L'infrastructure de production de Data Infrastructure Insights est hébergée dans Amazon Web Services (AWS). Les contrôles liés à la sécurité physique et environnementale pour les serveurs de production Data Infrastructure Insights , qui incluent les bâtiments ainsi que les serrures ou les clés utilisées sur les portes, sont gérés par AWS. Selon AWS : « L'accès physique est contrôlé à la fois au niveau du périmètre et aux points d'entrée du bâtiment par un personnel de sécurité professionnel utilisant la vidéosurveillance, des systèmes de détection d'intrusion et d'autres moyens électroniques. Le personnel autorisé utilise des mécanismes d’authentification multifactorielle pour accéder aux étages du centre de données.

Data Infrastructure Insights suit les meilleures pratiques de la"Modèle de responsabilité partagée" décrit par AWS.

Data Infrastructure Insights suit un cycle de développement conforme aux principes Agile, nous permettant ainsi de traiter plus rapidement les défauts logiciels liés à la sécurité, par rapport aux méthodologies de développement à cycle de publication plus long. Grâce à des méthodologies d’intégration continue, nous sommes en mesure de répondre rapidement aux changements fonctionnels et de sécurité. Les procédures et politiques de gestion des changements définissent quand et comment les changements se produisent et contribuent à maintenir la stabilité de l'environnement de production. Tous les changements importants sont formellement communiqués, coordonnés, correctement examinés et approuvés avant leur publication dans l’environnement de production.

L’accès réseau aux ressources de l’environnement Data Infrastructure Insights est contrôlé par des pare-feu basés sur l’hôte. Chaque ressource (comme un équilibreur de charge ou une instance de machine virtuelle) dispose d'un pare-feu basé sur l'hôte qui limite le trafic entrant aux seuls ports nécessaires à cette ressource pour exécuter sa fonction.

Data Infrastructure Insights utilise divers mécanismes, notamment des services de détection d'intrusion, pour surveiller l'environnement de production afin de détecter les anomalies de sécurité.

L'équipe Data Infrastructure Insights suit un processus d'évaluation des risques formalisé pour fournir un moyen systématique et reproductible d'identifier et d'évaluer les risques afin qu'ils puissent être gérés de manière appropriée grâce à un plan de traitement des risques.

L'environnement de production Data Infrastructure Insights est configuré dans une infrastructure hautement redondante utilisant plusieurs zones de disponibilité pour tous les services et composants. Outre l'utilisation d'une infrastructure informatique hautement disponible et redondante, les données critiques sont sauvegardées à intervalles réguliers et les restaurations sont testées périodiquement. Les politiques et procédures de sauvegarde formelles minimisent l’impact des interruptions des activités commerciales et protègent les processus commerciaux contre les effets des pannes des systèmes d’information ou des catastrophes et garantissent leur reprise rapide et adéquate.

Tous les accès clients à Data Infrastructure Insights se font via des interactions avec l'interface utilisateur du navigateur via https. L'authentification est réalisée via le service tiers, Auth0. NetApp a centralisé cette couche d'authentification pour tous les services de données cloud.

Data Infrastructure Insights suit les meilleures pratiques du secteur, notamment le « moindre privilège » et le « contrôle d'accès basé sur les rôles » autour de l'accès logique à l'environnement de production Data Infrastructure Insights . L'accès est contrôlé en fonction des besoins et n'est accordé qu'à un personnel autorisé sélectionné à l'aide de mécanismes d'authentification multifacteur.

Toutes les données client sont cryptées lors du transit sur les réseaux publics et cryptées au repos. Data Infrastructure Insights utilise le cryptage à différents points du système pour protéger les données des clients à l'aide de technologies telles que Transport Layer Security (TLS) et l'algorithme standard du secteur AES-256.

Des notifications par courrier électronique sont envoyées à différents intervalles pour informer le client que son abonnement expire. Une fois l'abonnement expiré, l'interface utilisateur est restreinte et une période de grâce commence pour la collecte de données. Le client est ensuite averti par email. Les abonnements d'essai bénéficient d'une période de grâce de 14 jours et les comptes d'abonnement payants bénéficient d'une période de grâce de 28 jours. Une fois le délai de grâce expiré, le client est informé par e-mail que le compte sera supprimé dans 2 jours. Un client payant peut également demander directement à se déconnecter du service.

Les locataires expirés et toutes les données client associées sont supprimés par l'équipe Data Infrastructure Insights Operations (SRE) à la fin de la période de grâce ou dès confirmation de la demande d'un client de résilier son compte. Dans les deux cas, l’équipe SRE exécute un appel API pour supprimer le compte. L'appel API supprime l'instance du locataire et toutes les données client. La suppression du client est vérifiée en appelant la même API et en vérifiant que le statut du locataire client est « SUPPRIMÉ ».

Data Infrastructure Insights est intégré au processus de l'équipe de réponse aux incidents de sécurité des produits (PSIRT) de NetApp pour rechercher, évaluer et résoudre les vulnérabilités connues. Le PSIRT recueille des informations sur les vulnérabilités provenant de plusieurs canaux, notamment des rapports clients, de l'ingénierie interne et de sources largement reconnues telles que la base de données CVE.

Si un problème est détecté par l'équipe d'ingénierie de Data Infrastructure Insights , l'équipe lancera le processus PSIRT, évaluera et corrigera potentiellement le problème.

Il est également possible qu'un client ou un chercheur de Data Infrastructure Insights identifie un problème de sécurité avec le produit Data Infrastructure Insights et signale le problème au support technique ou directement à l'équipe de réponse aux incidents de NetApp. Dans ces cas, l’équipe Data Infrastructure Insights lancera le processus PSIRT, évaluera et corrigera potentiellement le problème.

Data Infrastructure Insights suit les meilleures pratiques du secteur et effectue régulièrement des tests de vulnérabilité et de pénétration en faisant appel à des professionnels et des entreprises de sécurité internes et externes.

L'ensemble du personnel de Data Infrastructure Insights suit une formation en sécurité, développée pour des rôles individuels, afin de garantir que chaque employé est équipé pour gérer les défis spécifiques liés à la sécurité de ses rôles.

Data Infrastructure Insights effectue des audits indépendants par des tiers et des validations auprès d'un cabinet d'expertise comptable agréé externe de sa sécurité, de ses processus et de ses services, y compris la réalisation de l'audit SOC 2.

Vous pouvez consulter les avis de sécurité disponibles de NetApp"ici" .