法規遵循：資料安全與資料隱私

2023 年 8 月

NetApp 長期以來持續致力於遵守不斷演變的全球、區域、以及關於資料安全與隱私保護的標準和法規。我們透過獨立第三方認證機構進行自我評估和嚴格稽核來履行這項承諾，這些稽核驗證了我們的產品和服務是否符合 ISO/IEC 27001、GDPR 和一般準則等標準的要求，這些評估則有助於證明 NetApp 在我們的業務中整合了國際認可的流程和最佳實務做法，讓客戶無論其法規遵循需求為何，都能順利使用我們的產品和服務。

NetApp 提供每項法規遵循方案的資訊（列於左側），包括其涵蓋範圍內的軟體和硬體清單，以及相關認證和稽核員報告的連結。

取得所有 NetApp 服務、硬體及軟體的完整清單，它們在資料收集與使用上，都符合全球、區域及產業專屬的資料安全、工程及隱私權法規與標準。

NetApp 致力於尊重消費者的隱私權，並遵守全球資料隱私權法律作業，包括《加州消費者隱私法》(CCPA) 及其延伸的《加州隱私權法》(CPRA)。我們在法規遵循方面的合約承諾包括我們的隱私權政策和客戶合約，取決於我們是親自收集客戶的個人資料，還是充當收集個人資料的客戶的服務供應商。我們以遵守 CCPA 和 CPRA 的流程與政策來支援這些合約承諾。

NetApp ONTAP 資料管理軟體是第一款經機密商業解決方案 (CSfC) 計畫驗證的企業級儲存解決方案。它可為硬體和軟體層的靜態資料提供增強的安全保護。CSfC 方案是美國國家安全局 (NSA) 商業網路安全策略的重要一環，用以驗證商業產品是否滿足保護機密資料和最高機密資料的嚴格安全要求。

NetApp 延續了自 2005 年 NetApp Data ONTAP 首次獲得認證以來的優良傳統，其儲存軟體與硬體產品均已獲得共同準則 (ISO/IEC 15408-1:2009) 認證。由經認可的獨立測試實驗室負責稽核 NetApp 產品，並證明其符合共同準則。NetApp 的政府與政府承包商客戶可依據我們的共同準則認證來滿足其採購需求。

NetApp ONTAP 於 2005 年首次獲得美國國防資訊系統署 (DISA) 的認證。DISA 將 NetApp 產品列入美國國防部資訊網路核准產品清單 (DoDIN APL)。NetApp 產品獲得 DoDIN APL 認證，使支援國防工業基礎的美國國防機構和組織能夠放心地使用這些產品。

Amazon FSx for NetApp ONTAP 已獲得美國國防部 (DoD) 雲端運算安全要求指南 (CC SRG) 的授權，適用於 Amazon Web Services (AWS) GovCloud（美國）地區的影響等級 2、4 和 5，以及適用於 AWS 美國地區的影響等級 2。

Amazon FSx for NetApp ONTAP（透過 Amazon Web Services）和 Azure NetApp Files^®（透過 Microsoft Azure 和 Microsoft Azure Government）均已獲得聯合授權委員會 (JAB)（FedRAMP 的主要治理機構）的 P-ATO。  

Amazon FSx for NetApp ONTAP 擁有 AWS 美國地區高影響等級和中影響等級，以及 AWS GovCloud（美國）地區高影響等級的 FedRAMP 授權。Azure NetApp Files® 擁有 Azure 商業雲端服務的高影響等級和中影響等級的 FedRAMP 授權，以及 Azure Government 雲端服務的高影響等級的 FedRAMP 授權。 

FIPS 140 是一項美國政府標準，為硬體、軟體和韌體中的密碼編譯模組設定了安全要求，而 NetApp 可以提供已通過 FIPS 140 驗證的密碼編譯模組。NetApp 提供種類繁多的硬體、軟體和服務，因此會採用多種方法來符合 FIPS 140 標準。例如，對於涵蓋的軟體，NetApp 內含的密碼編譯模組已實現傳輸中資料和靜止資料加密的第 1 級驗證。

NetApp 制定了遵守資料隱私法的完整策略，包括歐盟資料保護規範 (GDPR)。我們透過組織和工程措施來支持我們的承諾，這些措施旨在尊重資料主體權利，並根據 GDPR 和歐洲監管機構的要求來安全處理個人資訊。無論您的企業是資料控制者還是資料處理者，NetApp 產品和服務都能提供必要工具，協助您實作支援 GDPR 法規遵循的計畫。我們透過許多項客戶合約來支持這些承諾。

根據健康保險可攜性與責任法案 (HIPAA) 來管理資料的客戶可以利用多種 NetApp 產品與服務進行儲存管理。

NetApp 仰賴獨立第三方提供的 SOC 2 Type 2 認證，來支援 NetApp 服務滿足 HIPAA 合規性。SOC 2 報告可向客戶保證 NetApp 能合理控制 NetApp 系統所處理之使用者資訊的機密性和隱私。附上 SOC 2 Type 2 報告的 NetApp 解決方案也可供適用此規範的實體或業務夥伴用於管理受保護的健康資訊。

NetApp 每年都會聘請一家經過認可的認證機構，證明 NetApp 資訊安全管理系統符合 ISO 27001 標準。我們的稽核人員已驗證 NetApp 原則、程序和控制措施能夠維護資訊的隱私、安全性、完整性和可用度。

經過廣泛的稽核後，認證機構 INFOCERT 已將 NetApp^® StorageGRID^® 的認證更新為法國會計標準 NF Logiciel (NF203)。本次更新包括對產品開發、測試和驗證方式符合國際標準 ISO/IEC 25051 的認證。

Foregenix 是一家合格的安全評估機構，已對 NetApp^® 的 Instaclustr™ 進行了必要稽核，並核發了符合支付卡產業 (PCI) 資料安全標準 (DSS) Level 1（最高交易等級）的法規遵循證明。

NetApp 產品和服務由獨立的註冊會計師事務所和服務稽核員，根據 SOC 2（AT 第 101 節）標準定期進行稽核。他們審查了 NetApp 的雲端和託管服務業務範圍，並確認他們已根據適用的信任服務標準完成 SOC 2 報告。