Abril de 2022
A segurança dos dados é a base sobre a criação de privacidade e conformidade. Na Central de confiabilidade, esclarecemos as políticas e procedimentos de segurança de dados que regem a forma como gerenciamos a segurança de nossos próprios sistemas e os dados que nossos clientes nos confiam.
A NetApp segue os requisitos das leis globais de segurança de dados que exigem medidas de segurança razoáveis para armazenar, transmitir e processar dados. Tomamos medidas que são amplamente reconhecidas como parte integrante da segurança apropriada, incluindo criptografia, autenticação e controles de autorização, relatórios de violação, prevenção de perda de dados e gerenciamento de patches.
A NetApp oferece uma variedade de soluções de criptografia, bem como gerenciamento de chaves de criptografia. Outras medidas incluem uma ampla variedade de estratégias e ferramentas para ajudar sua organização a se manter resiliente contra ameaças de ransomware, e políticas rígidas de retenção e exclusão de dados que suportam a minimização de dados. Os pesquisadores de segurança do NetApp trabalham diligentemente para detetar, mitigar e responder a bugs de software e vulnerabilidades de segurança.
A NetApp implementa essas salvaguardas para proteger seus sistemas de informação e os dados armazenados neles. E, seguindo o modelo de responsabilidade compartilhada, também oferecemos estratégias, ferramentas e serviços para capacitar nossos clientes a fazerem o mesmo.
A NetApp tem o compromisso de criar uma plataforma segura e ágil, projetada para capacitar os clientes a prosperar com confiança.
Bill Miller, Vice-presidente sênior e diretor de informações, NetApp
Quando uma organização se transforma de uma infraestrutura local em uma infraestrutura de nuvem híbrida, privada ou pública, compartilhar a responsabilidade com o fornecedor de serviços de nuvem pela segurança dos dados é fundamental para essa mudança fundamental. O modelo de responsabilidade compartilhada aborda quais partes neste ambiente de computação em nuvem são responsáveis por gerenciar a segurança dos dados - sua confidencialidade, integridade e disponibilidade.
A NetApp, como fornecedora de serviços, é responsável pelas operações seguras dos serviços de nuvem da NetApp, como a segurança física dos data centers da NetApp e a correção de vulnerabilidades em nossas soluções SaaS.
Você, nosso cliente, pode ser responsável por operações seguras na nuvem, como garantir que políticas corporativas, como a complexidade de senhas, sejam ativadas e seguidas em implantações virtuais, assim como no local.
O NetApp também oferece uma escolha de fornecedores de infraestrutura de nuvem parceiros, incluindo Amazon Web Services, Microsoft Azure e Google Cloud, que gerenciam as operações seguras de suas ofertas.
As leis globais de privacidade exigem medidas de segurança razoáveis para armazenar, transmitir e processar informações pessoais. Nos Estados Unidos, a segurança razoável é um requisito legal para classificações específicas de informações, como dados financeiros, de saúde e outros dados pessoais. Ele sustenta leis que regem práticas comerciais justas, bem como leis de privacidade fora dos Estados Unidos, como o GDPR da UE.
Embora não haja um padrão definido ou um conjunto de controle de engenharia anexado a uma segurança razoável, os reguladores e os tribunais reconhecem certas medidas como parte integrante dela. Essas medidas incluem controles de criptografia, autenticação e autorização, relatórios de violação, prevenção de perda de dados e gerenciamento de patches.
A NetApp implementa essas salvaguardas para proteger seus sistemas de informações e seus dados armazenados, além de criar produtos e serviços para capacitar nossos clientes a fazerem o mesmo.
Os ataques de ransomware, uma ameaça à segurança organizacional e à disponibilidade de dados, custam muito mais do que o preço de resgate exigido. Há também os custos de recuperação, interrupção operacional e perda de receita, potenciais implicações legais e até mesmo perda de valor da marca.
As estratégias de resposta de ransomware são essenciais para se preparar para esses ataques, e os planos de continuidade dos negócios que incluem backup e recuperação de dados podem ser essenciais para reduzir o impacto de um ataque de ransomware. Backups viáveis e isolados de um loop de ataque de ransomware são um componente essencial. Além disso, otimizar os objetivos do ponto de restauração para pontos de dados não infetados ajuda a proteger contra a reinfecção dos sistemas.
Como líder global em storage de dados, a NetApp oferece uma ampla gama de estratégias, ferramentas e serviços para ajudar sua organização a manter a resiliência contra ameaças de ransomware, reduzir os esforços de recuperação e reduzir o tempo de recuperação.
As vulnerabilidades de segurança são amplamente reconhecidas em toda a indústria de computadores e por empresas e organizações em todo o mundo. O NetApp solucionou vulnerabilidades de segurança estabelecendo um ciclo de vida de desenvolvimento seguro (SDL). O SDL da NetApp é um processo repetível de 6 etapas para o desenvolvimento de software seguro baseado nas práticas recomendadas e padrões do setor. Ele fornece uma estrutura e um processo para ajudar as equipes de produtos a avaliar e responder a possíveis vulnerabilidades de segurança no desenvolvimento de todos os produtos e serviços da NetApp.
O treinamento de segurança rigoroso e a nomeação de campeões de segurança estabelecem as bases para o SDL. O próprio processo SDL começa com uma avaliação de segurança e liberação dos planos de conformidade e teste. Segue-se, com uma avaliação completa das vulnerabilidades de segurança do produto, implementação de soluções e validação, que todas as vulnerabilidades identificadas foram resolvidas. Ele termina com procedimentos de comunicação de risco e monitoramento por meio de uma equipe de resposta a incidentes de Segurança do produto (PSIRT).
Normalmente, os patches são lançados para resolver problemas conhecidos no software ou dados, como um bug de software ou uma vulnerabilidade de segurança. Os pesquisadores de segurança da NetApp trabalham diligentemente para proteger nossos produtos e serviços. Eles participam de comunidades de segurança que rastreiam vulnerabilidades publicadas. Eles também gerenciam um programa através do qual clientes e pesquisadores fora dessas comunidades enviam informações sobre possíveis vulnerabilidades de segurança. O NetApp avalia e rastreia esses envios de acordo com nossa política de manipulação de vulnerabilidades e lança regularmente patches por meio de consultores de segurança.
O gerenciamento desses patches é parte integrante das medidas de segurança razoáveis necessárias para proteger suas redes e dados. As operações de gerenciamento de vulnerabilidades e patches da NetApp também foram desenvolvidas para dar suporte a clientes em todas as posições no modelo de responsabilidade compartilhada.
A criptografia é amplamente reconhecida como fundamental para a segurança das informações pessoais. Alguns regulamentos, como a publicação 1075 do IRS dos EUA, exigem que certas informações sejam criptografadas usando tecnologia especificada enquanto os dados estão em repouso ou em trânsito. Outras regulamentações, como o GDPR da UE e a Lei de Privacidade do Consumidor da Califórnia (CCPA), não exigem criptografia, mas reconhecem o importante papel que desempenha na mitigação contra violações de dados envolvendo informações pessoais.
A NetApp oferece uma variedade de soluções de criptografia. Estes incluem criptografia de hardware e software, tanto no nível de volume ou disco, bem como gerenciamento de chaves de criptografia para administrar as chaves usadas para criptografar e descriptografar dados.
Um princípio fundamental da segurança de dados é que as organizações não devem coletar ou armazenar mais informações pessoais do que o necessário, e que os dados devem ser excluídos quando não forem mais necessários para fins autorizados. Esse princípio de minimização de dados reduz a complexidade da conformidade e protege os dados contra danos em caso de violação de segurança.
O método mais comum de minimização de dados é promulgar e aplicar políticas de retenção de dados e exclusão de dados que direcionem quais informações uma empresa deve reter, por quanto tempo, quando e como excluí-las.
As próprias políticas de exclusão de dados da NetApp suportam a minimização de dados para dados armazenados em unidades que os clientes retornam: Os clientes recebem instruções para excluir, criptografar ou renderizar todos os dados armazenados na Mídia devolvida antes que eles sejam devolvidos.