合规性：数据安全与数据隐私

2023 年 8 月

NetApp 长期致力于遵守一套不断发展的全球、区域和数据安全与隐私标准和法规。我们通过自我评估和独立认证第三方的严格审计来践行这一承诺。这些审计可验证我们的产品和服务是否符合 ISO/IEC 27001、GDPR 和通用标准等标准的要求。这些评估有助于证明 NetApp 在业务中执行了国际公认的流程和最佳实践，使客户无论在拥有怎样的合规性需求的情况下都能使用我们的产品和服务。

NetApp 提供有关每项合规要求（左侧列出）的信息，其中包括范围内的软件和硬件列表以及相关证书和审计机构报告的链接。

获取符合全球、区域和行业特定的用于治理数据的收集和使用的数据安全、数据工程和数据隐私法规和标准的所有 NetApp 服务、硬件和软件的完整列表。 

NetApp 致力于尊重消费者的隐私权，并遵守全球数据隐私法，包括《加州消费者隐私法案》(CCPA) 及其延展，即《加州隐私权法案》(CPRA)。我们对遵守法规作出的合同承诺包括我们的隐私政策和客户合同。这些取决于我们是收集客户的个人数据，还是作为收集个人数据的客户的服务提供商。我们通过符合 CCPA 和 CPRA 的流程和政策来践行这些合同承诺。

NetApp ONTAP 数据管理软件是首款经过机密商业解决方案 (CSfC) 计划验证的企业级存储解决方案。它可以在硬件和软件层为静态数据提供增强的安全保护。CSfC 计划是美国国家安全局 (NSA) 商业网络安全战略的一个关键组成部分。该计划用于验证商业产品是否符合保护机密数据和绝密数据的严格安全要求。

自 2005 年 NetApp Data ONTAP 首次获得认证以来，NetApp 延续认证传统，目前其存储软件和硬件产品已获得通用标准 (ISO/IEC 15408-1:2009) 认证。独立认证测试实验室对 NetApp 产品进行了审计，认证产品符合通用标准。NetApp 的政府客户和政府承包商客户可以依靠这项通用标准认证来满足自己的采购要求。

NetApp ONTAP 于 2005 年首次获得美国国防信息系统局 (DISA) 的认证。DISA 将范围内的 NetApp 产品列入美国国防部信息网络批准的产品列表 (DoDIN APL)。NetApp 产品获得 DoDIN APL 认证，使支持国防工业基地的美国国防机构和组织能够放心地使用它们。

Amazon FSx for NetApp ONTAP 已获得美国国防部 (DoD) 云计算安全要求指南 (CC SRG) Amazon Web Services (AWS) GovCloud（美国）区域影响级别 2、4 和 5 以及 AWS 美国区域影响级别 2 的授权。

Amazon FSx for NetApp ONTAP（通过 Amazon Web Services）和 Azure NetApp Files^®（通过 Microsoft Azure 和 Microsoft Azure Government）都已从 FedRAMP 的主要治理机构联合授权委员会 (JAB) 获得了 P-ATO。  

Amazon FSx for NetApp ONTAP 拥有 AWS 美国区域中高影响级别的 FedRAMP 授权，以及 AWS GovCloud（美国）区域的高影响级别 FedRAMP 授权。Azure NetApp Files® 拥有 Azure 商业云服务的中高影响级别 FedRAMP 授权，以及 Azure 政府云服务的高影响级别 FedRAMP 授权。。 

FIPS 140 是为硬件、软件和固件中的加密模块设置安全要求的美国政府标准，NetApp 提供的加密模块已通过 FIPS 140 验证。NetApp 提供各种硬件、软件和服务，因此采用各种方法来满足 FIPS 140 合规性要求。例如，对于所涵盖的软件，NetApp 采用了已实现传输中和静态数据加密 1 级验证的加密模块。

NetApp 秉承全面的战略来确保遵守数据隐私法律，包括欧盟一般数据保护条例 (GDPR)。我们通过组织和工程措施践行我们的承诺，这些措施旨在尊重数据主体的权利，并根据 GDPR 和我们的欧洲监管机构安全地处理个人信息。无论您的企业是数据控制方还是数据处理方，NetApp 产品和服务都提供了必要的工具来实施支持您遵守 GDPR 协议的计划。我们通过许多客户合同来践行这些承诺。

管理受《健康保险可移植性和责任法案》(HIPAA) 监管的数据的客户可以利用各种 NetApp 产品和服务进行存储管理。

为了确保 NetApp 服务符合 HIPAA 要求，NetApp 依靠由独立第三方提供的 SOC 2 2 类认证。SOC 2 报告向客户保证，NetApp 控制措施可合理地保护 NetApp 系统处理的用户信息的机密性和隐私性。适用实体或业务伙伴也可以使用拥有 SOC 2 2 类报告的 NetApp 解决方案来管理受保护的健康信息。 

NetApp 每年都会聘请一家公认的认证机构，证明 NetApp 信息安全管理系统符合 ISO 27001 标准。我们的审计机构已认证 NetApp 政策、程序和控制措施可维护信息的隐私性、安全性、完整性和可用性。

经过广泛审计后，经认可的认证机构 INFOCERT 已将 NetApp^® StorageGRID^® 的认证更新为法国会计准则 NF Logiciel (NF203)。此更新包括对有关产品开发、测试和验证的国际标准 ISO/IEC 25051 的认证。

Foregenix 是一家合格的安全评估机构，已对 NetApp^® 收购的 Instaclust™ 进行了必要的审计，并颁发了 1 级（交易最高级别）支付卡行业 (PCI) 数据安全标准 (DSS) 合规证明。

NetApp 产品和服务由独立的注册会计师事务所和服务审计机构根据 SOC 2（AT 第 101 节）标准定期进行审计。他们考察 NetApp 范围内的云和托管服务，并确认这些服务已根据适用的信任服务标准获得了 SOC 2 报告。