La infraestructura de producción de Data Infrastructure Insights está alojada en Amazon Web Services (AWS). AWS administra los controles relacionados con la seguridad física y ambiental de los servidores de producción de Data Infrastructure Insights , que incluyen edificios, así como cerraduras o llaves utilizadas en las puertas. Según AWS: “El acceso físico está controlado tanto en el perímetro como en los puntos de ingreso al edificio por personal de seguridad profesional que utiliza videovigilancia, sistemas de detección de intrusos y otros medios electrónicos. El personal autorizado utiliza mecanismos de autenticación multifactor para acceder a los pisos del centro de datos”.

Data Infrastructure Insights sigue las mejores prácticas de la"Modelo de responsabilidad compartida" descrito por AWS.

Data Infrastructure Insights sigue un ciclo de vida de desarrollo en línea con los principios Agile, lo que nos permite abordar cualquier defecto de software orientado a la seguridad más rápidamente, en comparación con las metodologías de desarrollo de ciclos de lanzamiento más largos. Utilizando metodologías de integración continua, somos capaces de responder rápidamente a cambios tanto funcionales como de seguridad. Los procedimientos y políticas de gestión de cambios definen cuándo y cómo ocurren los cambios y ayudan a mantener la estabilidad del entorno de producción. Cualquier cambio impactante se comunica formalmente, se coordina, se revisa adecuadamente y se aprueba antes de su lanzamiento al entorno de producción.

El acceso de red a los recursos en el entorno de Data Infrastructure Insights está controlado por firewalls basados ​​en host. Cada recurso (como un balanceador de carga o una instancia de máquina virtual) tiene un firewall basado en host que restringe el tráfico entrante únicamente a los puertos necesarios para que ese recurso realice su función.

Data Infrastructure Insights utiliza varios mecanismos, incluidos servicios de detección de intrusiones, para monitorear el entorno de producción en busca de anomalías de seguridad.

El equipo de Data Infrastructure Insights sigue un proceso formalizado de evaluación de riesgos para proporcionar una forma sistemática y repetible de identificar y evaluar los riesgos para que puedan gestionarse adecuadamente a través de un plan de tratamiento de riesgos.

El entorno de producción de Data Infrastructure Insights está configurado en una infraestructura altamente redundante que utiliza múltiples zonas de disponibilidad para todos los servicios y componentes. Además de utilizar una infraestructura informática redundante y de alta disponibilidad, se realizan copias de seguridad de los datos críticos a intervalos regulares y las restauraciones se prueban periódicamente. Las políticas y procedimientos formales de respaldo minimizan el impacto de las interrupciones de las actividades comerciales y protegen los procesos de negocio contra los efectos de fallas de los sistemas de información o desastres y garantizan su reanudación oportuna y adecuada.

Todo acceso del cliente a Data Infrastructure Insights se realiza a través de interacciones de la interfaz de usuario del navegador mediante https. La autenticación se realiza a través del servicio de terceros, Auth0. NetApp ha centralizado esto como la capa de autenticación para todos los servicios de datos en la nube.

Data Infrastructure Insights sigue las mejores prácticas de la industria, incluido el “Mínimo privilegio” y el “Control de acceso basado en roles” en torno al acceso lógico al entorno de producción de Data Infrastructure Insights . El acceso se controla según las necesidades estrictas y solo se concede a personal autorizado seleccionado que utiliza mecanismos de autenticación de múltiples factores.

Todos los datos del cliente se cifran en tránsito a través de redes públicas y se cifran en reposo. Data Infrastructure Insights utiliza cifrado en varios puntos del sistema para proteger los datos de los clientes utilizando tecnologías que incluyen seguridad de la capa de transporte (TLS) y el algoritmo AES-256 estándar de la industria.

Se envían notificaciones por correo electrónico a distintos intervalos para informar al cliente que su suscripción está a punto de expirar. Una vez que expira la suscripción, la interfaz de usuario se restringe y comienza un período de gracia para la recopilación de datos. Posteriormente se notifica al cliente por correo electrónico. Las suscripciones de prueba tienen un período de gracia de 14 días y las cuentas de suscripción paga tienen un período de gracia de 28 días. Una vez transcurrido el período de gracia, se notifica al cliente por correo electrónico que la cuenta se eliminará en 2 días. Un cliente pagado también puede solicitar directamente la baja del servicio.

El equipo de Data Infrastructure Insights Operations (SRE) elimina los inquilinos vencidos y todos los datos de clientes asociados al final del período de gracia o tras la confirmación de la solicitud de un cliente de cancelar su cuenta. En cualquier caso, el equipo de SRE ejecuta una llamada API para eliminar la cuenta. La llamada API elimina la instancia del inquilino y todos los datos del cliente. La eliminación del cliente se verifica llamando a la misma API y verificando que el estado del inquilino del cliente sea "ELIMINADO".

Data Infrastructure Insights está integrado con el proceso del Equipo de respuesta a incidentes de seguridad de productos (PSIRT) de NetApp para encontrar, evaluar y resolver vulnerabilidades conocidas. PSIRT obtiene información sobre vulnerabilidades de múltiples canales, incluidos informes de clientes, ingeniería interna y fuentes ampliamente reconocidas como la base de datos CVE.

Si el equipo de ingeniería de Data Infrastructure Insights detecta un problema, iniciará el proceso PSIRT, evaluará y potencialmente solucionará el problema.

También es posible que un cliente o investigador de Data Infrastructure Insights identifique un problema de seguridad con el producto Data Infrastructure Insights e informe el problema al Soporte técnico o directamente al equipo de respuesta a incidentes de NetApp. En estos casos, el equipo de Data Infrastructure Insights iniciará el proceso PSIRT, evaluará y potencialmente solucionará el problema.

Data Infrastructure Insights sigue las mejores prácticas de la industria y realiza pruebas periódicas de vulnerabilidad y penetración con profesionales y empresas de seguridad internas y externas.

Todo el personal de Data Infrastructure Insights recibe capacitación en seguridad, desarrollada para roles individuales, para garantizar que cada empleado esté equipado para manejar los desafíos específicos de seguridad de sus roles.

Data Infrastructure Insights realiza auditorías y validaciones de terceros independientes a través de una firma de contabilidad pública externa autorizada sobre su seguridad, procesos y servicios, incluida la finalización de la auditoría SOC 2.

Puede ver los avisos de seguridad disponibles de NetApp"aquí" .