Conformità: sicurezza e riservatezza dei dati

Agosto 2023

NetApp si impegna da tempo e costantemente per la conformità con il set in continua evoluzione di standard e normative per la riservatezza e la sicurezza dei dati a livello globale e regionale. Sosteniamo questo impegno attraverso autovalutazioni e verifiche rigorose da parte di terze parti accreditate indipendenti. Queste attività di controllo convalidano la conformità dei nostri prodotti e servizi ai requisiti di standard quali ISO/IEC 27001, GDPR e Common Criteria. Queste valutazioni aiutano a dimostrare l'integrazione di NetApp di best practice e processi riconosciuti a livello internazionale nella nostra attività, consentendo ai clienti di utilizzare i nostri prodotti e servizi indipendentemente dalle loro esigenze di conformità.

NetApp fornisce informazioni per ogni offerta di conformità (elencata a sinistra) che include un elenco di software e hardware in-scope e collegamenti ai relativi certificati e report degli auditor.

Ottieni un elenco completo di tutti i servizi, hardware e software NetApp che sono conformi alle normative e agli standard globali, regionali e specifici del settore in materia di sicurezza dei dati, progettazione e privacy che disciplinano la raccolta e l'utilizzo dei dati. 

NetApp si impegna a rispettare i diritti sulla privacy dei consumatori e a operare in conformità con le leggi sulla privacy dei dati globali, tra cui il CCPA (California Consumer Privacy Act) e la sua espansione, il CPRA (California Privacy Rights Act). I nostri impegni contrattuali per la conformità legale includono la nostra direttiva sulla privacy e i contratti con i clienti. Questi dati si basano sulla raccolta dei dati personali dei clienti o sulla gestione dei servizi da parte dei clienti che raccolgono dati personali. Sosteniamo questi impegni contrattuali con processi e policy progettati per la conformità con CCPA e CPRA.

Il software per la gestione dei dati NetApp ONTAP è la prima soluzione storage di livello enterprise convalidata dal programma Commercial Solutions for Classified (CSfC). Offre una protezione avanzata per i dati inattivi a livello hardware e software. Il programma CSfC è un componente chiave della strategia di cybersicurezza commerciale della National Security Agency (NSA) degli Stati Uniti. Convalida i prodotti commerciali che soddisfano i rigorosi requisiti di sicurezza per la protezione dei dati segreti e top-secret classificati.

Continuando una tradizione di certificazione che risale al 2005, quando NetApp Data ONTAP è stato certificato per la prima volta, NetApp ha ottenuto la certificazione Common Criteria (ISO/IEC 15408-1:2009) per i suoi prodotti hardware e software per lo storage. Laboratori di test accreditati indipendenti hanno verificato i prodotti NetApp e ne hanno certificato la conformità con i Common Criteria. I clienti di enti e consulenti governativi di NetApp possono fare affidamento sulla nostra certificazione Common Criteria per i requisiti di acquisto.

NetApp ONTAP è stato certificato per la prima volta nel 2005 dall'agenzia statunitense Defense Information Systems Agency (DISA). La DISA ha inserito i prodotti NetApp in-scope nell'elenco dei prodotti approvati dal Department of Defense Information Network (DoDIN APL). La certificazione dei prodotti NetApp per il DoDIN APL consente alle agenzie di difesa e alle organizzazioni che supportano la base industriale della difesa di utilizzarli in tutta sicurezza.

Amazon FSx per NetApp ONTAP ha ricevuto l'autorizzazione per i livelli di impatto 2, 4 e 5 della Guida ai requisiti di sicurezza del cloud computing DoD (CC SRG) statunitense nelle regioni Amazon Web Services (AWS) GovCloud (USA) e per il livello di impatto 2 nelle regioni AWS USA.

Sia Amazon FSx per NetApp ONTAP (tramite Amazon Web Services) che Azure NetApp Files^® (tramite Microsoft Azure e Microsoft Azure Government) hanno ottenuto un'autorizzazione provvisoria a operare (P-ATO) dal Joint Authorization Board (JAB), l'ente di governance principale per FedRAMP.

Amazon FSx per NetApp ONTAP dispone di un'autorizzazione FedRAMP ai livelli di impatto alto e moderato per le regioni degli Stati Uniti AWS e al livello di impatto elevato per le regioni degli Stati Uniti AWS GovCloud. Azure NetApp Files® dispone di un'autorizzazione FedRAMP ai livelli di impatto medio e alto per i servizi cloud commerciali Azure e un livello di impatto elevato per i servizi cloud Azure Government.

FIPS 140 è uno standard governativo statunitense che definisce i requisiti di sicurezza per i moduli crittografici in hardware, software e firmware, mentre NetApp offre moduli crittografici che hanno ottenuto la convalida FIPS 140. NetApp offre una vasta gamma di hardware, software e servizi e, di conseguenza, adotta una vasta gamma di approcci alla conformità FIPS 140. Ad esempio, per il software coperto, NetApp include moduli crittografici che hanno ottenuto la convalida di livello 1 per la crittografia dei dati in transito e a riposo.

NetApp gestisce una strategia completa per la conformità alle leggi sulla privacy dei dati, incluso il Regolamento generale sulla protezione dei dati (GDPR) dell'UE. Sosteniamo i nostri impegni attraverso misure organizzative e ingegneristiche progettate per rispettare i diritti degli interessati ed elaborare in modo sicuro le informazioni personali in conformità con il GDPR e i nostri organi legislativi europei. I prodotti e i servizi NetApp offrono gli strumenti necessari per implementare programmi che supportino la tua conformità al GDPR, sia che la tua azienda sia un Data Controller sia che sia un Data Processor. Sosteniamo questi impegni con una serie di contratti con i clienti.

I clienti che gestiscono i dati regolamentati dalla legge HIPAA (Health Insurance Portability and Accountability Act) possono sfruttare una vasta gamma di prodotti e servizi NetApp per la gestione dello storage.

Per supportare la conformità HIPAA dei servizi NetApp, NetApp si affida alle certificazioni SOC 2 di tipo 2 di una terza parte indipendente. I report SOC 2 offrono ai clienti la garanzia che i controlli NetApp proteggono ragionevolmente la riservatezza e la privacy delle informazioni degli utenti elaborate dai sistemi NetApp. Le soluzioni NetApp con i report SOC 2 di tipo 2 possono essere disponibili anche per le entità o i partner commerciali interessati per la gestione delle informazioni sanitarie protette. 

Ogni anno NetApp si rivolge a un ente di certificazione accreditato che certifichi la conformità del sistema di gestione della sicurezza delle informazioni NetApp allo standard ISO 27001. Il nostro auditor ha verificato che le policy, le procedure e i controlli di NetApp rispettino la privacy, la sicurezza, l'integrità e la disponibilità delle informazioni.

Dopo un'approfondita verifica, l'organismo di certificazione accreditato INFOCERT ha rinnovato la certificazione di NetApp^® StorageGRID^® secondo lo standard francese NF Logiciel (NF203). Questo rinnovo include la certificazione secondo lo standard internazionale per lo sviluppo, il collaudo e la convalida dei prodotti, ISO/IEC 25051.

Foregenix, un Qualified Security Assessor, ha eseguito i controlli richiesti di Instaclustr™ da parte di NetApp^® e ha emesso un attestato di conformità con lo standard PCI DSS del livello 1, ovvero il livello più elevato di transazioni.

I prodotti e i servizi NetApp vengono regolarmente sottoposti a controllo rispetto allo standard SOC 2 (AT Section 101) da parte di un'azienda indipendente di contabilità pubblica certificata e di un auditor dei servizi. Questi ultimi hanno esaminato i servizi gestiti e il cloud in-scope di NetApp e hanno affermato di aver ottenuto report SOC 2 sulla base dei criteri Trust Services Criteria applicabili.