규정 준수: 데이터 보안 및 데이터 개인 정보 보호

2023년 8월

NetApp은 끊임없이 변화하는 전 세계적 및 지역별 데이터 보안, 개인 정보 보호 표준 및 규정을 준수하기 위해 오랫동안 지속적으로 노력하고 있습니다. NetApp은 독립적이고 공인된 제3자에 의한 자체 평가 및 엄격한 감사를 통해 이러한 약속을 지킵니다. 이러한 감사는 ISO/IEC 27001, GDPR 및 Common Criteria와 같은 표준 요건에 대한 당사의 제품 및 서비스 준수 여부를 검증합니다. 관련 평가는 NetApp의 국제적으로 인정된 프로세스와 비즈니스 모범 사례의 통합을 입증하므로 고객은 규정 준수 요구사항과 상관없이 NetApp 제품과 서비스를 사용할 수 있습니다.

NetApp은 범위 내 소프트웨어 및 하드웨어 목록과 관련 인증서 및 감사원의 보고서에 대한 링크를 포함하는 각 규정 준수 솔루션(왼쪽 목록 참조)에 관한 정보를 제공합니다.

데이터의 수집 및 사용에 적용되는 전 세계적, 지역별 및 산업별 데이터 보안, 엔지니어링, 개인 정보 보호 규정 및 표준을 준수하는 모든 NetApp 서비스, 하드웨어 및 소프트웨어의 전체 목록을 확인하십시오. 

NetApp은 소비자의 개인 정보 보호 권리를 존중하고 캘리포니아 소비자 개인 정보 보호법(CCPA) 및 그 확장법인 캘리포니아 개인정보보호 권리법(CPRA)을 비롯한 글로벌 데이터 개인정보 보호법을 준수하여 운영하기 위해 최선을 다하고 있습니다. 법률 준수에 대한 계약상의 약속에는 개인 정보 보호 정책 및 고객 계약이 포함됩니다. 이는 당사가 고객의 개인 데이터를 수집하는지 또는 개인 데이터를 수집하는 고객에게 서비스 공급자 역할을 수행하는지에 따라 달라집니다. NetApp은 CCPA 및 CPRA를 준수하도록 설계된 프로세스 및 정책으로 이러한 계약상 약속을 뒷받침합니다.

NetApp ONTAP 데이터 관리 소프트웨어는 CSfC(Commercial Solutions for Classified) 프로그램의 검증을 받은 최초의 엔터프라이즈급 스토리지 솔루션입니다. 이를 통해 하드웨어 및 소프트웨어 계층 모두에서 유휴 데이터에 대한 보안 보호가 강화됩니다. CSfC 프로그램은 미국 국가안보국(NSA) 상업용 사이버 보안 전략의 핵심 구성 요소입니다. 이 프로그램은 분류된 기밀 및 극비 데이터를 보호하기 위한 엄격한 보안 요구사항을 충족하는 상업용 제품을 검증합니다.

NetApp Data ONTAP이 처음 인증을 받은 2005년부터 인증 전통을 이어온 NetApp은 자사의 스토리지 소프트웨어 및 하드웨어 제품에 대한 Common Criteria(ISO/IEC 15408-1:2009) 인증을 획득했습니다. 독립 공인 테스트 연구소에서 NetApp 제품을 감사하고 Common Criteria 준수를 인증했습니다. NetApp 정부 및 정부 계약자 고객은 구매에 필요한 Common Criteria 인증을 신뢰할 수 있습니다.

NetApp ONTAP은 2005년에 처음으로 미국 국방부 정보시스템 계획국(DISA)에서 인증을 받았습니다. DISA는 범위 내 NetApp 제품을 미국 국방부 정보 네트워크 승인 제품 목록(DoDIN APL)에 올렸습니다. DoDIN APL에 대한 NetApp 제품의 인증을 통해 미국 국방 기관 및 방위 산업 기반을 지원하는 조직이 안심하고 사용할 수 있습니다.

Amazon FSx for NetApp ONTAP은 Amazon Web Services(AWS) GovCloud(US) 리전에서 미 국방부(DoD) 클라우드 컴퓨팅 보안 요구사항 가이드(CC SRG) 영향 수준 2, 4, 5 및 AWS US 지역에서 영향 수준 2에 대한 인증을 받았습니다.

Amazon Web Services의 Amazon FSx for NetApp ONTAP과 Microsoft Azure 및 Microsoft Azure Government의 Azure NetApp Files^®는 모두 FedRAMP의 기본 거버넌스 기구인 JAB(Joint Authorization Board)로부터 P-ATO를 획득했습니다.  

Amazon FSx for NetApp ONTAP은 AWS US 리전에 대해 높음 및 중간 영향력 수준과 AWS GovCloud(US) 리전에 대해 높음 영향 수준에서 FedRAMP 인증을 받았습니다. Azure NetApp Files®는 Azure 상업용 클라우드 서비스에 대해 높음 및 중간 영향 수준과 Azure Government 클라우드 서비스에 대해 높음 영향 수준에서 모두 FedRAMP 인증을 받았습니다. 

FIPS 140은 하드웨어, 소프트웨어 및 펌웨어의 암호화 모듈에 대한 보안 요구사항을 설정하는 미국 정부 표준이며 NetApp은 FIPS 140 인증을 획득한 암호화 모듈을 제공합니다. NetApp은 다양한 하드웨어, 소프트웨어 및 서비스를 제공하므로 FIPS 140 규정 준수에 대한 다양한 접근 방식을 취합니다. 예를 들어 적용되는 소프트웨어의 경우 NetApp에는 전송 중 및 유휴 데이터 암호화에 대해 레벨 1 인증을 획득한 암호화 모듈이 포함되어 있습니다.

NetApp은 EU 일반 데이터 보호 규정(GDPR)을 포함하여 데이터 개인 정보 보호법을 준수하기 위한 포괄적인 전략을 유지합니다. NetApp은 데이터 주체의 권리를 존중하고 GDPR 및 유럽 규제 기관에 따라 개인 정보를 안전하게 처리하도록 설계된 조직 및 엔지니어링 조치를 통해 당사의 약속을 뒷받침합니다. 기업이 데이터 제어자든 데이터 처리자든 상관없이 NetApp 제품 및 서비스는 GDPR 준수를 지원하는 프로그램을 구현하는 데 필요한 툴을 제공합니다. 수많은 고객 계약이 이러한 NetApp의 약속을 뒷받침합니다.

건강보험 이동성 및 책임법(HIPAA)에 따라 규제되는 데이터를 관리하는 고객은 다양한 NetApp 제품 및 서비스를 활용하여 스토리지를 관리할 수 있습니다.

NetApp 서비스의 HIPAA 준수를 뒷받침하기 위해 NetApp은 독립적인 제3자로부터 SOC 2 Type 2 인증을 받습니다. SOC 2 보고서는 NetApp이 NetApp 시스템에서 처리하는 사용자 정보의 기밀성과 개인 정보를 합리적으로 보호한다는 것을 고객에게 보장합니다. 관련 단체 또는 비즈니스 관계자는 보호받는 건강 정보를 관리하기 위해 SOC 2 Type 2 보고서가 포함된 NetApp 솔루션을 사용할 수도 있습니다. 

매년 NetApp은 NetApp 정보 보안 관리 시스템이 ISO 27001 표준을 준수함을 증명하기 위해 공인 인증 기관과 협력합니다. 감사 기관은 NetApp 정책, 절차 및 제어가 정보의 개인 정보 보호, 보안, 무결성 및 가용성을 유지함을 확인합니다.

공인 인증 기관인 INFOCERT는 광범위한 감사를 수행한 후 프랑스 회계 표준인 NF Logiciel(NF203)에 따라 NetApp^® StorageGRID^®의 인증을 갱신했습니다. 이 갱신에는 제품 개발, 테스트 및 검증 방식에 대한 국제 표준인 ISO/IEC 25051에 대한 인증이 포함되어 있습니다.

공인 보안 평가 기관인 Foregenix는 NetApp^®의 Instaclustr™에 대한 필수 감사를 수행하여 최고 거래 수준인 레벨 1의 PCI(Payment Card Industry) DSS(Data Security Standard) Attestation of Compliance를 발급했습니다.

NetApp 제품 및 서비스는 독립적인 공인 회계사 및 서비스 감사 기관에서 SOC 2(AT Section 101) 표준에 따라 정기적으로 감사를 받습니다. 해당 관계자는 NetApp의 범위 내 클라우드 및 관리 서비스를 조사하고 해당 신뢰 서비스 기준에 따라 SOC 2 보고서를 달성했음을 확인했습니다.