A segurança dos seus dados é nossa maior prioridade.
Além de nossas próprias salvaguardas rigorosas, a Smart Datacenter adere aos padrões publicados listados aqui.
Clique nos logos para baixar nossos certificados.
Nível protegido do IRAP
O Information Security Registered Assessors Program (IRAP) permite que os clientes do governo australiano validem que os controles apropriados dos serviços de nuvem estão em vigor e determinem o modelo de responsabilidade apropriado para atender aos requisitos do Manual de Segurança da Informação do Governo Australiano (ISM) produzido pelo Australian Cyber Security Centre (ACSC). Proteger dados de acesso não autorizado ou divulgação não autorizada é essencial ao adquirir e aproveitar serviços de nuvem. O relatório de avaliação do IRAP é uma prova de que o serviço é confiável.
Zadara e IRAP da Austrália
Uma avaliação do IRAP para o nível PROTECTED foi concluída para os serviços de nuvem Zadara na Austrália pelo grupo NCC. A avaliação foi realizada entre junho e outubro de 2023 em relação à versão de dezembro de 2022 do Manual de Segurança da Informação do Governo Australiano (ISM). O escopo da avaliação foram as nuvens públicas australianas que estão sendo hospedadas em data centers da Equinix na região de Sydney. Esta avaliação foi projetada para fornecer às autoridades ou empresas relevantes informações suficientes para confiar nos serviços de nuvem Zadara para processar dados do governo australiano.
GDPR
A Zadara está comprometida com a conformidade com o GDPR em todos os nossos serviços de armazenamento.
Definindo o GDPR
O Regulamento Geral de Proteção de Dados (GDPR) é uma nova lei de privacidade europeia, que deve entrar em vigor em 25 de maio de 2018, que protege o direito à privacidade dos cidadãos da União Europeia (UE). Ele introduz requisitos robustos que elevarão os padrões de proteção de dados, segurança e conformidade. O GDPR substituirá a Diretiva de Proteção de Dados da UE existente e tem como objetivo harmonizar as leis de proteção de dados em toda a UE.
Informações de Identificação Pessoal (PII) são quaisquer dados que podem ser usados para identificar um indivíduo específico. Número de telefone, endereço de e-mail, número de passaporte/ID e até mesmo imagens digitais estão todos incluídos. O GDPR concede às pessoas maior controle sobre suas PII, ao mesmo tempo que impõe obrigações rígidas às organizações que coletam, manipulam ou analisam dados pessoais. Ele também impõe multas pesadas por não conformidade e violações de dados.
Quais são as responsabilidades do cliente?
Os clientes da Zadara, que usam o serviço de armazenamento da Zadara para armazenar dados pessoais, normalmente agem como o controlador de dados para qualquer PII que eles mantêm. O controlador de dados determina os propósitos e meios dos dados pessoais. A Zadara mantém e protege os dados em nome de seus clientes. Na terminologia do GDPR, quando o controlador de dados está usando os serviços de armazenamento da Zadara, a Zadara é um processador de dados que processa dados pessoais em nome do controlador de dados.
Os controladores de dados são responsáveis por implementar as medidas técnicas e organizacionais necessárias para garantir que os dados pessoais sejam mantidos e processados em conformidade com os requisitos do GDPR.
O controlador de dados precisa garantir que os titulares dos dados estejam bem informados sobre o uso de seus dados e confiem que eles serão processados com segurança e apenas para propósitos dos quais eles têm conhecimento. O controlador de dados também é responsável por notificar o titular dos dados em qualquer incidente de violação de segurança.
Para os controles específicos, os clientes da Zadara devem buscar aconselhamento jurídico relacionado às obrigações do GDPR, pois elas devem ser adaptadas a qualquer situação específica.
Quais são as responsabilidades da Zadara?
Um processador de dados GDPR é uma pessoa ou organização que lida com dados pessoais conforme instruído por um controlador para propósitos e serviços específicos oferecidos ao controlador. A Zadara é um processador de dados para os serviços de armazenamento fornecidos a seus clientes.
Como os serviços de processamento que a Zadara fornece são serviços de armazenamento, a principal responsabilidade da Zadara é ser a guardiã de quaisquer dados armazenados em seus sistemas.
A Zadara gerencia o mapeamento de aplicativo para armazenamento e garante que qualquer aplicativo possa acessar o armazenamento que ele usa, conforme definido pelo cliente. A Zadara garante que regras rígidas estejam em vigor para acesso a dados e monitora o acesso de segurança.
Para evitar roubo de dados, a Zadara oferece suporte à criptografia de dados em repouso e em andamento usando chaves gerenciadas pelo usuário. A Zadara nunca usa os dados do cliente, nem mesmo para fins de desenvolvimento ou teste.
A Zadara notificará os clientes sem demora indevida se tivermos conhecimento de uma violação de nossos padrões de segurança dos serviços de armazenamento, para ajudar o controlador de dados a relatar violações de dados sem demora indevida.
O que a Zadara está fazendo para se preparar para o GDPR?
A conformidade com o GDPR é uma responsabilidade compartilhada. Os serviços de armazenamento da Zadara oferecem um amplo conjunto de controles para ajudar os clientes a manter a conformidade com o GDPR. Para a Zadara, que já tem um alto padrão de práticas de proteção de dados em seu armazenamento em nuvem, o GDPR é uma chance de aprimorar as práticas e tornar as coisas ainda mais rigorosas.
A Zadara realiza testes de segurança contínuos em suas nuvens e serviços de armazenamento. A Zadara mantém certificações de segurança como ISO 27001, SOC 2 Tipo 2 e HIPAA. Essas certificações e relatórios de auditoria podem ser usados para avaliações de risco dos clientes e ajudá-los a determinar se as medidas de segurança adequadas estão em vigor.
A Zadara treina todos os funcionários sobre privacidade de dados, para que eles estejam cientes da sensibilidade do PII e do compromisso da empresa em estar em conformidade com o GDPR.
Como a Zadara não tem visibilidade dos dados dos clientes e não consegue identificar o PII, ela trata tudo armazenado em seus sistemas como de alto risco e mais sensível. Os controles adotados para proteger os dados incluem:
Mais alto nível de segurança física com travas biométricas nas gaiolas de equipamentos da Zadara
Controle de acesso rigoroso baseado em função
Comunicação segura que é sempre criptografada
Criptografia de dados em repouso com chaves dos clientes
Criptografia de dados em trânsito para qualquer movimentação de dados
Gerenciamento de identidade robusto com autenticação de fator duplo
Os clientes podem selecionar a região onde os dados são mantidos
Multilocação com separação completa entre locatários no nível de VM e unidade de disco
Exclusão de dados e destruição de unidade quando os dados devem ser removidos
Baixe uma cópia assinada do nosso Adendo de Processamento de Dados (DPA).
HIPAA
Definindo HIPAA
O Health Insurance Portability and Accountability Act (HIPAA) define o padrão para proteção de dados confidenciais de pacientes. As empresas que lidam com informações de saúde protegidas (PHI) devem ter medidas de segurança física, de rede e de processo em vigor e segui-las para garantir a conformidade com HIPAA. Entidades cobertas (qualquer pessoa que forneça tratamento, pagamento e operações em assistência médica) e associados comerciais (qualquer pessoa que tenha acesso às informações do paciente e forneça suporte em tratamento, pagamento ou operações) devem atender à conformidade com HIPAA.
O que HIPAA significa para Zadara
A Zadara é considerada uma associada comercial HIPAA conforme a definição acima. Não há certificação HIPAA para um provedor de serviços como a Zadara. A Zadara é uma provedora de hospedagem compatível com HIPAA, pois possui as proteções administrativas, físicas, técnicas e de privacidade necessárias, de acordo com o Departamento de Saúde e Serviços Humanos dos EUA:
Proteções administrativas – uma coleção de políticas e procedimentos que regem a conduta da força de trabalho e medidas de segurança.
Salvaguardas Físicas – políticas e procedimentos para limitar o acesso físico aos seus sistemas de informação eletrônica e instalações nas quais eles estão hospedados e para garantir sua disponibilidade em uma emergência.
Salvaguardas Técnicas – políticas e procedimentos para sistemas de informação eletrônica para permitir acesso somente àquelas pessoas ou programas de software que receberam direitos de acesso. O acesso deve ser monitorado e auditado periodicamente para garantir que seja preciso e atualizado.
Salvaguardas de Privacidade – políticas e procedimentos para sistemas de informação eletrônica para proteger a privacidade dos titulares dos dados (principalmente pertencentes a entidades cobertas).
SOC1
Definindo SOC
Controles de Organização de Serviço (SOC) são um conjunto de padrões projetados para medir a capacidade de uma determinada organização de serviço de controlar suas informações em seus ambientes de serviço (por exemplo, as nuvens que gerencia). A conformidade com SOC 1 diz respeito aos controles internos de uma organização de serviço de TI avançada. Uma empresa atinge a conformidade com SOC 1 ao ter políticas e estratégias suficientes para proteger os dados do cliente.
Sobre SOC 1
O relatório SOC 1 se concentra nos controles de uma organização de serviço que são relevantes para uma auditoria das demonstrações financeiras do cliente de uma organização de serviço. Os objetivos de controle estão relacionados aos processos de negócios e tecnologia da informação implementados pela Zadara para proteger as informações financeiras armazenadas na plataforma Zadara. O relatório SOC 1 Tipo II inclui uma descrição dos controles nas nuvens Zadara, bem como uma opinião sobre a eficácia operacional desses controles ao longo de um período de tempo.
O que SOC 1 significa para o Zadara Storage Nossos clientes e reguladores esperam uma verificação independente dos controles de segurança e disponibilidade. Os relatórios de controle de organização de serviço (SOC) são relatórios de exame independentes de terceiros que demonstram como a Zadara Storage atinge a conformidade padrão. A Zadara Storage passa por auditorias independentes de terceiros regularmente para fornecer essa garantia. Isso significa que um auditor independente examinou os controles presentes em nossos serviços, produtos e operações.
O auditor documenta os controles que a Zadara Storage implementou em um relatório SOC 1. O relatório avalia a eficácia de um sistema de provedor de serviços com base nos Princípios e Critérios de Serviços de Confiança do AICPA. Organizações que usam a Zadara para armazenar informações relacionadas às suas demonstrações financeiras podem usar este relatório para avaliar o nível de segurança dos serviços da Zadara. Para obter mais detalhes sobre os critérios de serviços de confiança do SOC 1, visite: AICPA.org.
SOC2
Definindo SOC
Controles de Organização de Serviço (SOC) são um conjunto de padrões projetados para medir a capacidade de uma determinada organização de serviço de controlar suas informações em seus ambientes de serviço (por exemplo, as nuvens que gerencia). A conformidade com SOC 2 diz respeito aos controles internos de uma organização de serviço de TI avançada. Uma empresa atinge a conformidade com SOC 2 ao ter políticas e estratégias suficientes para proteger os dados do cliente.
Sobre SOC 2
Embora muitas empresas entendam os benefícios de mover funções básicas, como armazenamento de dados para a nuvem, algumas empresas ainda hesitam devido a preocupações com a segurança. A conformidade com SOC 2 fornece às empresas a confiança e a tranquilidade de que seus dados estão protegidos e altamente disponíveis.
O que SOC 2 significa para o Zadara Storage
Nossos clientes e reguladores esperam verificação independente de controles de segurança e disponibilidade. Os Relatórios de Controle de Organização de Serviço (SOC) são relatórios de exame independentes de terceiros que demonstram como o Zadara Storage atinge a conformidade com o padrão. O Zadara Storage passa por auditorias independentes de terceiros regularmente para fornecer essa garantia. Isso significa que um auditor independente examinou os controles presentes em nossos serviços, produtos e operações.
O auditor documenta os controles que a Zadara Storage colocou em prática em um relatório SOC 2. O relatório avalia a eficácia de um sistema de provedor de serviços com base nos Princípios e Critérios de Serviços de Confiança do AICPA. Para mais detalhes sobre os critérios de serviços de confiança do SOC 2, visite: AICPA.
ISO27001
Definindo ISO 27001
ISO 27001 (formalmente conhecida como ISO/IEC 27001:2005) é uma especificação para um gerenciamento de segurança da informação. É uma estrutura de políticas e procedimentos que inclui todos os controles legais, físicos e técnicos envolvidos nos processos de gerenciamento de risco de informação de uma organização.
Como uma especificação formal, a ISO 27001 exige requisitos específicos. Organizações que alegam ter adotado a ISO 27001 podem, portanto, ser formalmente auditadas e certificadas em conformidade com o padrão.
A ISO 27001 foi desenvolvida para "fornecer um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gerenciamento de segurança da informação".
A ISO 27001 é o padrão internacional de fato para Gerenciamento de Segurança da Informação. A ISO 27001 contém 12 seções principais:
-
Avaliação de risco
-
Política de segurança
-
Organização da segurança da informação
-
Gestão de ativos
-
Segurança de recursos humanos
-
Segurança física e ambiental
-
Gestão de comunicações e operações
-
Controle de acesso
-
Aquisição, desenvolvimento e manutenção de sistemas de informação
-
Gestão de incidentes de segurança da informação
-
Gestão de continuidade de negócios
-
Conformidade
O que a ISO27001 significa para a Zadara
Os serviços da Zadara são certificados para serem compatíveis com o padrão ISO27001. Para obter a certificação, a Zadara teve que provar que nossos serviços de armazenamento atendem aos padrões de segurança especificados para um auditor externo. A certificação ISO 27001 demonstra o claro comprometimento da Zadara com a Gestão de Segurança da Informação e garante que haja processos adequados para diminuir o risco de violação de dados.
ISO27017
Definindo ISO27017
ISO/IEC 27017:2015 fornece diretrizes para controles de segurança da informação aplicáveis ao fornecimento e uso de serviços em nuvem, fornecendo controles adicionais com orientação de implementação que se relacionam especificamente a serviços em nuvem.
Esta Norma Internacional fornece controles e orientação de implementação para provedores de serviços em nuvem e clientes de serviços em nuvem.
O que ISO27017 significa para a Zadara
A Zadara é certificada para ISO27017 como uma provedora de serviços em nuvem. Os serviços da Zadara foram projetados de baixo para cima com a segurança da nuvem em mente. A certificação ISO27017 demonstra o claro comprometimento da Zadara com a oferta de nuvem Segurança da Informação e garante que haja processos e controles adequados para diminuir o risco de violação de dados.
ISO27018
Definindo ISO27018
A ISO 27018 estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementar medidas para proteger Informações de Identificação Pessoal (PII) no ambiente de computação em nuvem pública. Ela leva em consideração os requisitos regulatórios para a proteção de PII que podem ser aplicáveis dentro do contexto do(s) ambiente(s) de risco de segurança da informação de um provedor de serviços de nuvem pública.
O que ISO27018 significa para a Zadara
A ISO27018 é aplicável à Zadara como um Processador de PII que fornece serviços de processamento de informações (armazenamento) via computação em nuvem para seus clientes que atuam como controladores de PII. Em 2018, a Zadara declarou conformidade com a lei de privacidade GDPR da UE. A certificação ISO27018 enfatiza o claro compromisso da Zadara em proteger a privacidade de seus clientes e proteger qualquer PII armazenado nas nuvens públicas e privadas da Zadara.
ISO27701
ISO/IEC 27701:2019 é uma extensão de privacidade de dados para ISO 27001. Este padrão de segurança de informações recém-publicado fornece orientação para organizações que buscam implementar sistemas para dar suporte à conformidade com o GDPR e outros requisitos de privacidade de dados. O ISO 27701, também abreviado como PIMS (Privacy Information Management System), descreve uma estrutura para Controladores de Informações de Identificação Pessoal (PII) e Processadores de PII para gerenciar a privacidade de dados.
O Artigo 42 do GDPR discute mecanismos de certificação de proteção de dados e selos e marcas de proteção de dados. Ainda não existem tais mecanismos. No entanto, é possível obter uma certificação credenciada de forma independente para ISO 27001 e ISO 27701 implementando seus controles – o que demonstrará a todas as partes interessadas que a Zadara – e, por consequência, sua organização – está seguindo as melhores práticas internacionais quando se trata de proteger dados pessoais/PII.
O objetivo deste padrão é fornecer às organizações uma estrutura prática com a qual elas podem estender o ISMS (Sistema de Gestão de Segurança da Informação) existente para se tornar um PIMS (Sistema de Gestão de Informações de Privacidade).
O que a ISO27701 significa para a Zadara
Ao certificar-se com este padrão, a Zadara está demonstrando aos clientes e às partes interessadas internas e externas que sistemas eficazes estão em vigor para dar suporte à conformidade com o GDPR e à legislação de privacidade relacionada. Fornecedores, clientes e funcionários podem confiar na Zadara para lidar com suas PII com os mais altos padrões de segurança e proteção de privacidade e confiar que a Zadara está totalmente em conformidade com o GDPR da UE e outras legislações semelhantes.
