Menü
Vergrößerungsglas auf grauem Hintergrund

Compliance: Datensicherheit und Datenschutz

Inhalt

Diese Seite teilen

August 2023

NetApp engagiert sich seit langem im Bereich der Compliance mit den sich ständig weiterentwickelnden globalen, regionalen Datensicherheitsstandards und Datenschutzstandards und -bestimmungen. Wir kommen dieser Verpflichtung mithilfe von Selbstbewertungen und strengen Audits durch unabhängige akkreditierte Dritte nach. Die Audits validieren die Konformität unserer Produkte und Services mit Standards wie ISO/IEC 27001, der DSGVO, NIST SP 800-171 und den Common Criteria. Die Bewertungen belegen die Einbindung international anerkannter Prozesse und Best Practices in unser Geschäft, damit Kunden unsere Produkte und Services unabhängig von ihren Compliance-Anforderungen nutzen können.

NetApp liefert Informationen zu jedem Compliance-Angebot (links aufgelistet). Dazu gehören eine Liste der im Umfang enthaltenen Software und Hardware sowie Links zu den entsprechenden Zertifikaten und Berichten des Auditors.

Mit weltweit anerkannten Standards als Grundlage kann die digitale Transformation einer klaren Roadmap für die Einhaltung von Sicherheits- und Datenschutzgesetzen folgen.

Biren Fondekar, Chief Transformation Officer, NetApp

Übersicht: NetApp Compliance-Angaben

Hier finden Sie eine vollständige Liste aller Services, Hardware und Software von NetApp, die den globalen, regionalen und branchenspezifischen Datensicherheits-, Engineering- und Datenschutzvorschriften und -standards bezüglich der Erfassung und Nutzung von Daten entsprechen. 

California Consumer Privacy Act (CCPA) und California Privacy Rights Act (CPRA)

NetApp verpflichtet sich zur Wahrung der Persönlichkeitsrechte unserer Verbraucher und zur Einhaltung globaler Datenschutzgesetze wie des kalifornischen Verbraucherdatenschutzgesetzes (California Consumer Privacy Act, CCPA) und des kalifornischen Datenschutzgesetzes (California Privacy Rights Act, CPRA) als seiner Erweiterung. Unsere vertraglichen Verpflichtungen zur Einhaltung der gesetzlichen Bestimmungen umfassen unsere Datenschutzrichtlinie und Kundenverträge. Diese sind davon abhängig, ob wir personenbezogene Daten von Kunden erfassen oder als Serviceprovider für Kunden agieren, die personenbezogene Daten erheben. Wir unterstützen diese vertraglichen Verpflichtungen mit Prozessen und Richtlinien, die auf die Einhaltung von CCPA und CPRA ausgerichtet sind.

Commercial Solutions for Classified (CSfC) Program

Die NetApp ONTAP Datenmanagement-Software ist die erste Storage-Lösung der Enterprise-Klasse, die vom Commercial Solutions for Classified (CSfC) Program validiert wurde. Sie bietet verbesserten Sicherheitsschutz für Daten im Ruhezustand auf Hardware- und Softwareebene. Das CSfC-Programm ist eine zentrale Komponente der kommerziellen Cybersicherheitsstrategie der US-amerikanischen National Security Agency (NSA). Es dient der Validierung kommerzieller Produkte, die die hohen Sicherheitsanforderungen zum Schutz klassifizierter und streng geheimer Daten erfüllen.

Common Criteria

NetApp setzt eine langjährige Reihe von Zertifizierungen fort, die 2005 mit der erstmaligen Zertifizierung von NetApp Data ONTAP begann, und hat für seine Storage-Software- und Hardwareprodukte die Common Criteria-Zertifizierung (ISO/IEC 15408-1:2009) erhalten. Unabhängige, akkreditierte Prüflabore haben NetApp Produkte überprüft und deren Compliance mit den Common Criteria-Anforderungen zertifiziert. NetApp Kunden aus Behörden und der öffentlichen Hand können sich hinsichtlich ihrer Kaufanforderungen auf unsere Zertifizierung gemäß Common Criteria verlassen.

DoDIN APL

NetApp ONTAP wurde erstmals 2005 von der US-amerikanischen Defense Information Systems Agency (DISA) zertifiziert. DISA hat im Umfang enthaltene NetApp Produkte auf die Department of Defense Information Network Approved Products List (DoDIN APL) gesetzt. Dank der Zertifizierung von NetApp Produkten für die DoDIN APL können US-amerikanische Sicherheitsbehörden und Organisationen, die die Rüstungsindustrie unterstützen, sie vertrauensvoll nutzen.

DoD Cloud Computing Security Requirements Guide (CC SRG)

Amazon FSx for NetApp ONTAP verfügt über die Zulassung für den US-amerikanischen Department of Defense (DoD) Cloud Computing Security Requirements Guide (CC SRG) mit der Sicherheitsstufe 2, 4 und 5 in den Amazon Web Services (AWS) GovCloud-US-Regionen sowie Sicherheitsstufe 2 in AWS-US-Regionen.

FedRAMP

Sowohl Amazon FSx for NetApp ONTAP (über Amazon Web Services) als auch Azure NetApp Files (über Microsoft Azure und Microsoft Azure Government) haben vom Joint Authorization Board (JAB), dem primären Leitungsgremium von FedRAMP, einen P-ATO erhalten.

Amazon FSx for NetApp ONTAP verfügt über eine FedRAMP-Autorisierung der Sicherheitsstufen High und Moderate Impact Level (hohe und mäßige Auswirkungen) für AWS-US-Regionen und High Impact Level für die Regionen AWS GovCloud (US). Azure NetApp Files verfügt über eine FedRAMP-Autorisierung der Sicherheitsstufen High und Moderate Impact Level für die kommerziellen Cloud-Services von Azure und High Impact Level für Cloud-Services von Azure Government. 

FIPS 140

FIPS 140 ist ein US-amerikanischer Regulierungsstandard, der die Sicherheitsanforderungen für kryptografische Module in Hardware, Software und Firmware festlegt. NetApp bietet kryptografische Module mit FIPS 140-Validierung. NetApp verfügt über eine Vielzahl von Hardware, Software und Services und verfolgt daher verschiedene Ansätze für die Compliance mit FIPS 140. Bei der Software integriert NetApp beispielsweise kryptografische Module, die für die Verschlüsselung von Daten bei der Übertragung und im ruhenden Zustand der Stufe 1 validiert sind.

DSGVO (Datenschutz-Grundverordnung)

NetApp verfolgt eine umfassende Strategie für die Einhaltung von Datenschutzgesetzen, einschließlich der EU-Datenschutz-Grundverordnung (DSGVO). Wir untermauern unsere Verpflichtungen durch organisatorische und technische Maßnahmen zur Wahrung der Rechte der betroffenen Personen und zur sicheren Verarbeitung personenbezogener Daten unter Einhaltung der DSGVO und Befolgung europäischer Regulierungsbehörden. Unabhängig davon, ob Ihr Unternehmen im Bereich Datenkontrolle oder Datenverarbeitung tätig ist, verfügen die NetApp Produkte und Services über die nötigen Tools, um Programme zu implementieren, die zur Einhaltung der DSGVO erforderlich sind. Wir unterstützen dieses Engagement mit einer Reihe von Kundenverträgen.

Health Insurance Portability and Accountability Act (HIPAA)

Kunden, die das Datenmanagement gemäß dem Health Insurance Portability and Accountability Act (HIPAA) durchführen, können verschiedene Produkte und Services von NetApp für das Storage-Management nutzen.

Zur Unterstützung der HIPAA-Compliance von NetApp Services setzt NetApp auf unsere SOC-2-Typ-2-Zertifizierungen durch einen unabhängigen Dritten. SOC-2-Berichte bieten Kunden die Gewissheit, dass die Vertraulichkeit und der Datenschutz von Benutzerinformationen, die von NetApp Systemen verarbeitet werden, durch NetApp Kontrollen angemessen geschützt sind. NetApp Lösungen mit SOC-2-Typ-2-Berichten können auch für das Management geschützter Gesundheitsinformationen der jeweiligen Einheiten oder Geschäftspartner zur Verfügung gestellt werden. 

ISO/IEC 27001

Jedes Jahr beauftragt NetApp eine akkreditierte Zertifizierungsstelle, um die Konformität des NetApp Informationssicherheits-Managementsystems mit der Norm ISO 27001 zu attestieren. Unser Auditor überprüft, ob durch die NetApp Richtlinien, Verfahren und Kontrollen der Datenschutz, die Sicherheit, die Integrität und die Verfügbarkeit von Informationen gewahrt bleiben.

NF203

Nach einem umfassenden Audit hat die akkreditierte Zertifizierungsstelle INFOCERT die Zertifizierung von NetApp StorageGRID nach dem französischen Rechnungslegungsstandard NF Logiciel (NF203) erneuert. Diese Erneuerung umfasst die Zertifizierung nach dem internationalen Standard für die Entwicklung, Prüfung und Validierung von Produkten, ISO/IEC 25051.

NIST SP 800-171

NetApp unterhält Informationssysteme, die kontrollierte, nicht klassifizierte Informationen (Controlled Unclassified Information, CUI) speichern, und bestätigt unsere Einhaltung der Kontrollanforderungen von NIST SP 800-171 in den entsprechenden Verträgen. Die angemessene Berücksichtigung von CUI bildet die Grundlage unserer vertraglichen Verpflichtungen im Rahmen der Defense Federal Acquisition Regulation Supplement (DFARS). NIST SP 800-171-Kontrollen wurden in die Beschaffungsrichtlinien aufgenommen und sind daher häufig eine Anforderung für jede nicht bundesstaatliche Einrichtung, die CUI für die US-amerikanischen Behörden speichert.

Payment Card Industry (PCI) Data Security Standard (DSS)

Foregenix, ein qualifizierter Security Assessor, hat die erforderlichen Audits von Instaclustr by NetApp durchgeführt und eine Bestätigung der Compliance mit dem Datensicherheitsstandard (DSS) der Payment Card Industry (PCI) auf Ebene 1 herausgegeben – der höchsten Transaktionsebene.

SOC-2-Berichte

Die Produkte und Services von NetApp werden regelmäßig von einem unabhängigen, zertifizierten Wirtschaftsprüfer und Auditor gemäß SOC 2 (Abschnitt 101) geprüft. Die Prüfung der im Umfang von NetApp enthaltenen Cloud- und Managed Services zeigte, dass der SOC-2-Berichtsstandard basierend auf den geltenden Trust-Services-Kriterien erreicht wurde. 

Zurück nach oben
Drift chat loading