메뉴
회색 배경에 확대경

규정 준수: 데이터 보안 및 데이터 개인 정보 보호

목차

이 페이지 공유하기

2023년 8월

NetApp은 끊임없이 변화하는 전 세계적 및 지역별 데이터 보안, 개인 정보 보호 표준 및 규정을 준수하기 위해 오랫동안 지속적으로 노력하고 있습니다. NetApp은 독립적이고 공인된 제3자에 의한 자체 평가 및 엄격한 감사를 통해 이러한 약속을 지킵니다. 이러한 감사는 ISO/IEC 27001, GDPR, NIST SP 800-171 및 Common Criteria와 같은 표준 요건에 대한 당사의 제품 및 서비스 준수 여부를 검증합니다. 관련 평가는 NetApp의 국제적으로 인정된 프로세스와 비즈니스 모범 사례의 통합을 입증하므로 고객은 규정 준수 요구사항과 상관없이 NetApp 제품과 서비스를 사용할 수 있습니다.

NetApp은 범위 내 소프트웨어 및 하드웨어 목록과 관련 인증서 및 감사원의 보고서에 대한 링크를 포함하는 각 규정 준수 솔루션(왼쪽 목록 참조)에 관한 정보를 제공합니다.

세계적으로 인정받는 표준을 기반으로 디지털 혁신을 시작한다면 알려진 보안 및 개인 정보 규정 준수 로드맵을 따를 수 있습니다.

Biren Fondekar, 최고 혁신 책임자, NetApp

NetApp 규정 준수 솔루션

데이터의 수집 및 사용에 적용되는 전 세계적, 지역별 및 산업별 데이터 보안, 엔지니어링, 개인 정보 보호 규정 및 표준을 준수하는 모든 NetApp 서비스, 하드웨어 및 소프트웨어의 전체 목록을 확인하십시오. 

캘리포니아 소비자 개인 정보 보호법(CCPA) 및 캘리포니아 개인정보보호 권리법(CPRA)

NetApp은 소비자의 개인 정보 보호 권리를 존중하고 캘리포니아 소비자 개인 정보 보호법(CCPA) 및 그 확장법인 캘리포니아 개인정보보호 권리법(CPRA)을 비롯한 글로벌 데이터 개인정보 보호법을 준수하여 운영하기 위해 최선을 다하고 있습니다. 법률 준수에 대한 계약상의 약속에는 개인 정보 보호 정책 및 고객 계약이 포함됩니다. 이는 당사가 고객의 개인 데이터를 수집하는지 또는 개인 데이터를 수집하는 고객에게 서비스 공급자 역할을 수행하는지에 따라 달라집니다. NetApp은 CCPA 및 CPRA를 준수하도록 설계된 프로세스 및 정책으로 이러한 계약상 약속을 뒷받침합니다.

CSfC(Commercial Solutions for Classified) 프로그램

NetApp ONTAP 데이터 관리 소프트웨어는 CSfC(Commercial Solutions for Classified) 프로그램의 검증을 받은 최초의 엔터프라이즈급 스토리지 솔루션입니다. 이를 통해 하드웨어 및 소프트웨어 계층 모두에서 유휴 데이터에 대한 보안 보호가 강화됩니다. CSfC 프로그램은 미국 국가안보국(NSA) 상업용 사이버 보안 전략의 핵심 구성 요소입니다. 이 프로그램은 분류된 기밀 및 극비 데이터를 보호하기 위한 엄격한 보안 요구사항을 충족하는 상업용 제품을 검증합니다.

Common Criteria

NetApp Data ONTAP이 처음 인증을 받은 2005년부터 인증 전통을 이어온 NetApp은 자사의 스토리지 소프트웨어 및 하드웨어 제품에 대한 Common Criteria(ISO/IEC 15408-1:2009) 인증을 획득했습니다. 독립 공인 테스트 연구소에서 NetApp 제품을 감사하고 Common Criteria 준수를 인증했습니다. NetApp 정부 및 정부 계약자 고객은 구매에 필요한 Common Criteria 인증을 신뢰할 수 있습니다.

DoDIN APL

NetApp ONTAP은 2005년에 처음으로 미국 국방부 정보시스템 계획국(DISA)에서 인증을 받았습니다. DISA는 범위 내 NetApp 제품을 미국 국방부 정보 네트워크 승인 제품 목록(DoDIN APL)에 올렸습니다. DoDIN APL에 대한 NetApp 제품의 인증을 통해 미국 국방 기관 및 방위 산업 기반을 지원하는 조직이 안심하고 사용할 수 있습니다.

DoD 클라우드 컴퓨팅 보안 요구사항 가이드(CC SRG)

Amazon FSx for NetApp ONTAP은 Amazon Web Services(AWS) GovCloud(US) 리전에서 미 국방부(DoD) 클라우드 컴퓨팅 보안 요구사항 가이드(CC SRG) 영향 수준 2, 4, 5 및 AWS US 지역에서 영향 수준 2에 대한 인증을 받았습니다.

FedRAMP

Amazon Web Services의 Amazon FSx for NetApp ONTAP과 Microsoft Azure 및 Microsoft Azure Government의 Azure NetApp Files®는 모두 FedRAMP의 기본 거버넌스 기구인 JAB(Joint Authorization Board)로부터 P-ATO를 획득했습니다.  

Amazon FSx for NetApp ONTAP은 AWS US 리전에 대해 높음 및 중간 영향력 수준과 AWS GovCloud(US) 리전에 대해 높음 영향 수준에서 FedRAMP 인증을 받았습니다. Azure NetApp Files®는 Azure 상업용 클라우드 서비스에 대해 높음 및 중간 영향 수준과 Azure Government 클라우드 서비스에 대해 높음 영향 수준에서 모두 FedRAMP 인증을 받았습니다. 

FIPS 140

FIPS 140은 하드웨어, 소프트웨어 및 펌웨어의 암호화 모듈에 대한 보안 요구사항을 설정하는 미국 정부 표준이며 NetApp은 FIPS 140 인증을 획득한 암호화 모듈을 제공합니다. NetApp은 다양한 하드웨어, 소프트웨어 및 서비스를 제공하므로 FIPS 140 규정 준수에 대한 다양한 접근 방식을 취합니다. 예를 들어 적용되는 소프트웨어의 경우 NetApp에는 전송 중 및 유휴 데이터 암호화에 대해 레벨 1 인증을 획득한 암호화 모듈이 포함되어 있습니다.

일반 데이터 보호 규정(GDPR)

NetApp은 EU 일반 데이터 보호 규정(GDPR)을 포함하여 데이터 개인 정보 보호법을 준수하기 위한 포괄적인 전략을 유지합니다. NetApp은 데이터 주체의 권리를 존중하고 GDPR 및 유럽 규제 기관에 따라 개인 정보를 안전하게 처리하도록 설계된 조직 및 엔지니어링 조치를 통해 당사의 약속을 뒷받침합니다. 기업이 데이터 제어자든 데이터 처리자든 상관없이 NetApp 제품 및 서비스는 GDPR 준수를 지원하는 프로그램을 구현하는 데 필요한 툴을 제공합니다. 수많은 고객 계약이 이러한 NetApp의 약속을 뒷받침합니다.

건강보험 이동성 및 책임법(HIPAA)

건강보험 이동성 및 책임법(HIPAA)에 따라 규제되는 데이터를 관리하는 고객은 다양한 NetApp 제품 및 서비스를 활용하여 스토리지를 관리할 수 있습니다.

NetApp 서비스의 HIPAA 준수를 뒷받침하기 위해 NetApp은 독립적인 제3자로부터 SOC 2 Type 2 인증을 받습니다. SOC 2 보고서는 NetApp이 NetApp 시스템에서 처리하는 사용자 정보의 기밀성과 개인 정보를 합리적으로 보호한다는 것을 고객에게 보장합니다. 관련 단체 또는 비즈니스 관계자는 보호받는 건강 정보를 관리하기 위해 SOC 2 Type 2 보고서가 포함된 NetApp 솔루션을 사용할 수도 있습니다. 

ISO/IEC 27001

매년 NetApp은 NetApp 정보 보안 관리 시스템이 ISO 27001 표준을 준수함을 증명하기 위해 공인 인증 기관과 협력합니다. 감사 기관은 NetApp 정책, 절차 및 제어가 정보의 개인 정보 보호, 보안, 무결성 및 가용성을 유지함을 확인합니다.

NF203

공인 인증 기관인 INFOCERT는 광범위한 감사를 수행한 후 프랑스 회계 표준인 NF Logiciel(NF203)에 따라 NetApp® StorageGRID®의 인증을 갱신했습니다. 이 갱신에는 제품 개발, 테스트 및 검증 방식에 대한 국제 표준인 ISO/IEC 25051에 대한 인증이 포함되어 있습니다.

NIST SP 800-171

NetApp은 제어된 미분류 정보(CUI)를 저장하고 관련 계약에서 NIST SP 800-171의 제어 요구사항을 준수함을 증명하는 정보 시스템을 유지 관리합니다. CUI는 국방 연방 조달 규정(Defense Federal Acquisition Regulation Supplement, DFARS)에 따른 계약 약정을 기반으로 올바른 방식으로 처리됩니다. NIST SP 800-171 제어는 조달 규정에 통합되어 있으므로 종종 미국 정부를 위해 CUI를 저장, 처리 또는 전송하는 모든 비연방 기관에서 충족해야 할 요건입니다.

PCI(Payment Card Industry) DSS(Data Security Standard)

공인 보안 평가 기관인 Foregenix는 NetApp®의 Instaclustr™에 대한 필수 감사를 수행하여 최고 거래 수준인 레벨 1의 PCI(Payment Card Industry) DSS(Data Security Standard) Attestation of Compliance를 발급했습니다.

SOC 2 보고서

NetApp 제품 및 서비스는 독립적인 공인 회계사 및 서비스 감사 기관에서 SOC 2(AT Section 101) 표준에 따라 정기적으로 감사를 받습니다. 해당 관계자는 NetApp의 범위 내 클라우드 및 관리 서비스를 조사하고 해당 신뢰 서비스 기준에 따라 SOC 2 보고서를 달성했음을 확인했습니다. 

맨 위로 이동
Drift chat loading