Centro fiduciarioNetworks Nozomi

Benvenuti nel Trust Center Nozomi Networks , la vostra porta d'accesso alla comprensione delle solide misure di sicurezza che abbiamo messo in atto per proteggere i nostri sistemi e i vostri dati. In Nozomi Networks diamo priorità alla sicurezza e alla privacy delle informazioni dei nostri clienti, garantendo che le nostre pratiche soddisfino i più elevati standard del settore.

Il nostro team di governance, rischio e conformità si dedica al mantenimento di un ambiente sicuro attraverso una combinazione di funzioni di sicurezza avanzate e audit rigorosi.

Seguiamo le best practice del settore per garantire la resilienza del sistema e guadagnarci la vostra fiducia con i dati sensibili. Grazie a solide politiche di sicurezza, aiutiamo i clienti a rispettare la conformità e ad avere la massima tranquillità. Nozomi Networks investe continuamente in tecnologie avanzate e team qualificati per proteggere i vostri dati e sostenere i più alti standard di sicurezza e privacy.

Sicurezza delle informazioni

Sicurezza organizzativa

Nozomi Networks si impegna a sviluppare, fornire e gestire soluzioni cybersecurity e visibilità per i sistemi di controllo industriale con il massimo livello raggiungibile di sicurezza, integrità e disponibilità. E a proteggere le informazioni aziendali, le informazioni personali e i dati dei clienti da perdite, accessi non autorizzati e divulgazioni.

Per raggiungere questo obiettivo, Nozomi Networks ha implementato un Sistema di Gestione della Sicurezza delle Informazioni (ISMS):

  • Sviluppo e fornitura di prodotti e servizi altamente sicuri ai clienti e ai partner di Nozomi Networks. 
  • Protezione delle informazioni sui clienti. 
  • Protezione del patrimonio informativo di Nozomi Networks. 
  • Mantenere una cultura di competenza, responsabilità e consapevolezza della sicurezza. 

Sicurezza del personale

Nozomi Networks pone una forte enfasi sulla sicurezza del personale per garantire la protezione del proprio patrimonio informativo.

Politiche

L'azienda ha sviluppato una serie completa di politiche di sicurezza che coprono un'ampia gamma di argomenti. Queste politiche sono condivise e rese disponibili a tutti i dipendenti e collaboratori che hanno accesso alle risorse informative di Nozomi Networks.

Formazione e sensibilizzazione

Uno dei componenti chiave della sicurezza del personale di Nozomi Networks è il programma di formazione sulla sicurezza. Tutti i dipendenti sono tenuti a partecipare a questa formazione al momento dell'assunzione e successivamente ogni anno. Inoltre, il team di sicurezza fornisce regolarmente aggiornamenti sulla sicurezza attraverso vari canali.

Controlli dei precedenti

La verifica dei dipendenti è un altro aspetto critico delle pratiche di sicurezza del personale di Nozomi Networks. L'azienda esegue controlli su tutti i nuovi dipendenti in conformità alle leggi locali. Questi controlli sono richiesti anche per gli appaltatori e comprendono verifiche penali, di istruzione e di impiego.

Accordi di non divulgazione (NDA)

Tutti i nuovi assunti sono tenuti a firmare accordi di non divulgazione e riservatezza per proteggere le informazioni sensibili.

Processi di onboarding e offboarding

Nozomi Networks ha requisiti rigorosi di onboarding e offboarding per garantire l'accesso appropriato (e la revoca) alle risorse informative.

Sicurezza aziendale

Nozomi Networks si impegna a garantire il massimo livello di sicurezza informatica aziendale. Ecco come affrontiamo i vari aspetti della sicurezza informatica:

Sicurezza Endpoint

Agli endpoint collegati ai sistemi di Nozomi Networks vengono applicati controlli rigorosi, soprattutto quelli che hanno accesso a informazioni sensibili. Si tratta di una parte integrante del quadro generale della sicurezza informatica.

Monitoraggio e registrazione

Il monitoraggio continuo registra tutti gli accessi al database e invia i log a un sistema centralizzato. L'accesso amministrativo, l'uso di comandi privilegiati e altre attività di accesso vengono registrate e conservate. Le informazioni di registro sono protette da manomissioni e accessi non autorizzati.

Protezione da malware

I server e i dispositivi endpoint , come laptop e desktop, sono protetti e monitorati da malware, codici maligni e applicazioni non sicure grazie alla distribuzione di una serie di strumenti di protezione.

Sicurezza fisica

L'accesso agli uffici, alle sale computer e alle aree di lavoro contenenti informazioni sensibili è fisicamente limitato al solo personale autorizzato. I dipendenti utilizzano tessere di accesso per entrare negli uffici e tengono un registro dei visitatori. Sono presenti telecamere di sorveglianza e misure di sicurezza per monitorare gli edifici. Vengono condotti controlli sulla sicurezza fisica.

Policies Summary

At Nozomi Networks, transparency is a foundational principle that guides our approach to cybersecurity and governance. We are committed to upholding the strictest information security requirements, ensuring that our systems, data, and operations remain resilient and trustworthy. Our policies are not just guidelines—they are enforceable standards that apply to every employee, reinforcing a culture of accountability and vigilance. This document provides a high-level summary of our core information security policies, outlining the frameworks and expectations that safeguard our organization and the clients we serve.

Acceptable Use of Technology

The Acceptable Use of Technology Policy outlines the guidelines for using technology resources at Nozomi Networks. It emphasizes responsible and diligent conduct to protect company assets from loss, compromise, or harm. The policy covers various aspects such as data management, use of email, computers, software installations, mobile phones, internet access, public Wi-Fi, VPN, communication services, phishing/scam emails, Dropbox, removable media, accounts and secrets, passwords, cloud services, and generational AI models. Non-compliance with the policy may lead to disciplinary actions, including termination of employment.

Controllo degli accessi

The Access Control Policy establishes requirements for authentication, authorization, and accounting (AAA) to ensure the security of Nozomi’s assets and information processing facilities. It mandates that access is limited to authorized personnel only, based on the principles of least privilege and need-to-know. The policy covers user access management, system and application, access control, and access to networks and hosted services. It also includes provisions for audit controls, user registration and de-registration, privileged access rights management, and periodic reviews of access rights. The policy applies to all Nozomi employees, contractors, and anyone with access to Nozomi’s resources and network.

AI Policy

The AI Policy document outlines guidelines for the development, implementation, use, and monitoring of AI and machine learning (ML) technologies within Nozomi Networks. It emphasizes responsible and ethical AI/ML system development, ensuring compliance with regulatory standards like the EU AI Act. The policy covers all AI/ML systems embedded in Nozomi Networks’ software and services, as well as third-party AI tools used within the organization. Key principles include fairness, transparency, data privacy, and security. The policy applies to all employees, contractors, and third-party vendors, aiming to enable innovation while adhering to legal and regulatory requirements.

Business Continuity Policy

The Business Continuity Policy outlines the framework and requirements for Nozomi Networks’ Business Continuity Plan (BCP), ensuring consistent availability and delivery for products, operations, and services, while maintaining the safety of personnel during disasters or disruptions. The policy emphasizes leadership commitment, roles and responsibilities, risk assessment, communications plan, continuity and recovery objectives, disaster recovery plan, functional business continuity plan, exercise and testing, performance evaluation, continual improvement, and adherence to legal and contractual obligations.

Change Management Policy

The Change Management Policy outlines the responsibilities and procedures for managing changes to Nozomi Networks’ information assets, including physical and virtual network devices, software products, internal information systems, and customer-deployed applications. It emphasizes the importance of identifying, tracking, planning testing, and approving changes while assessing potential risks and communicating details to relevant stakeholders. The policy also includes fallback procedures for aborting and recovering from unsuccessful changes and mandates that all exceptions involving security reviewed and approved by the appropriate manager. This policy applies to all employees and contractors involved with the development, management, and support of these assets.

Data Handling Policy

The data handling policy outlines the guidelines for managing and protecting data at Nozomi Networks. It covers data classification, disposal, and retention, ensuring that all data, whether stored physically or virtually, is handled securely. The policy mandates encryption for sensitive data, regular audits, and proper labeling. It also specifies the retention periods for different types of data and the secure disposal of records and storage media. The policy applies to all Nozomi Networks employees and contractors, emphasizing the importance of protecting data to prevent unauthorized access or breaches.

Encryption Policy

The Encryption Policy outlines the cryptographic controls and key management practices for protecting sensitive information at Nozomi Networks. It mandates the use of state-of-the-art cryptographic solutions for data-at-rest and in transit, based on international standards like NIST SP 800-131a and approved algorithms such as AES for confidentiality and SHA-256 for integrity. The policy covers various types of information, including customer data, PII, passwords, intellectual property, and compliance records. It also specifies that encryption mechanisms must meet regulatory and legal requirements and be approved by IT or the CTO.

Human Resources Security Policy

The Human Resources Security Policy outlines the procedures and guidelines for managing the hiring, training, and termination of employees and contractors at Nozomi Networks. It includes background verification checks, contractual agreements, and mandatory information security training for all staff members. The policy also details the responsibilities of employees, managers, compliance, and IT in ensuring timely completion of training and enforcing access restrictions for non-compliance. Additionally, it addresses the termination process, including the immediate disabling of access to company information and facilities, and the return of company property. The policy is classified and confidential.

Information Security Policy

The Information Security Policy outlines Nozomi Networks’ commitment to developing, delivering, and operating cybersecurity and visibility solutions for industrial control systems with the highest level of security, integrity, and availability. The policy aims to protect corporate information, personal information, and customer data against loss, unauthorized access, and disclosure. To achieve this, Nozomi Networks has implemented an Information Security Management System (ISMS) according to the ISO 27001:2022 standard. The ISMS includes applicable policies, processes, and measurable controls relevant to business functions, and it takes input from customer requirements, contractual agreements, and the needs of interested parties. The policy emphasizes leadership commitment, periodic risk assessments, and continual improvement to maintain stakeholder trust and support business objectives.

Office Management Procedure

The Office Management Procedure document outlines the requirements for guest access, badge issuance, and access control to the computer room at Nozomi Networks. It specifies that all guests must report to the Office Manager upon arrival, and their visit details are recorded in a visitor log. The Office Manager is responsible for managing access to the offices and issuing badge access cards to employees and multi-day visitors. The IT Manager controls physical access to the computer room, ensuring that only authorized personnel are allowed entry. The document also includes references to the Office Security – Badge Issuance procedure and emphasizes the importance of maintaining a secure access control system.

Operations Security Policy

The Operations Security Policy outlines the measures to ensure the security, availability, and integrity of Nozomi Networks’ information assets. It covers control of critical systems, system environment control, monitoring and logging, backup and recovery, vulnerability management, and secure configuration. The policy mandates that all personnel involved with system operations adhere to documented procedures for changes, software installations, and patching. It also emphasizes the importance of segregating operational environments, enabling logging and monitoring functions, regular backups, vulnerability assessments, and implementing robust access control and network security measures. The policy is applicable to all employees and contractors.

Physical Security Policy

The Physical Security Policy ensures the physical of all Nozomi Networks offices and information processing centers. It covers designated restricted areas, physical access records, access control, equipment control, visitor control, clear desk policy, and incident management. The policy mandates that access controls are implemented and maintained, access records are kept, equipment is safeguarded, visitors are escorted, and incidents are promptly investigated and resolved. The policy is applicable to all Nozomi Networks employees and contractors.

Informativa sulla privacy

The Privacy Policy outlines Nozomi Networks’ commitment to protecting personal information and ensuring compliance with relevant privacy laws. It covers the collection, use, and safeguarding of personal data, emphasizing principles such as data quality, purpose specification, use limitation, security safeguards, openness, individual participation, and accountability. The policy also details the rights of individuals, including the right to be informed, access, rectification, erasure, restriction of processing, data portability, objection, and rights related to automation decision-making and profiling. Overall, the policy aims to maintain transparency and build trust with stakeholders by adhering to internationally recognized standards for data protection privacy.

Quality Policy

The Quality Policy of Nozomi Networks aims to establish the company as a global leader in providing advanced solutions for protecting operational technology (OT) and industrial control systems (ICS) from cyber threats. To achieve this, Nozomi Networks has implemented a Quality Management System (QMS) in accordance with ISO 9001:2015 standards. This system ensures that processes are managed to meet the requirements of customers and stakeholders, regardless of the company’s size and footprint. All employees and contractors are responsible for adhering to the QMS and applicable laws and regulations. The company is committed to continuous improvement by setting objectives, verifying results, and applying corrective actions when necessary.

Security Incident Management Policy

The Security Incident Management Policy outlines the procedures for handling information security incidents at Nozomi Networks. It applies to all employees, contractors, systems, products, services, and any information managed by the company. The policy emphasizes the responsibility of employees and contractors to protect confidential information, report cyber threats, and participate in containment efforts. Incident management involves detections, containment, investigation, eradication, recovery, and lessons learned. The response to incidents follows documented procedures and reporting methods adhering to the NIST 800-61 standard. Confidentiality is maintained throughout the process, with senior management authorized to disclose specific information to third parties.

System Development, Acquisition, and Maintenance Policy

The System Development, Acquisition, and Maintenance Policy outlines the procedures and standards for developing, acquiring, and maintaining systems, software, and application services at Nozomi Networks. It emphasizes the inclusion of information security requirements throughout the planning, development, and deployment phases of new products, services, or systems. The policy mandates a formal development methodology aligned with industry standards such as ITIL, DevOps, and Agile, and includes phases like requirements gathering, system design, implementation, testing, deployment, operation, and maintenance. Additionally, it covers the end-of-life process for IT applications and the criteria for system acquisition, ensuring security and compliance with regulations and industry standards.

Teleworking Policy

The Teleworking Policy outlines the guidelines for employees and contractors who work from locations other than a designated Nozomi Networks office. It covers eligibility criteria, types of telework arrangements, readiness evaluation, teleworking guidelines, equipment provisions, security measures, and workers’ compensation insurance. The policy emphasizes the importance of maintaining a secure and distraction-free work environment, protecting company assets and information, and adhering to specific security protocols. It also specifies that teleworking employees are covered by workers’ compensation insurance for job-related injuries.

Controllo degli accessi

Nozomi Networks garantisce che agli utenti sia concesso l'accesso solo alla rete, ai sistemi, alle applicazioni e ai servizi di rete che sono stati specificamente autorizzati a utilizzare. L'accesso al sistema viene controllato, registrato e verificato per mantenere la sicurezza e la conformità.

Per ridurre ulteriormente il rischio di accesso non autorizzato ai dati, il modello di controllo degli accessi di Nozomi Networks si basa sul controllo degli accessi basato sui ruoli (RBAC) per creare una separazione dei compiti. I principi del minor privilegio sono rigorosamente applicati.

Nozomi Networks impiega l'autenticazione a più fattori (MFA) per tutti gli accessi ai sistemi contenenti dati dei clienti. Tutti i dipendenti sono tenuti a utilizzare un gestore di password approvato. Questi gestori di password generano, memorizzano e inseriscono password uniche e complesse per prevenire il riutilizzo delle password, il phishing e altri rischi legati alle password. Per gestire l'accesso a questi account viene utilizzato uno strumento di autenticazione.

Gestione della catena di approvvigionamento

Nozomi Networks si impegna a mantenere una catena di fornitura sicura e affidabile, monitorando e valutando costantemente tutti i subelaboratori di dati. Utilizziamo una serie di parametri per valutare ed esaminare le prestazioni e la conformità dei nostri subelaboratori.

Nell'ambito delle nostre attività, Nozomi Networks collabora solo con subprocessori terzi certificati. Ogni fornitore viene valutato in modo approfondito attraverso il nostro programma di gestione dei rischi delle terze parti, per garantire che sia conforme alle normative obbligatorie sulla privacy e che aderisca alle migliori pratiche in materia di sicurezza. Il team GRC conduce una due diligence per valutare le pratiche di privacy, sicurezza e riservatezza di ciascun fornitore. Questo processo include la stipula di un accordo di non divulgazione per implementare gli obblighi applicabili.

Per garantire la conformità e la sicurezza, tutti i fornitori critici vengono controllati annualmente. Utilizziamo inoltre una piattaforma di gestione dei fornitori come archivio centrale di informazioni, che ci consente di gestire e monitorare in modo efficiente la nostra catena di fornitura. Queste misure ci aiutano a mantenere i più alti standard di sicurezza e affidabilità nelle nostre operazioni.

Gestione del rischio

Nozomi Networks adotta un approccio proattivo alla gestione del rischio per garantire la sicurezza e l'affidabilità dei suoi servizi. Il nostro team conduce regolarmente diverse valutazioni dei rischi sulla struttura aziendale complessiva, sui prodotti, sui nuovi progetti e sulle modifiche proposte. Una volta identificato un rischio, seguiamo un processo completo.

Questo approccio strutturato consente a Nozomi Networks di gestire e mitigare efficacemente i rischi, garantendo i più alti standard di sicurezza per i nostri servizi.

Identificare il rischio

Iniziamo identificando il rischio e comprendendo come si riferisce ai servizi e all'azienda di Nozomi Networks.

Valutare il rischio

Quindi valutiamo o classifichiamo il rischio per ottenere una visione olistica della potenziale esposizione dell'intera organizzazione.

Trattare il rischio

Sulla base della valutazione, trattiamo i rischi secondo il processo di trattamento del rischio appropriato.

Monitoraggio e revisione

Infine, monitoriamo e rivediamo continuamente i rischi per tenere sotto controllo tutti i fattori di rischio.

Crittografia dei dati

Crittografia in transito

Tutte le comunicazioni con l'interfaccia utente e le API di Vantage sono crittografate tramite lo standard industriale HTTPS/TLS (TLS 1.2 o superiore).

Crittografia a riposo

I dati del servizio vengono crittografati a riposo in AWS utilizzando la crittografia con chiave AES-256.

Sicurezza delle applicazioni

Codice sicuro

I processi di progettazione hanno utilizzato i principi del codice sicuro, concentrandosi sui 10 rischi di sicurezza OWASP Top.

Quadro dei controlli di sicurezza

Nozomi Networks utilizza framework open-source moderni e sicuri, con controlli di sicurezza integrati per limitare l'esposizione ai rischi di sicurezza della Top 10 di OWASP. Questi controlli intrinseci aiutano a ridurre il rischio di SQL Injection (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) e altre vulnerabilità.

Ambienti separati

Gli ambienti di test e di staging sono logicamente separati dall'ambiente di produzione. Negli ambienti di sviluppo o di test non vengono utilizzati dati di servizio, mantenendo un ambiente sicuro e controllato a scopo di test.

Gestione delle vulnerabilità

Scansione dinamica delle vulnerabilità

Nozomi Networks utilizza strumenti di sicurezza di terze parti per eseguire una scansione continua e dinamica delle applicazioni principali contro i rischi più comuni per la sicurezza delle applicazioni web, compresi i 10 rischi di sicurezza OWASP Top.

Analisi della composizione del software

Le librerie e le dipendenze utilizzate nei prodotti Nozomi Networks vengono analizzate per identificare e gestire le vulnerabilità, garantendo che tutti i componenti siano sicuri.

Test di penetrazione di terze parti

Oltre agli ampi programmi di scansione e test interni, Nozomi Networks si avvale di esperti di sicurezza di terze parti per eseguire dettagliati test di penetrazione annuali.

Località di hosting dei dati

Nozomi Networks offre ai clienti la flessibilità di scegliere tra più sedi di data center AWS in base alle loro preferenze ed esigenze.

Ciò consente ai clienti di scegliere la sede del datacenter più adatta alle loro esigenze, garantendo prestazioni ottimali, conformità e sovranità dei dati. Offrendo una gamma di opzioni, Nozomi Networks consente ai clienti di prendere decisioni informate sulla sede in cui i loro dati vengono archiviati ed elaborati, migliorando la sicurezza e l'affidabilità complessive.

Privacy dei dati

Il nostro impegno per la privacy

Le nostre pratiche in materia di privacy sono concepite per proteggere le informazioni personali in tutti gli aspetti delle nostre attività. Ciò include i dati relativi a dipendenti, candidati, fornitori, partner, visitatori del sito web, clienti e pagatori. Raccogliamo informazioni personali solo per scopi specifici, espliciti e legittimi, assicurandoci che i dati siano accurati, completi e aggiornati. Implementiamo solide misure tecniche e organizzative per salvaguardare le informazioni personali da accessi non autorizzati, divulgazione, alterazione o distruzione. Vengono condotte verifiche e revisioni periodiche per mantenere la qualità e l'integrità dei dati.

Trasparenza e diritti individuali

La trasparenza è un valore fondamentale per Nozomi Networks. Forniamo alle persone informazioni chiare e accessibili su come vengono raccolte, utilizzate e protette le loro informazioni personali. La nostra politica sulla privacy e gli avvisi sono prontamente disponibili sul nostro sito web e su altre piattaforme pertinenti. Inoltre, mettiamo le persone in condizione di esercitare i propri diritti ai sensi delle leggi sulla privacy, tra cui il diritto di accedere, correggere, cancellare e limitare il trattamento dei propri dati personali. Il nostro impegno per la trasparenza garantisce che i nostri clienti possano affidarci le loro informazioni più sensibili.

Aderendo a questi principi e migliorando continuamente le nostre pratiche in materia di privacy, Nozomi Networks si impegna a salvaguardare le informazioni personali e a garantire il rispetto dei più elevati standard di protezione dei dati.

Governance dell'IA

Governance dell'IA

Nozomi Networks si impegna a sviluppare, implementare e utilizzare in modo responsabile ed etico l'intelligenza artificiale (AI) e le tecnologie di apprendimento automatico (ML). La nostra Politica sull'intelligenza artificiale fornisce linee guida complete per garantire che i nostri sistemi di intelligenza artificiale/ML siano sviluppati e distribuiti in conformità con gli standard normativi, compresa la legge europea sull'intelligenza artificiale. Il nostro Programma si applica a tutti i sistemi AI/ML integrati nel nostro software e nei nostri servizi, nonché a tutti gli strumenti AI di terzi utilizzati all'interno dell'organizzazione.

Il nostro approccio è in linea con i nostri obiettivi di favorire l'innovazione, garantire una condotta responsabile e mantenere la trasparenza e l'aderenza ai requisiti di conformità legale e normativa.

Governance e responsabilità

Nozomi Networks ha creato una solida struttura di governance per supervisionare le nostre iniziative di IA. Abbiamo definito ruoli e responsabilità per la supervisione dei requisiti della politica sull'IA, coinvolgendo la leadership ingegneristica, la conformità, i dipartimenti legali e IT. Sono stati istituiti comitati o commissioni di revisione per valutare le iniziative di IA, assicurando che tutti i progetti di IA siano sottoposti a valutazioni approfondite dei rischi e siano conformi alle normative in evoluzione. Come ad esempio la legge europea sull'IA.

Il nostro impegno per la governance e la responsabilità garantisce che i nostri sistemi di IA operino in modo equo, sicuro ed etico, rafforzando la nostra dedizione a mantenere la fiducia dei nostri stakeholder.

Garanzia

Garanzia

01
ISO 27001

Nozomi Networks è certificata ISO 27001:2022. Scaricate qui una copia del certificato.

02
SOC 2 Tipo II

Siamo sottoposti a verifiche annuali complete in base ai principi di sicurezza, disponibilità e riservatezza. I rapporti SOC 2 di tipo II sono disponibili sotto NDA. Per richiedere il rapporto più recente, contattare il rappresentante commerciale di Nozomi Networks .

03
SOC 3

Scaricate qui una copia del rapporto SOC 3 per saperne di più sulle nostre pratiche di sicurezza.

04
ISO 9001

Nozomi Networks è certificata ISO 9001:2015. Scaricate qui una copia del certificato.

LIBRO BIANCO

Protezione dei dati dei clienti: Vantage SaaS Multi-tenancy

Questo white paper fornisce una panoramica dell'architettura di sicurezza dei dati Vantage , sottolineando l'importanza della protezione dei dati per i clienti.

Scaricare
LIBRO BIANCO

Misure di sicurezza per Nozomi Networks Vantage

Questo white paper illustra il quadro di sicurezza, l'architettura, i controlli e le procedure operative progettati per proteggere Nozomi Networks Vantage, una piattaforma cloud ospitata su Amazon Web Services (AWS).

Scaricare
LIBRO BIANCO

Valutazione della conformità della funzionalità di clustering di Vantage IQ nel contesto della legge UE sull'IA

Questo white paper presenta i risultati di una recente verifica della funzionalità di clustering basata sull'intelligenza artificiale integrata nella piattaforma Vantage IQ di Nozomi Networks.

Scaricare

Fai il prossimo passo

Scoprite quanto sia facile identificare e rispondere alle minacce informatiche automatizzando la scoperta, l'inventario e la gestione delle risorse OT e IoT .