Conformidade: Segurança de dados e privacidade de dados

Agosto de 2023

A NetApp tem um compromisso contínuo e duradouro com a conformidade com o conjunto em constante evolução de normas e regulamentações globais, regionais e de privacidade de dados. Mantemos este compromisso através de auto-avaliações e auditorias rigorosas por terceiros acreditados independentes. Essas auditorias validam a adesão de nossos produtos e serviços aos requisitos de normas como a ISO/IEC 27001, o GDPR e os critérios comuns. Essas avaliações ajudam a demonstrar a integração da NetApp de processos e práticas recomendadas reconhecidas internacionalmente em nossos negócios, permitindo que os clientes usem nossos produtos e serviços independentemente de suas necessidades de conformidade.

A NetApp fornece informações para cada oferta de conformidade (listada à esquerda) que inclui uma lista de software e hardware no escopo e links para os certificados e relatórios de auditor relevantes.

Obtenha uma lista completa de todos os serviços, hardware e software da NetApp que estão em conformidade com as regulamentações e padrões globais, regionais e específicos do setor de segurança de dados, engenharia e privacidade que regem a coleta e o uso de dados. 

A NetApp está comprometida em respeitar os direitos de privacidade dos consumidores e operar em conformidade com as leis globais de privacidade de dados, incluindo a Lei de Privacidade do Consumidor da Califórnia (CCPA) e sua expansão, a Lei de Direitos de Privacidade da Califórnia (CPRA). Nossos compromissos contratuais com a conformidade legal, incluem nossa Política dePrivacidade econtratos com clientes. Estes baseiam-se se estamos a recolher dados pessoais dos clientes ou a atuar como fornecedor de serviços para clientes que estão a recolher dados pessoais. Apoiamos estes compromissos contratuais com processos e políticas concebidos para cumprir o CCPA e o CPRA.

O software de gerenciamento de dados NetApp ONTAP é a primeira solução de storage de nível empresarial validada pelo Programa soluções comerciais para classificados (CSfC). Ele permite maior proteção de segurança para dados em repouso nas camadas de hardware e software. O Programa CSfC é um componente chave da estratégia comercial de segurança cibernética da Agência Nacional de Segurança dos EUA (NSA). Ele valida produtos comerciais que atendem aos rigorosos requisitos de segurança para proteger dados secretos e secretos.

Continuando uma tradição de certificação que remonta a 2005, quando a NetApp Data ONTAP foi certificada pela primeira vez, a NetApp alcançou a certificação Common Criteria (ISO/IEC 15408-1:2009) para seus produtos de software de armazenamento e hardware. Os laboratórios de testes independentes acreditados auditaram os produtos NetApp e certificaram a sua conformidade com os critérios comuns. Os clientes contratados governamentais e governamentais da NetApp podem contar com nossa certificação Common Criteria para atender aos requisitos de compra.

A NetApp ONTAP foi certificada pela primeira vez em 2005 pela Agência de sistemas de Informação de Defesa dos EUA (DISA). A DISA colocou produtos NetApp no escopo da Lista de Produtos aprovados da rede de informações do Departamento de Defesa dos EUA (DoDIN APL). A certificação de produtos NetApp ao DoDIN APL permite que agências e organizações de defesa dos EUA que apoiam a base industrial de defesa os usem com confiança.

O Amazon FSX for NetApp ONTAP está autorizado para os níveis de impactos 2, 4 e 5 do Departamento de Defesa dos EUA nas regiões de GovCloud (EUA) e nível de impacto 2 nas regiões de AWS nos EUA.

Tanto o Amazon FSX for NetApp ONTAP (por meio do Amazon Web Services) quanto o Azure NetApp Files (por ^{meio do Microsoft Azure e do Governo do Microsoft Azure) obtiveram um P-ato do Joint Authorization Board (JAB), o principal órgão de governança do FedRAMP.}  

O Amazon FSX for NetApp ONTAP tem autorização do FedRAMP nos níveis de impacto Alto e moderado para as regiões dos EUA da AWS e o nível de Alto impacto para as regiões AWS GovCloud (EUA). O Azure NetApp Files tem autorização FedRAMP em níveis de Alto e Médio impacto para serviços de nuvem comerciais do Azure e um nível de Alto impacto para serviços de nuvem do Azure Government. 

O FIPS 140 é um padrão do governo dos EUA que define requisitos de segurança para módulos criptográficos em hardware, software e firmware. Além disso, o NetApp oferece módulos criptográficos que alcançaram a validação FIPS 140. A NetApp oferece uma variedade de hardware, software e serviços e, portanto, adota uma variedade de abordagens para a conformidade com o FIPS 140-2. Por exemplo, para software coberto, o NetApp inclui módulos criptográficos que alcançaram a validação de nível 1 para a criptografia de dados em trânsito e em repouso.

A NetApp mantém uma estratégia abrangente de conformidade com as leis de privacidade de dados, incluindo o Regulamento Geral de proteção de dados (GDPR) da UE. Apoiamos os nossos compromissos através de medidas organizacionais e de engenharia concebidas para respeitar os direitos dos titulares dos dados e processar com segurança as informações pessoais em conformidade com o RGPD e os nossos reguladores europeus. Quer a sua empresa seja um controlador de dados ou um processador de dados, os produtos e serviços da NetApp oferecem as ferramentas necessárias para implementar programas que suportam a sua conformidade com o RGPD. Apoiamos esses compromissos com uma série de contratos com clientes.

Os clientes que gerenciam dados regulados segundo a Lei de portabilidade e responsabilidade de seguros de saúde (HIPAA) podem aproveitar diversos produtos e serviços da NetApp para gerenciamento de storage.

Para dar suporte à conformidade HIPAA dos serviços da NetApp , o Net App conta com nossas certificações SOC 2 tipo 2 por terceiros independentes. Os relatórios SOC 2 oferecem garantia aos clientes de que os controles da NetApp protegem razoavelmente a confidencialidade e privacidade das informações do usuário processadas pelos sistemas NetApp. As soluções da NetApp com relatórios SOC 2 tipo 2 também podem estar disponíveis para entidades cobertas ou associados de negócios para a gestão de informações de saúde protegidas. 

Anualmente, a NetApp envolve um organismo de certificação acreditado, que certificou que o sistema de Gestão de Segurança da Informação da NetApp demonstra conformidade com a norma ISO 27001. Nosso auditor verificou que as políticas, procedimentos e controles da NetApp mantêm a privacidade, segurança, integridade e disponibilidade de informações.

Após uma auditoria extensa, o organismo certificador acreditado INFOCERT renovou a certificação da NetApp ^{StorageGRID à norma contabilística francesa NF Logiciel (NF203). Esta renovação inclui a certificação para a norma internacional de como os produtos são desenvolvidos, testados e validados, ISO/IEC 25051.}

A conformidade com o padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS) é necessária para todas as empresas que processam, armazenam ou transmitem informações de cartão de crédito através das cinco principais marcas de cartões de pagamento. O Amazon FSX for NetApp ONTAP e o Instaclustr NetApp ^{foram certificados como compatíveis com o PCI DSS no nível 1, o mais alto nível de transações.} 

Os produtos e serviços da NetApp são auditados regularmente de acordo com o padrão SOC 2 (NA Seção 101) por uma empresa de contabilidade pública independente e auditor de serviços. Eles examinaram os serviços gerenciados e de nuvem no escopo da NetApp e afirmaram que alcançaram relatórios SOC 2 com base nos critérios de Serviços confiáveis aplicáveis.