Aprile 2022
La sicurezza dei dati è la base su cui si fondano privacy e conformità. Nel Trust Center definiamo con chiarezza le policy e le procedure di sicurezza dei dati che regolano il modo in cui gestiamo la sicurezza dei nostri sistemi e dei dati che i nostri clienti ci affidano.
NetApp rispetta i requisiti delle leggi globali sulla sicurezza dei dati che richiedono ragionevoli misure di sicurezza per l'archiviazione, la trasmissione e l'elaborazione dei dati. Prendiamo misure ampiamente riconosciute come parte integrante della sicurezza tra cui crittografia, autenticazione e controlli di autorizzazione, reporting delle violazioni, prevenzione della perdita di dati e gestione delle patch.
NetApp offre una vasta gamma di soluzioni di crittografia e gestione delle chiavi di crittografia. Altre misure includono un'ampia gamma di strategie e strumenti per aiutare la tua organizzazione a rimanere resiliente contro le minacce ransomware e rigide policy di conservazione ed eliminazione dei dati che supportano la minimizzazione dei dati. I ricercatori della sicurezza di NetApp lavorano con impegno per rilevare, mitigare e rispondere a bug del software e vulnerabilità della sicurezza.
NetApp implementa queste misure per proteggere i propri sistemi informativi e i dati in essi memorizzati. Inoltre, seguendo il modello di responsabilità condivisa, offriamo anche strategie, strumenti e servizi per consentire ai nostri clienti di fare lo stesso.
NetApp si impegna a creare una piattaforma sicura e agile progettata per consentire ai clienti di prosperare in tutta sicurezza.
Bill Miller, Vicepresidente senior e Chief Information Officer, NetApp
Quando un'organizzazione si trasforma da infrastruttura on-premise a infrastruttura cloud ibrida, privata o pubblica, la condivisione della responsabilità con il cloud service provider per la sicurezza dei dati è fondamentale. Il modello di responsabilità condivisa definisce quali parti in questo ambiente di cloud computing sono responsabili della gestione della sicurezza dei dati: riservatezza, integrità e disponibilità.
NetApp, in qualità di service provider, è responsabile delle operazioni sicure dei servizi cloud NetApp, come la sicurezza fisica dei data center NetApp e l'applicazione di patch per le vulnerabilità delle soluzioni SaaS.
Tu, il nostro cliente, potresti essere responsabile delle operazioni sicure nel cloud, come ad esempio garantire che nelle implementazioni virtuali vengano attivate e rispettate le policy aziendali, come la complessità delle password, esattamente come accadeva nell'ambiente on-premise.
NetApp offre anche una scelta di provider di infrastrutture cloud partner, tra cui Amazon Web Services, Microsoft Azure e Google Cloud, che gestiscono le operazioni sicure dei loro prodotti.
Le leggi globali sulla privacy richiedono ragionevoli misure di sicurezza per la memorizzazione, la trasmissione e l'elaborazione delle informazioni personali. Negli Stati Uniti, una ragionevole sicurezza è un requisito legale per specifiche classificazioni di informazioni come dati finanziari, sanitari e altri dati personali. È alla base delle leggi che disciplinano le pratiche commerciali corrette e le leggi sulla privacy al di fuori degli Stati Uniti, come il GDPR dell'UE.
Sebbene alla ragionevole sicurezza non sia associato alcuno standard o insieme di controlli tecnici definiti, enti normativi e tribunali riconoscono alcune misure di base. Queste misure includono crittografia, autenticazione e controlli di autorizzazione, reporting delle violazioni, prevenzione della perdita di dati e gestione delle patch.
NtApp implementa queste misure di protezione per proteggere i propri sistemi informativi e i dati memorizzati, oltre a creare prodotti e servizi per consentire ai clienti di fare lo stesso.
Gli attacchi ransomware, una minaccia per la sicurezza organizzativa e per la disponibilità dei dati, costano molto più del prezzo di riscatto richiesto. Ci sono anche i costi di recovery, interruzione delle operazioni e perdita di ricavi, potenziali implicazioni legali e persino perdita di valore del marchio.
Le strategie di risposta al ransomware sono fondamentali per prepararsi a tali attacchi e i piani di business continuity che includono backup e recovery dei dati possono essere fondamentali per ridurre l'impatto di un attacco ransomware. I backup utilizzabili, isolati da un loop di attacchi ransomware, sono un componente chiave e l'ottimizzazione dei recovery point objective in punti dati non infetti aiuta a proteggere da reiterate infezioni dei sistemi.
In qualità di leader globale nello storage dei dati, NetApp offre un'ampia gamma di strategie, strumenti e servizi per aiutare la tua organizzazione a rimanere resiliente contro le minacce ransomware, mitigare gli sforzi e ridurre i tempi di recovery.
Le vulnerabilità della sicurezza sono ampiamente riconosciute nel settore informatico e da aziende e organizzazioni di tutto il mondo. NetApp ha risolto le vulnerabilità della sicurezza stabilendo una metodologia SDL (Secure Development Lifecycle). SDL di NetApp è un processo ripetibile in 6 fasi per lo sviluppo di software sicuro basato su best practice e standard di settore. Fornisce un framework e un processo per aiutare i team di prodotto a valutare e rispondere alle potenziali vulnerabilità di sicurezza nello sviluppo di tutti i prodotti e servizi NetApp.
Una formazione rigorosa sulla sicurezza e la nomina dei campioni della sicurezza gettano le basi per la metodologia SDL. Il processo SDL inizia con una valutazione della sicurezza e il rilascio dei piani di conformità e test. Segue una valutazione completa delle vulnerabilità di sicurezza del prodotto, l'implementazione delle soluzioni e la convalida della risoluzione di eventuali vulnerabilità identificate. Termina con le procedure di comunicazione dei rischi e il monitoraggio attraverso un Product Security Incident Response Team (PSIRT).
In genere, vengono rilasciate patch per risolvere problemi noti di software o dati, ad esempio un bug del software o una vulnerabilità della sicurezza. I ricercatori della sicurezza di NetApp lavorano con impegno per proteggere i nostri prodotti e servizi. Partecipano alle community di sicurezza che tengono traccia delle vulnerabilità pubblicate. Inoltre, gestiscono un programma attraverso il quale clienti e ricercatori al di fuori di queste community inviano informazioni su potenziali vulnerabilità della sicurezza. NetApp assegna un punteggio e tiene traccia di questi invii in base alla nostra policy di gestione delle vulnerabilità e rilascia regolarmente le patch tramite consulenti della sicurezza.
La gestione di queste patch è parte integrante delle ragionevoli misure di sicurezza necessarie per proteggere reti e dati. Le operazioni di gestione delle patch e delle vulnerabilità di NetApp sono inoltre progettate per supportare i clienti di tutte le posizioni del modello di responsabilità condivisa.
La crittografia è ampiamente riconosciuta come fondamentale per la sicurezza delle informazioni personali. Alcune normative, ad esempio la U.S. IRS Publication 1075, richiedono che determinate informazioni vengano crittografate utilizzando una tecnologia specifica mentre i dati sono inattivi o in transito. Altre normative, come il Regolamento generale sulla protezione dei dati dell'Unione europea (GDPR) e il CCPA (California Consumer Privacy Act), non richiedono la crittografia, ma riconoscono il ruolo importante che svolge nel mitigare le violazioni dei dati che coinvolgono le informazioni personali.
NetApp offre una vasta gamma di soluzioni di crittografia. Sono incluse la crittografia hardware e software, a livello di volume o disco, nonché la gestione delle chiavi di crittografia per l'amministrazione delle chiavi utilizzate per crittografare e decrittare i dati.
Un principio fondamentale della sicurezza dei dati è che le organizzazioni non devono raccogliere o conservare una quantità di informazioni personali superiore a quella necessaria e che i dati devono essere cancellati quando non sono più necessari per scopi autorizzati. Questo principio di minimizzazione dei dati riduce la complessità della compliance e protegge i dati da eventuali danni in caso di violazione della sicurezza.
Il metodo più comune di minimizzazione dei dati consiste nell'applicare policy di conservazione e di eliminazione dei dati che stabiliscano quali informazioni un'azienda deve conservare, per quanto tempo e quando e come eliminarle.
Le policy di eliminazione dei dati di NetApp supportano la minimizzazione per i dati memorizzati sui dischi restituiti dai clienti: ai clienti viene richiesto di eliminare, crittografare o rendere irrecuperabili tutti i dati memorizzati sui supporti prima che vengano restituiti.