Centro de Confiança da Nozomi Networks

Bem-vindo ao Nozomi Networks Trust Center, sua porta de entrada para entender as medidas de segurança robustas que adotamos para proteger nossos sistemas e seus dados. Na Nozomi Networks, priorizamos a segurança e a privacidade das informações de nossos clientes, garantindo que nossas práticas atendam aos mais altos padrões do setor.

Nossa equipe de governança, risco e conformidade dedica-se a manter um ambiente seguro por meio de uma combinação de recursos avançados de segurança e auditorias rigorosas.

Seguimos as práticas recomendadas do setor para garantir a resiliência do sistema e ganhar sua confiança com dados confidenciais. Por meio de políticas de segurança sólidas, ajudamos os clientes a cumprir a conformidade e a ter tranquilidade. Nozomi Networks investe continuamente em tecnologia avançada e equipes qualificadas para proteger seus dados e manter os mais altos padrões de segurança e privacidade.

Segurança da informação

Segurança organizacional

Nozomi Networks tem o compromisso de desenvolver, fornecer e operar soluções de visibilidade e segurança cibernética para sistemas de controle industrial com o mais alto nível possível de segurança, integridade e disponibilidade. E proteger informações corporativas, informações pessoais e dados de clientes contra perda, acesso não autorizado e divulgação.

Para atingir esse objetivo, Nozomi Networks implementou um Sistema de Gerenciamento de Segurança da Informação (ISMS):

  • Desenvolvimento e fornecimento de produtos e serviços altamente seguros para os clientes e parceiros da Nozomi Networks. 
  • Proteção das informações do cliente. 
  • Proteção dos ativos de informação da Nozomi Networks. 
  • Manutenção de uma cultura de competência, responsabilidade e conscientização sobre segurança. 

Segurança de pessoal

Nozomi Networks dá grande ênfase à segurança do pessoal para garantir a proteção de seus ativos de informação.

Políticas

A empresa desenvolveu um conjunto abrangente de políticas de segurança que cobrem uma ampla gama de tópicos. Essas políticas são compartilhadas e disponibilizadas a todos os funcionários e contratados que têm acesso aos ativos de informação da Nozomi Networks.

Treinamento e conscientização

Um dos principais componentes da segurança da equipe da Nozomi Networks é o programa de treinamento de conscientização de segurança. Todos os funcionários são obrigados a participar desse treinamento no momento da contratação e, depois disso, anualmente. Além disso, a equipe de segurança fornece atualizações regulares de conscientização de segurança por meio de vários canais.

Verificações de antecedentes

A verificação de funcionários é outro aspecto crítico das práticas de segurança de pessoal da Nozomi Networks. A empresa realiza verificações de antecedentes de todos os novos funcionários de acordo com as leis locais. Essas verificações também são necessárias para os contratados e incluem verificação criminal, educacional e de emprego.

Acordos de não divulgação (NDAs)

Todos os novos contratados devem assinar acordos de confidencialidade e não divulgação para proteger informações confidenciais.

Processos de integração e desligamento

Nozomi Networks tem requisitos rigorosos de integração e desligamento para garantir o acesso adequado (e a revogação) aos ativos de informações.

Segurança corporativa

Nozomi Networks tem o compromisso de garantir o mais alto nível de segurança de TI corporativa. Veja a seguir como abordamos vários aspectos da segurança de TI:

Segurança de endpoint

Controles rigorosos são aplicados aos endpoints conectados aos sistemas da Nozomi Networks, especialmente aqueles com acesso a informações confidenciais. Essa é uma parte integrante da estrutura geral de segurança de TI.

Monitoramento e registro

O monitoramento contínuo registra todos os acessos ao banco de dados e envia os registros para um sistema centralizado. O acesso administrativo, o uso de comandos privilegiados e outras atividades de acesso são registrados e mantidos. As informações de registro são protegidas contra adulteração e acesso não autorizado.

Proteção contra malware

Servidores e dispositivos de endpoint, como laptops e desktops, são protegidos e monitorados contra malware, códigos maliciosos e aplicativos inseguros por meio da implementação de um conjunto de ferramentas de proteção.

Segurança física

O acesso a escritórios, salas de computadores e áreas de trabalho que contêm informações confidenciais é fisicamente restrito apenas ao pessoal autorizado. Os funcionários usam cartões de acesso para entrar nos escritórios e mantêm um registro de visitantes. Existem câmeras de vigilância e medidas de segurança para monitorar os edifícios. São realizadas auditorias de segurança física.

Policies Summary

At Nozomi Networks, transparency is a foundational principle that guides our approach to cybersecurity and governance. We are committed to upholding the strictest information security requirements, ensuring that our systems, data, and operations remain resilient and trustworthy. Our policies are not just guidelines—they are enforceable standards that apply to every employee, reinforcing a culture of accountability and vigilance. This document provides a high-level summary of our core information security policies, outlining the frameworks and expectations that safeguard our organization and the clients we serve.

Acceptable Use of Technology

The Acceptable Use of Technology Policy outlines the guidelines for using technology resources at Nozomi Networks. It emphasizes responsible and diligent conduct to protect company assets from loss, compromise, or harm. The policy covers various aspects such as data management, use of email, computers, software installations, mobile phones, internet access, public Wi-Fi, VPN, communication services, phishing/scam emails, Dropbox, removable media, accounts and secrets, passwords, cloud services, and generational AI models. Non-compliance with the policy may lead to disciplinary actions, including termination of employment.

Controle de acesso

The Access Control Policy establishes requirements for authentication, authorization, and accounting (AAA) to ensure the security of Nozomi’s assets and information processing facilities. It mandates that access is limited to authorized personnel only, based on the principles of least privilege and need-to-know. The policy covers user access management, system and application, access control, and access to networks and hosted services. It also includes provisions for audit controls, user registration and de-registration, privileged access rights management, and periodic reviews of access rights. The policy applies to all Nozomi employees, contractors, and anyone with access to Nozomi’s resources and network.

AI Policy

The AI Policy document outlines guidelines for the development, implementation, use, and monitoring of AI and machine learning (ML) technologies within Nozomi Networks. It emphasizes responsible and ethical AI/ML system development, ensuring compliance with regulatory standards like the EU AI Act. The policy covers all AI/ML systems embedded in Nozomi Networks’ software and services, as well as third-party AI tools used within the organization. Key principles include fairness, transparency, data privacy, and security. The policy applies to all employees, contractors, and third-party vendors, aiming to enable innovation while adhering to legal and regulatory requirements.

Business Continuity Policy

The Business Continuity Policy outlines the framework and requirements for Nozomi Networks’ Business Continuity Plan (BCP), ensuring consistent availability and delivery for products, operations, and services, while maintaining the safety of personnel during disasters or disruptions. The policy emphasizes leadership commitment, roles and responsibilities, risk assessment, communications plan, continuity and recovery objectives, disaster recovery plan, functional business continuity plan, exercise and testing, performance evaluation, continual improvement, and adherence to legal and contractual obligations.

Change Management Policy

The Change Management Policy outlines the responsibilities and procedures for managing changes to Nozomi Networks’ information assets, including physical and virtual network devices, software products, internal information systems, and customer-deployed applications. It emphasizes the importance of identifying, tracking, planning testing, and approving changes while assessing potential risks and communicating details to relevant stakeholders. The policy also includes fallback procedures for aborting and recovering from unsuccessful changes and mandates that all exceptions involving security reviewed and approved by the appropriate manager. This policy applies to all employees and contractors involved with the development, management, and support of these assets.

Data Handling Policy

The data handling policy outlines the guidelines for managing and protecting data at Nozomi Networks. It covers data classification, disposal, and retention, ensuring that all data, whether stored physically or virtually, is handled securely. The policy mandates encryption for sensitive data, regular audits, and proper labeling. It also specifies the retention periods for different types of data and the secure disposal of records and storage media. The policy applies to all Nozomi Networks employees and contractors, emphasizing the importance of protecting data to prevent unauthorized access or breaches.

Encryption Policy

The Encryption Policy outlines the cryptographic controls and key management practices for protecting sensitive information at Nozomi Networks. It mandates the use of state-of-the-art cryptographic solutions for data-at-rest and in transit, based on international standards like NIST SP 800-131a and approved algorithms such as AES for confidentiality and SHA-256 for integrity. The policy covers various types of information, including customer data, PII, passwords, intellectual property, and compliance records. It also specifies that encryption mechanisms must meet regulatory and legal requirements and be approved by IT or the CTO.

Human Resources Security Policy

The Human Resources Security Policy outlines the procedures and guidelines for managing the hiring, training, and termination of employees and contractors at Nozomi Networks. It includes background verification checks, contractual agreements, and mandatory information security training for all staff members. The policy also details the responsibilities of employees, managers, compliance, and IT in ensuring timely completion of training and enforcing access restrictions for non-compliance. Additionally, it addresses the termination process, including the immediate disabling of access to company information and facilities, and the return of company property. The policy is classified and confidential.

Information Security Policy

The Information Security Policy outlines Nozomi Networks’ commitment to developing, delivering, and operating cybersecurity and visibility solutions for industrial control systems with the highest level of security, integrity, and availability. The policy aims to protect corporate information, personal information, and customer data against loss, unauthorized access, and disclosure. To achieve this, Nozomi Networks has implemented an Information Security Management System (ISMS) according to the ISO 27001:2022 standard. The ISMS includes applicable policies, processes, and measurable controls relevant to business functions, and it takes input from customer requirements, contractual agreements, and the needs of interested parties. The policy emphasizes leadership commitment, periodic risk assessments, and continual improvement to maintain stakeholder trust and support business objectives.

Office Management Procedure

The Office Management Procedure document outlines the requirements for guest access, badge issuance, and access control to the computer room at Nozomi Networks. It specifies that all guests must report to the Office Manager upon arrival, and their visit details are recorded in a visitor log. The Office Manager is responsible for managing access to the offices and issuing badge access cards to employees and multi-day visitors. The IT Manager controls physical access to the computer room, ensuring that only authorized personnel are allowed entry. The document also includes references to the Office Security – Badge Issuance procedure and emphasizes the importance of maintaining a secure access control system.

Operations Security Policy

The Operations Security Policy outlines the measures to ensure the security, availability, and integrity of Nozomi Networks’ information assets. It covers control of critical systems, system environment control, monitoring and logging, backup and recovery, vulnerability management, and secure configuration. The policy mandates that all personnel involved with system operations adhere to documented procedures for changes, software installations, and patching. It also emphasizes the importance of segregating operational environments, enabling logging and monitoring functions, regular backups, vulnerability assessments, and implementing robust access control and network security measures. The policy is applicable to all employees and contractors.

Physical Security Policy

The Physical Security Policy ensures the physical of all Nozomi Networks offices and information processing centers. It covers designated restricted areas, physical access records, access control, equipment control, visitor control, clear desk policy, and incident management. The policy mandates that access controls are implemented and maintained, access records are kept, equipment is safeguarded, visitors are escorted, and incidents are promptly investigated and resolved. The policy is applicable to all Nozomi Networks employees and contractors.

Política de privacidade

The Privacy Policy outlines Nozomi Networks’ commitment to protecting personal information and ensuring compliance with relevant privacy laws. It covers the collection, use, and safeguarding of personal data, emphasizing principles such as data quality, purpose specification, use limitation, security safeguards, openness, individual participation, and accountability. The policy also details the rights of individuals, including the right to be informed, access, rectification, erasure, restriction of processing, data portability, objection, and rights related to automation decision-making and profiling. Overall, the policy aims to maintain transparency and build trust with stakeholders by adhering to internationally recognized standards for data protection privacy.

Quality Policy

The Quality Policy of Nozomi Networks aims to establish the company as a global leader in providing advanced solutions for protecting operational technology (OT) and industrial control systems (ICS) from cyber threats. To achieve this, Nozomi Networks has implemented a Quality Management System (QMS) in accordance with ISO 9001:2015 standards. This system ensures that processes are managed to meet the requirements of customers and stakeholders, regardless of the company’s size and footprint. All employees and contractors are responsible for adhering to the QMS and applicable laws and regulations. The company is committed to continuous improvement by setting objectives, verifying results, and applying corrective actions when necessary.

Security Incident Management Policy

The Security Incident Management Policy outlines the procedures for handling information security incidents at Nozomi Networks. It applies to all employees, contractors, systems, products, services, and any information managed by the company. The policy emphasizes the responsibility of employees and contractors to protect confidential information, report cyber threats, and participate in containment efforts. Incident management involves detections, containment, investigation, eradication, recovery, and lessons learned. The response to incidents follows documented procedures and reporting methods adhering to the NIST 800-61 standard. Confidentiality is maintained throughout the process, with senior management authorized to disclose specific information to third parties.

System Development, Acquisition, and Maintenance Policy

The System Development, Acquisition, and Maintenance Policy outlines the procedures and standards for developing, acquiring, and maintaining systems, software, and application services at Nozomi Networks. It emphasizes the inclusion of information security requirements throughout the planning, development, and deployment phases of new products, services, or systems. The policy mandates a formal development methodology aligned with industry standards such as ITIL, DevOps, and Agile, and includes phases like requirements gathering, system design, implementation, testing, deployment, operation, and maintenance. Additionally, it covers the end-of-life process for IT applications and the criteria for system acquisition, ensuring security and compliance with regulations and industry standards.

Teleworking Policy

The Teleworking Policy outlines the guidelines for employees and contractors who work from locations other than a designated Nozomi Networks office. It covers eligibility criteria, types of telework arrangements, readiness evaluation, teleworking guidelines, equipment provisions, security measures, and workers’ compensation insurance. The policy emphasizes the importance of maintaining a secure and distraction-free work environment, protecting company assets and information, and adhering to specific security protocols. It also specifies that teleworking employees are covered by workers’ compensation insurance for job-related injuries.

Controle de acesso

Nozomi Networks garante que os usuários só tenham acesso à rede, aos sistemas, aos aplicativos e aos serviços de rede que tenham sido especificamente autorizados a usar. O acesso ao sistema é auditado, registrado e verificado para manter a segurança e a conformidade.

Para reduzir ainda mais o risco de acesso não autorizado aos dados, o modelo de controle de acesso da Nozomi Networks baseia-se no controle de acesso baseado em funções (RBAC) para criar uma separação de tarefas. Os princípios do menor privilégio são rigorosamente aplicados.

Nozomi Networks emprega autenticação multifator (MFA) para todos os acessos a sistemas que contêm dados de clientes. Todos os funcionários são obrigados a usar um gerenciador de senhas aprovado. Esses gerenciadores de senhas geram, armazenam e inserem senhas exclusivas e complexas para evitar a reutilização de senhas, phishing e outros riscos relacionados a senhas. Uma ferramenta de autenticação é usada para gerenciar o acesso a essas contas.

Gerenciamento da cadeia de suprimentos

Nozomi Networks se dedica a manter uma cadeia de suprimentos segura e confiável, monitorando e avaliando continuamente todos os subprocessadores de dados. Usamos uma variedade de métricas para avaliar e revisar o desempenho e a conformidade de nossos subprocessadores.

Como parte de nossas operações, Nozomi Networks só faz parceria com subprocessadores terceirizados certificados. Cada fornecedor é avaliado minuciosamente por meio do nosso Programa de Gerenciamento de Riscos de Terceiros para garantir que ele cumpra as regulamentações obrigatórias de privacidade e adote as melhores práticas de segurança. A equipe de GRC realiza a devida diligência para avaliar as práticas de privacidade, segurança e confidencialidade de cada fornecedor. Esse processo inclui a execução de um contrato de não divulgação para implementar as obrigações aplicáveis.

Para garantir a conformidade e a segurança contínuas, todos os fornecedores essenciais são auditados anualmente. Também utilizamos uma plataforma de gerenciamento de fornecedores como um repositório central de informações, o que nos permite gerenciar e monitorar com eficiência nossa cadeia de suprimentos. Essas medidas nos ajudam a manter os mais altos padrões de segurança e confiabilidade em nossas operações.

Gerenciamento de riscos

Nozomi Networks adota uma abordagem proativa em relação ao gerenciamento de riscos para garantir a segurança e a confiabilidade de seus serviços. Nossa equipe realiza regularmente várias avaliações de risco sobre a estrutura corporativa geral, produtos, novos projetos e mudanças propostas. Quando um risco é identificado, seguimos um processo abrangente.

Essa abordagem estruturada permite que Nozomi Networks gerencie e reduza os riscos de forma eficaz, garantindo os mais altos padrões de segurança para nossos serviços.

Identificar o risco

Começamos identificando o risco e entendendo como ele se relaciona com os serviços e a empresa da Nozomi Networks.

Avaliar o risco

Em seguida, avaliamos ou classificamos o risco para obter uma visão holística da possível exposição de toda a organização.

Tratar o risco

Com base na avaliação, tratamos os riscos de acordo com o processo adequado de tratamento de riscos.

Monitoramento e revisão

Por fim, monitoramos e analisamos continuamente os riscos para acompanhar de perto todos os fatores de risco.

Criptografia de dados

Criptografia em trânsito

Todas as comunicações com o Vantage UI e as APIs são criptografadas por meio de HTTPS/TLS padrão do setor (TLS 1.2 ou superior).

Criptografia em repouso

Os dados do serviço são criptografados em repouso no AWS usando criptografia de chave AES-256.

Segurança de aplicativos

Código seguro

Os processos de engenharia usaram princípios de código seguro, com foco nos 10 principais riscos de segurança da OWASP.

Controles de segurança da estrutura

Nozomi Networks utiliza estruturas de código aberto modernas e seguras com controles de segurança integrados para limitar a exposição aos 10 principais riscos de segurança da OWASP. Esses controles inerentes ajudam a reduzir o risco de injeção de SQL (SQLi), XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery) e outras vulnerabilidades.

Ambientes separados

Os ambientes de teste e preparação são logicamente separados do ambiente de produção. Nenhum dado de serviço é usado em ambientes de desenvolvimento ou teste, mantendo um ambiente seguro e controlado para fins de teste.

Gerenciamento de vulnerabilidades

Varredura dinâmica de vulnerabilidades

Nozomi Networks emprega ferramentas de segurança de terceiros para fazer uma varredura contínua e dinâmica dos principais aplicativos em relação aos riscos comuns de segurança de aplicativos da Web, incluindo os 10 principais riscos de segurança do OWASP.

Análise de composição de software

As bibliotecas e dependências usadas nos produtos da Nozomi Networks são verificadas para identificar e gerenciar vulnerabilidades, garantindo que todos os componentes estejam seguros.

Teste de penetração de terceiros

Além de extensos programas internos de varredura e testes, Nozomi Networks contrata especialistas em segurança terceirizados para realizar testes anuais detalhados de penetração.

Localidade de hospedagem de dados

Nozomi Networks oferece aos clientes a flexibilidade de escolher entre vários locais de data center da AWS com base em suas preferências e requisitos.

Isso permite que os clientes selecionem o local do data center mais adequado às suas necessidades, garantindo o desempenho ideal, a conformidade e a soberania dos dados. Ao oferecer uma variedade de opções, Nozomi Networks permite que os clientes tomem decisões informadas sobre onde seus dados são armazenados e processados, aumentando a segurança e a confiabilidade gerais.

Privacidade de dados

Nosso compromisso com a privacidade

Nossas práticas de privacidade são projetadas para proteger informações pessoais em todos os aspectos de nossas operações. Isso inclui dados relacionados a funcionários, candidatos a emprego, fornecedores, parceiros, visitantes do site, clientes e pagadores. Coletamos informações pessoais somente para fins específicos, explícitos e legítimos, garantindo que os dados sejam precisos, completos e atualizados. Implementamos medidas técnicas e organizacionais robustas para proteger as informações pessoais contra acesso, divulgação, alteração ou destruição não autorizados. Auditorias e revisões regulares são realizadas para manter a qualidade e a integridade dos dados.

Transparência e direitos individuais

A transparência é um valor fundamental da Nozomi Networks. Fornecemos aos indivíduos informações claras e acessíveis sobre como suas informações pessoais são coletadas, usadas e protegidas. Nossa política de privacidade e avisos estão prontamente disponíveis em nosso site e em outras plataformas relevantes. Também capacitamos os indivíduos a exercerem seus direitos de acordo com as leis de privacidade aplicáveis, incluindo o direito de acessar, corrigir, excluir e restringir o processamento de seus dados pessoais. Nosso compromisso com a transparência garante que nossos clientes possam nos confiar suas informações mais confidenciais.

Ao aderir a esses princípios e melhorar continuamente nossas práticas de privacidade, Nozomi Networks tem o compromisso de proteger as informações pessoais e garantir a conformidade com os mais altos padrões de proteção de dados.

Governança de IA

Governança de IA

Na Nozomi Networks, estamos comprometidos com o desenvolvimento, a implementação e o uso responsável e ético de tecnologias de inteligência artificial (IA) e aprendizado de máquina (ML). Nossa Política de IA fornece diretrizes abrangentes para garantir que nossos sistemas de IA/ML sejam desenvolvidos e implantados em conformidade com os padrões regulatórios, incluindo a Lei de IA da UE. Nosso Programa se aplica a todos os sistemas de IA/ML incorporados em nossos softwares e serviços, bem como a quaisquer ferramentas de IA de terceiros usadas na organização.

Nossa abordagem está alinhada com nossos objetivos de possibilitar a inovação, garantir uma conduta responsável e manter a transparência e a adesão aos requisitos de conformidade legal e regulamentar.

Governança e responsabilidade

Nozomi Networks estabeleceu uma estrutura de governança robusta para supervisionar nossas iniciativas de IA. Definimos funções e responsabilidades para a supervisão dos requisitos da política de IA, envolvendo os departamentos de liderança de engenharia, conformidade, jurídico e TI. Conselhos ou comitês de revisão estão em vigor para avaliar as iniciativas de IA, garantindo que todos os projetos de IA passem por avaliações de risco completas e estejam em conformidade com as regulamentações em evolução. Como a Lei de IA da UE.

Nosso compromisso com a governança e a responsabilidade garante que nossos sistemas de IA operem de forma justa, segura e ética, reforçando nossa dedicação em manter a confiança de nossos acionistas.

Garantia

Garantia

01
ISO 27001

Nozomi Networks possui a certificação ISO 27001:2022. Faça o download de uma cópia do certificado aqui.

02
SOC 2 Tipo II

Passamos por auditorias anuais abrangentes de acordo com os princípios de segurança, disponibilidade e confidencialidade. Os relatórios SOC 2 Tipo II estão disponíveis sob NDA. Para solicitar o relatório mais recente, entre em contato com o representante de vendas Nozomi Networks .

03
SOC 3

Faça o download de uma cópia do relatório SOC 3 aqui para saber mais sobre nossas práticas de segurança.

04
ISO 9001

Nozomi Networks possui a certificação ISO 9001:2015. Faça o download de uma cópia do certificado aqui.

LIVRO BRANCO

Proteção dos dados dos clientes: Multitenancy Vantage SaaS

Este white paper apresenta uma visão geral da arquitetura de segurança de dados Vantage , enfatizando a importância da proteção de dados para os clientes.

Baixar
LIVRO BRANCO

Medidas de segurança para oVantage Nozomi Networks

Este white paper descreve a estrutura de segurança, a arquitetura, os controles e os procedimentos operacionais criados para protegerVantage Nozomi Networks , uma plataforma nativa da nuvem hospedada no Amazon Web Services (AWS).

Baixar
LIVRO BRANCO

Avaliação de conformidade da funcionalidade de clustering do Vantage IQ no contexto da Lei de IA da UE

Este white paper apresenta os resultados de uma auditoria recente sobre a funcionalidade de clustering baseada em IA incorporada à plataforma Vantage IQ da Nozomi Networks.

Baixar

Dê o próximo passo.

Descubra como é fácil identificar e responder a ameaças cibernéticas automatizando a descoberta, o inventário e o gerenciamento de ativos OT e IoT .