nos clients d'utiliser nos produits et nos services, indépendamment de leurs exigences de conformité.

Pour chaque offre de conformité répertoriée à gauche, NetApp fournit diverses informations, notamment une liste des logiciels et du matériel concernés, ainsi que des liens vers les certifications et les rapports d'audit correspondants.

Consultez la liste complète des services, matériels et logiciels NetApp conformes aux réglementations et aux normes internationales, nationales et sectorielles qui régissent la collecte et l'utilisation des données en matière de sécurité, d'ingénierie et de confidentialité. 

NetApp s'engage à respecter les droits à la vie privée des consommateurs et à se conformer aux lois internationales sur la confidentialité des données, notamment aux lois californiennes California Consumer Privacy Act (CCPA) et California Privacy Rights Act (CPRA). Pour assurer la conformité légale de nos engagements contractuels, nous nous appuyons sur notre déclaration de confidentialité et sur nos contrats avec nos clients. Deux cas de figure sont possibles : soit nous collectons les données personnelles des clients, soit nous agissons en tant que fournisseur de services pour des clients qui collectent des données personnelles. Ces engagements contractuels sont complétés par l'application de processus et de règles conformes aux lois CCPA et CPRA.

Le logiciel de gestion des données NetApp ONTAP est la première solution de stockage haute performance validée par le programme CSfC grâce à ses fonctions de sécurité renforcée des données au repos au niveau des couches matérielles et logicielles. Le CSfC est un programme clé de la NSA, l'agence nationale de la sécurité aux États-Unis, en matière de cybersécurité commerciale. Il valide les produits commerciaux qui répondent aux exigences rigoureuses de sécurité pour la protection des données secrètes et top secrètes.

Nous poursuivons notre tradition de certification depuis 2005, date à laquelle NetApp Data ONTAP a été certifié pour la première fois. Nos produits logiciels et matériels de stockage ont également obtenu la certification Critères Communs (ISO/IEC 15408-1:2009) dans le cadre d'audits réalisés par des laboratoires de test indépendants et accrédités. Nos clients du secteur public ainsi que leurs sous-traitants ont donc l'assurance d'acheter des produits NetApp conformes aux Critères Communs.

NetApp ONTAP a été certifié pour la première fois en 2005 par l'Agence américaine des systèmes d'information de la Défense (DISA). La DISA a inclus plusieurs produits NetApp sur la liste des produits approuvés du Réseau d'information du département de la défense des États-Unis (DoDIN APL). Grâce à cette certification DoDIN APL, les agences et organismes de défense peuvent utiliser les solutions NetApp en toute confiance.

Amazon FSx pour NetApp ONTAP a reçu l'autorisation définie dans le Guide des exigences de sécurité du cloud (CC SRG) du département de la Défense pour l'impact de niveaux 2, 4 et 5 dans les régions AWS GovCloud (États-Unis) et pour l'impact de niveau 2 dans les régions AWS (États-Unis).

Amazon FSx pour NetApp ONTAP (via Amazon Web Services) et Azure NetApp Files^® (via Microsoft Azure et Microsoft Azure Government) ont tous deux obtenu une autorisation provisoire d'exploitation (P-ATO) de la Commission d'autorisation conjointe (JAB), le principal organisme de gouvernance du programme FedRAMP.  

Amazon FSx pour NetApp ONTAP a reçu l'autorisation FedRAMP pour les niveaux d'impact élevé et modéré pour les régions AWS (États-Unis) ainsi que le niveau d'impact élevé pour les régions AWS GovCloud (États-Unis). Azure NetApp Files® dispose d'une autorisation FedRAMP pour les niveaux d'impact élevé et modéré des services cloud Azure Commercial, et pour le niveau d'impact élevé des services cloud Azure Government. 

Mise en place par le gouvernement des États-Unis, la norme FIPS 140 établit les exigences de sécurité des modules cryptographiques pour le matériel, les logiciels et les firmwares. Les modules cryptographiques de NetApp ont obtenu la validation FIPS 140. NetApp propose une large gamme de matériel, de logiciels et de services. Pour répondre aux spécificités de chaque offre, nous avons adopté différentes approches de conformité à la norme FIPS 140. Par exemple, pour les logiciels protégés, NetApp inclut des modules cryptographiques homologués de niveau 1 pour le chiffrement des données en transit et au repos.

NetApp a mis en place une stratégie globale de conformité aux lois sur la confidentialité des données, notamment au Règlement général de l'Union européenne sur la protection des données (RGPD). Nos engagements se traduisent par des mesures organisationnelles et techniques visant à respecter les droits des personnes concernées et à sécuriser le traitement des données personnelles conformément au RGPD et aux régulateurs européens. Les produits et services NetApp offrent aux entreprises devant traiter des données tous les outils nécessaires pour mettre en œuvre des programmes qui répondent aux exigences de conformité avec le RGPD. Plusieurs de nos contrats clients reflètent déjà ces engagements.

Les clients qui gèrent des données réglementées par la loi HIPAA (Health Insurance Portability and Accountability Act) peuvent tirer parti de différents produits et services NetApp pour la gestion du stockage.

Pour assurer la conformité de ses services aux exigences HIPAA, NetApp s'appuie sur les certifications SOC 2 Type 2 octroyées par des organismes indépendants. Grâce aux rapports SOC 2, les clients ont l'assurance que les contrôles mis en place par NetApp protègent la confidentialité des informations sur les utilisateurs de manière appropriée sur les systèmes NetApp. NetApp peut également mettre à disposition des entités couvertes et de leurs associés des solutions avec rapports SOC 2 Type 2 pour la gestion des informations médicales protégées. 

Chaque année, NetApp fait appel à un organisme de certification accrédité pour valider la conformité de notre système de gestion de la sécurité de l'information à la norme ISO 27001. Ces audits ont pour objectif de vérifier que les règles, procédures et contrôles mis en place par NetApp permettent d'assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des informations.

Suite à un audit approfondi, l'organisme de certification accrédité INFOCERT a renouvelé la certification de la conformité de NetApp^® StorageGRID^® avec la norme comptable française NF Logiciel (NF203). Ce renouvellement inclut la certification à la norme internationale relative aux méthodes de développement, de test et de validation des produits, ISO/CEI 25051.

Foregenix, inspecteur de sécurité qualifié, a effectué des audits de la plateforme Instaclustr™ de NetApp^® et l'a déclarée conforme à la norme de sécurité des données (DSS) de l'industrie des cartes de paiement (PCI) pour le niveau 1, correspondant aux entités qui gèrent le plus de transactions.

Des experts-comptables agréés et des auditeurs de services indépendants réalisent régulièrement des audits SOC 2 (Section AT 101) sur les produits et services NetApp. Les services cloud et gérés soumis à ces vérifications ont obtenu la conformité SOC 2 selon les critères de services de confidentialité.