Centre de confiance de Nozomi Networks

Bienvenue au Centre de Confiance de Nozomi Networks , votre portail pour comprendre les mesures de sécurité robustes que nous avons mises en place pour protéger nos systèmes et vos données. Chez Nozomi Networks, nous donnons la priorité à la sécurité et à la confidentialité des informations de nos clients, en veillant à ce que nos pratiques répondent aux normes les plus élevées de l'industrie.

Notre équipe chargée de la gouvernance, du risque et de la conformité se consacre au maintien d'un environnement sécurisé grâce à une combinaison de dispositifs de sécurité avancés et d'audits rigoureux.

Nous suivons les meilleures pratiques du secteur pour garantir la résilience du système et gagner votre confiance avec des données sensibles. Grâce à des politiques de sécurité solides, nous aidons nos clients à respecter la conformité et à gagner en tranquillité d'esprit. Nozomi Networks investit continuellement dans des technologies de pointe et des équipes qualifiées pour protéger vos données et respecter les normes les plus strictes en matière de sécurité et de confidentialité.

Sécurité de l'information

Sécurité organisationnelle

Nozomi Networks s'engage à développer, fournir et exploiter des solutions de cybersécurité et de visibilité pour les systèmes de contrôle industriels avec le plus haut niveau possible de sécurité, d'intégrité et de disponibilité. Et à protéger les informations de l'entreprise, les informations personnelles et les données des clients contre la perte, l'accès non autorisé et la divulgation.

Pour atteindre cet objectif, Nozomi Networks a mis en place un système de gestion de la sécurité de l'information (ISMS) :

  • Développement et fourniture de produits et services hautement sécurisés aux clients et partenaires de Nozomi Networks. 
  • Protection des informations relatives aux clients. 
  • Protection des actifs informationnels de Nozomi Networks. 
  • Maintenir une culture de la compétence, de la responsabilité et de la sensibilisation à la sécurité. 

Sécurité du personnel

Nozomi Networks met l'accent sur la sécurité du personnel afin d'assurer la protection de ses actifs informationnels.

Politiques

L'entreprise a élaboré un ensemble complet de politiques de sécurité qui couvrent un large éventail de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et sous-traitants qui ont accès aux informations de Nozomi Networks.

Formation et sensibilisation

L'un des éléments clés de la sécurité du personnel chez Nozomi Networks est le programme de formation à la sensibilisation à la sécurité. Tous les employés sont tenus de suivre cette formation lors de leur embauche et chaque année par la suite. En outre, l'équipe de sécurité fournit régulièrement des mises à jour de sensibilisation à la sécurité par le biais de différents canaux.

Vérification des antécédents

Le contrôle des employés est un autre aspect essentiel des pratiques de sécurité du personnel de Nozomi Networks. L'entreprise vérifie les antécédents de tous les nouveaux employés conformément aux lois locales. Ces vérifications sont également exigées pour les sous-traitants et comprennent la vérification des antécédents criminels, de l'éducation et de l'emploi.

Accords de non-divulgation (NDA)

Tous les nouveaux employés sont tenus de signer des accords de non-divulgation et de confidentialité afin de protéger les informations sensibles.

Processus d'intégration et de désintoxication

Nozomi Networks a des exigences strictes en matière d'intégration et de désintoxication afin de garantir l'accès approprié (et la révocation) aux actifs d'information.

Sécurité des entreprises

Nozomi Networks s'engage à assurer le plus haut niveau de sécurité informatique de l'entreprise. Voici comment nous abordons les différents aspects de la sécurité informatique :

Sécurité des Endpoint

Des contrôles stricts sont appliqués aux terminaux connectés aux systèmes de Nozomi Networks, en particulier ceux qui ont accès à des informations sensibles. Ces contrôles font partie intégrante du cadre général de la sécurité informatique.

Surveillance et journalisation

La surveillance continue enregistre tous les accès à la base de données et les transmet à un système centralisé. Les accès administratifs, l'utilisation de commandes privilégiées et les autres activités d'accès sont enregistrés et conservés. Les informations du journal sont protégées contre la falsification et l'accès non autorisé.

Protection contre les logiciels malveillants

Les serveurs et les endpoint tels que les ordinateurs portables et les ordinateurs de bureau sont protégés et surveillés contre les logiciels malveillants, les codes malveillants et les applications dangereuses grâce au déploiement d'un ensemble d'outils de protection.

Sécurité physique

L'accès aux bureaux, aux salles informatiques et aux zones de travail contenant des informations sensibles est physiquement limité au personnel autorisé. Les employés utilisent des cartes d'accès pour entrer dans les bureaux et tiennent un registre des visiteurs. Des caméras de surveillance et des mesures de sécurité sont en place pour surveiller les bâtiments. Des audits de sécurité physique sont effectués.

Policies Summary

At Nozomi Networks, transparency is a foundational principle that guides our approach to cybersecurity and governance. We are committed to upholding the strictest information security requirements, ensuring that our systems, data, and operations remain resilient and trustworthy. Our policies are not just guidelines—they are enforceable standards that apply to every employee, reinforcing a culture of accountability and vigilance. This document provides a high-level summary of our core information security policies, outlining the frameworks and expectations that safeguard our organization and the clients we serve.

Acceptable Use of Technology

The Acceptable Use of Technology Policy outlines the guidelines for using technology resources at Nozomi Networks. It emphasizes responsible and diligent conduct to protect company assets from loss, compromise, or harm. The policy covers various aspects such as data management, use of email, computers, software installations, mobile phones, internet access, public Wi-Fi, VPN, communication services, phishing/scam emails, Dropbox, removable media, accounts and secrets, passwords, cloud services, and generational AI models. Non-compliance with the policy may lead to disciplinary actions, including termination of employment.

Contrôle d'accès

The Access Control Policy establishes requirements for authentication, authorization, and accounting (AAA) to ensure the security of Nozomi’s assets and information processing facilities. It mandates that access is limited to authorized personnel only, based on the principles of least privilege and need-to-know. The policy covers user access management, system and application, access control, and access to networks and hosted services. It also includes provisions for audit controls, user registration and de-registration, privileged access rights management, and periodic reviews of access rights. The policy applies to all Nozomi employees, contractors, and anyone with access to Nozomi’s resources and network.

AI Policy

The AI Policy document outlines guidelines for the development, implementation, use, and monitoring of AI and machine learning (ML) technologies within Nozomi Networks. It emphasizes responsible and ethical AI/ML system development, ensuring compliance with regulatory standards like the EU AI Act. The policy covers all AI/ML systems embedded in Nozomi Networks’ software and services, as well as third-party AI tools used within the organization. Key principles include fairness, transparency, data privacy, and security. The policy applies to all employees, contractors, and third-party vendors, aiming to enable innovation while adhering to legal and regulatory requirements.

Business Continuity Policy

The Business Continuity Policy outlines the framework and requirements for Nozomi Networks’ Business Continuity Plan (BCP), ensuring consistent availability and delivery for products, operations, and services, while maintaining the safety of personnel during disasters or disruptions. The policy emphasizes leadership commitment, roles and responsibilities, risk assessment, communications plan, continuity and recovery objectives, disaster recovery plan, functional business continuity plan, exercise and testing, performance evaluation, continual improvement, and adherence to legal and contractual obligations.

Change Management Policy

The Change Management Policy outlines the responsibilities and procedures for managing changes to Nozomi Networks’ information assets, including physical and virtual network devices, software products, internal information systems, and customer-deployed applications. It emphasizes the importance of identifying, tracking, planning testing, and approving changes while assessing potential risks and communicating details to relevant stakeholders. The policy also includes fallback procedures for aborting and recovering from unsuccessful changes and mandates that all exceptions involving security reviewed and approved by the appropriate manager. This policy applies to all employees and contractors involved with the development, management, and support of these assets.

Data Handling Policy

The data handling policy outlines the guidelines for managing and protecting data at Nozomi Networks. It covers data classification, disposal, and retention, ensuring that all data, whether stored physically or virtually, is handled securely. The policy mandates encryption for sensitive data, regular audits, and proper labeling. It also specifies the retention periods for different types of data and the secure disposal of records and storage media. The policy applies to all Nozomi Networks employees and contractors, emphasizing the importance of protecting data to prevent unauthorized access or breaches.

Encryption Policy

The Encryption Policy outlines the cryptographic controls and key management practices for protecting sensitive information at Nozomi Networks. It mandates the use of state-of-the-art cryptographic solutions for data-at-rest and in transit, based on international standards like NIST SP 800-131a and approved algorithms such as AES for confidentiality and SHA-256 for integrity. The policy covers various types of information, including customer data, PII, passwords, intellectual property, and compliance records. It also specifies that encryption mechanisms must meet regulatory and legal requirements and be approved by IT or the CTO.

Human Resources Security Policy

The Human Resources Security Policy outlines the procedures and guidelines for managing the hiring, training, and termination of employees and contractors at Nozomi Networks. It includes background verification checks, contractual agreements, and mandatory information security training for all staff members. The policy also details the responsibilities of employees, managers, compliance, and IT in ensuring timely completion of training and enforcing access restrictions for non-compliance. Additionally, it addresses the termination process, including the immediate disabling of access to company information and facilities, and the return of company property. The policy is classified and confidential.

Information Security Policy

The Information Security Policy outlines Nozomi Networks’ commitment to developing, delivering, and operating cybersecurity and visibility solutions for industrial control systems with the highest level of security, integrity, and availability. The policy aims to protect corporate information, personal information, and customer data against loss, unauthorized access, and disclosure. To achieve this, Nozomi Networks has implemented an Information Security Management System (ISMS) according to the ISO 27001:2022 standard. The ISMS includes applicable policies, processes, and measurable controls relevant to business functions, and it takes input from customer requirements, contractual agreements, and the needs of interested parties. The policy emphasizes leadership commitment, periodic risk assessments, and continual improvement to maintain stakeholder trust and support business objectives.

Office Management Procedure

The Office Management Procedure document outlines the requirements for guest access, badge issuance, and access control to the computer room at Nozomi Networks. It specifies that all guests must report to the Office Manager upon arrival, and their visit details are recorded in a visitor log. The Office Manager is responsible for managing access to the offices and issuing badge access cards to employees and multi-day visitors. The IT Manager controls physical access to the computer room, ensuring that only authorized personnel are allowed entry. The document also includes references to the Office Security – Badge Issuance procedure and emphasizes the importance of maintaining a secure access control system.

Operations Security Policy

The Operations Security Policy outlines the measures to ensure the security, availability, and integrity of Nozomi Networks’ information assets. It covers control of critical systems, system environment control, monitoring and logging, backup and recovery, vulnerability management, and secure configuration. The policy mandates that all personnel involved with system operations adhere to documented procedures for changes, software installations, and patching. It also emphasizes the importance of segregating operational environments, enabling logging and monitoring functions, regular backups, vulnerability assessments, and implementing robust access control and network security measures. The policy is applicable to all employees and contractors.

Physical Security Policy

The Physical Security Policy ensures the physical of all Nozomi Networks offices and information processing centers. It covers designated restricted areas, physical access records, access control, equipment control, visitor control, clear desk policy, and incident management. The policy mandates that access controls are implemented and maintained, access records are kept, equipment is safeguarded, visitors are escorted, and incidents are promptly investigated and resolved. The policy is applicable to all Nozomi Networks employees and contractors.

Politique de confidentialité

The Privacy Policy outlines Nozomi Networks’ commitment to protecting personal information and ensuring compliance with relevant privacy laws. It covers the collection, use, and safeguarding of personal data, emphasizing principles such as data quality, purpose specification, use limitation, security safeguards, openness, individual participation, and accountability. The policy also details the rights of individuals, including the right to be informed, access, rectification, erasure, restriction of processing, data portability, objection, and rights related to automation decision-making and profiling. Overall, the policy aims to maintain transparency and build trust with stakeholders by adhering to internationally recognized standards for data protection privacy.

Quality Policy

The Quality Policy of Nozomi Networks aims to establish the company as a global leader in providing advanced solutions for protecting operational technology (OT) and industrial control systems (ICS) from cyber threats. To achieve this, Nozomi Networks has implemented a Quality Management System (QMS) in accordance with ISO 9001:2015 standards. This system ensures that processes are managed to meet the requirements of customers and stakeholders, regardless of the company’s size and footprint. All employees and contractors are responsible for adhering to the QMS and applicable laws and regulations. The company is committed to continuous improvement by setting objectives, verifying results, and applying corrective actions when necessary.

Security Incident Management Policy

The Security Incident Management Policy outlines the procedures for handling information security incidents at Nozomi Networks. It applies to all employees, contractors, systems, products, services, and any information managed by the company. The policy emphasizes the responsibility of employees and contractors to protect confidential information, report cyber threats, and participate in containment efforts. Incident management involves detections, containment, investigation, eradication, recovery, and lessons learned. The response to incidents follows documented procedures and reporting methods adhering to the NIST 800-61 standard. Confidentiality is maintained throughout the process, with senior management authorized to disclose specific information to third parties.

System Development, Acquisition, and Maintenance Policy

The System Development, Acquisition, and Maintenance Policy outlines the procedures and standards for developing, acquiring, and maintaining systems, software, and application services at Nozomi Networks. It emphasizes the inclusion of information security requirements throughout the planning, development, and deployment phases of new products, services, or systems. The policy mandates a formal development methodology aligned with industry standards such as ITIL, DevOps, and Agile, and includes phases like requirements gathering, system design, implementation, testing, deployment, operation, and maintenance. Additionally, it covers the end-of-life process for IT applications and the criteria for system acquisition, ensuring security and compliance with regulations and industry standards.

Teleworking Policy

The Teleworking Policy outlines the guidelines for employees and contractors who work from locations other than a designated Nozomi Networks office. It covers eligibility criteria, types of telework arrangements, readiness evaluation, teleworking guidelines, equipment provisions, security measures, and workers’ compensation insurance. The policy emphasizes the importance of maintaining a secure and distraction-free work environment, protecting company assets and information, and adhering to specific security protocols. It also specifies that teleworking employees are covered by workers’ compensation insurance for job-related injuries.

Contrôle d'accès

Nozomi Networks s'assure que les utilisateurs n'ont accès qu'au réseau, aux systèmes, aux applications et aux services du réseau qu'ils ont été spécifiquement autorisés à utiliser. L'accès au système est contrôlé, enregistré et vérifié afin de maintenir la sécurité et la conformité.

Pour réduire davantage le risque d'accès non autorisé aux données, le modèle de contrôle d'accès de Nozomi Networks est basé sur le contrôle d'accès basé sur les rôles (RBAC) afin de créer une séparation des tâches. Les principes du moindre privilège sont strictement appliqués.

Nozomi Networks utilise l'authentification multi-facteurs (MFA) pour tous les accès aux systèmes contenant des données clients. Tous les employés sont tenus d'utiliser un gestionnaire de mots de passe approuvé. Ces gestionnaires de mots de passe génèrent, stockent et saisissent des mots de passe uniques et complexes afin d'empêcher la réutilisation des mots de passe, le phishing et d'autres risques liés aux mots de passe. Un outil d'authentification est utilisé pour gérer l'accès à ces comptes.

Gestion de la chaîne d'approvisionnement

Nozomi Networks s'engage à maintenir une chaîne d'approvisionnement sûre et fiable en contrôlant et en évaluant en permanence tous les sous-traitants de données. Nous utilisons une variété de mesures pour évaluer et réviser la performance et la conformité de nos sous-traitants.

Dans le cadre de nos opérations, Nozomi Networks ne s'associe qu'avec des sous-traitants tiers certifiés. Chaque fournisseur fait l'objet d'une évaluation approfondie dans le cadre de notre programme de gestion des risques liés aux tiers afin de s'assurer qu'il respecte les réglementations obligatoires en matière de protection de la vie privée et qu'il adhère aux meilleures pratiques en matière de sécurité. L'équipe GRC fait preuve de diligence raisonnable pour évaluer les pratiques de chaque fournisseur en matière de protection de la vie privée, de sécurité et de confidentialité. Ce processus inclut la signature d'un accord de non-divulgation pour mettre en œuvre les obligations applicables.

Pour garantir une conformité et une sécurité constantes, tous les fournisseurs importants font l'objet d'un audit annuel. Nous utilisons également une plateforme de gestion des fournisseurs comme dépôt central d'informations, ce qui nous permet de gérer et de contrôler efficacement notre chaîne d'approvisionnement. Ces mesures nous aident à maintenir les normes les plus élevées de sécurité et de fiabilité dans nos opérations.

Gestion des risques

Nozomi Networks adopte une approche proactive de la gestion des risques afin de garantir la sécurité et la fiabilité de ses services. Notre équipe procède régulièrement à diverses évaluations des risques concernant la structure générale de l'entreprise, les produits, les nouveaux projets et les changements proposés. Lorsqu'un risque est identifié, nous suivons un processus complet.

Cette approche structurée permet à Nozomi Networks de gérer et d'atténuer efficacement les risques, en garantissant les normes de sécurité les plus élevées pour nos services.

Identifier le risque

Nous commençons par identifier le risque et comprendre comment il est lié aux services et à l'entreprise de Nozomi Networks

Évaluer le risque

Nous évaluons ou classons ensuite le risque afin d'obtenir une vision globale de l'exposition potentielle de l'ensemble de l'organisation.

Traiter le risque

Sur la base de l'évaluation, nous traitons les risques selon le processus de traitement des risques approprié.

Contrôle et révision

Enfin, nous surveillons et examinons en permanence les risques afin de garder un œil attentif sur tous les facteurs de risque.

Cryptage des données

Chiffrement en transit

Toutes les communications avec l'interface utilisateur et les API de Vantage sont cryptées via les normes industrielles HTTPS/TLS (TLS 1.2 ou supérieur).

Chiffrement au repos

Les données du service sont cryptées au repos dans AWS à l'aide d'une clé de cryptage AES-256.

Sécurité des applications

Code sécurisé

Les processus d'ingénierie ont utilisé les principes du code sécurisé, en se concentrant sur les 10 principaux risques de sécurité de l'OWASP.

Cadre des contrôles de sécurité

Nozomi Networks utilise des frameworks open-source modernes et sécurisés avec des contrôles de sécurité intégrés pour limiter l'exposition aux risques de sécurité du Top 10 de l'OWASP. Ces contrôles inhérents aident à réduire le risque d'injection SQL (SQLi), de Cross Site Scripting (XSS), de Cross Site Request Forgery (CSRF), et d'autres vulnérabilités.

Environnements séparés

Les environnements de test et d'essai sont logiquement séparés de l'environnement de production. Aucune donnée de service n'est utilisée dans les environnements de développement ou de test, ce qui permet de maintenir un environnement sécurisé et contrôlé à des fins de test.

Gestion de la vulnérabilité

Analyse dynamique de la vulnérabilité

Nozomi Networks utilise des outils de sécurité tiers pour analyser en permanence et de manière dynamique les applications principales en fonction des risques de sécurité communs des applications web, y compris les 10 principaux risques de sécurité de l'OWASP.

Analyse de la composition des logiciels

Les bibliothèques et les dépendances utilisées dans les produits de Nozomi Networks sont analysées afin d'identifier et de gérer les vulnérabilités, garantissant ainsi que tous les composants sont sécurisés.

Tests de pénétration par des tiers

En plus des programmes internes d'analyse et de test, Nozomi Networks fait appel à des experts en sécurité tiers pour effectuer des tests de pénétration annuels détaillés.

Localisation de l'hébergement des données

Nozomi Networks offre à ses clients la possibilité de choisir parmi plusieurs centres de données AWS en fonction de leurs préférences et de leurs besoins.

Cela permet aux clients de sélectionner l'emplacement du centre de données le plus adapté à leurs besoins, en garantissant des performances optimales, la conformité et la souveraineté des données. En offrant une gamme d'options, Nozomi Networks permet aux clients de prendre des décisions éclairées sur l'endroit où leurs données sont stockées et traitées, améliorant ainsi la sécurité et la fiabilité globales.

Protection des données

Notre engagement en matière de protection de la vie privée

Nos pratiques en matière de protection de la vie privée sont conçues pour protéger les informations personnelles dans tous les aspects de nos activités. Cela inclut les données relatives aux employés, aux candidats à l'emploi, aux fournisseurs, aux partenaires, aux visiteurs du site web, aux clients et aux payeurs. Nous ne recueillons des informations personnelles qu'à des fins précises, explicites et légitimes, en veillant à ce que les données soient exactes, complètes et à jour. Nous mettons en œuvre des mesures techniques et organisationnelles solides pour protéger les informations personnelles contre l'accès, la divulgation, l'altération ou la destruction non autorisés. Des audits et des examens réguliers sont effectués pour maintenir la qualité et l'intégrité des données.

Transparence et droits individuels

La transparence est une valeur fondamentale de Nozomi Networks. Nous fournissons aux individus des informations claires et accessibles sur la manière dont leurs informations personnelles sont collectées, utilisées et protégées. Notre politique de confidentialité et nos avis sont facilement accessibles sur notre site web et sur d'autres plateformes pertinentes. Nous permettons également aux individus d'exercer leurs droits en vertu des lois applicables en matière de protection de la vie privée, y compris le droit d'accéder, de corriger, de supprimer et de restreindre le traitement de leurs données personnelles. Notre engagement en faveur de la transparence garantit que nos clients peuvent nous confier leurs informations les plus sensibles.

En adhérant à ces principes et en améliorant continuellement ses pratiques en matière de protection de la vie privée, Nozomi Networks s'engage à protéger les informations personnelles et à garantir le respect des normes les plus élevées en matière de protection des données.

Gouvernance de l'IA

Gouvernance de l'IA

Chez Nozomi Networks, nous nous engageons à développer, mettre en œuvre et utiliser de manière responsable et éthique les technologies d'intelligence artificielle (IA) et d'apprentissage automatique (ML). Notre Politique en matière d'IA fournit des directives complètes pour garantir que nos systèmes d'IA/ML sont développés et déployés en conformité avec les normes réglementaires, y compris la Loi sur l'IA de l'UE. Notre programme s'applique à tous les systèmes d'IA/ML intégrés à nos logiciels et services, ainsi qu'à tout outil d'IA tiers utilisé au sein de l'organisation.

Notre approche est conforme à nos objectifs : favoriser l'innovation, garantir un comportement responsable, maintenir la transparence et le respect des exigences légales et réglementaires.

Gouvernance et responsabilité

Nozomi Networks a mis en place une structure de gouvernance solide pour superviser nos initiatives en matière d'IA. Nous avons défini les rôles et les responsabilités pour la surveillance des exigences de la politique d'IA, impliquant la direction de l'ingénierie, la conformité, les services juridiques et informatiques. Des comités d'examen sont en place pour évaluer les initiatives en matière d'IA, en veillant à ce que tous les projets d'IA fassent l'objet d'une évaluation approfondie des risques et soient conformes à l'évolution de la réglementation. Telle que la loi européenne sur l'IA.

Notre engagement en matière de gouvernance et de responsabilité garantit que nos systèmes d'IA fonctionnent de manière équitable, sûre et éthique, renforçant ainsi notre volonté de conserver la confiance de nos parties prenantes.

Assurance

Assurance

01
ISO 27001

Nozomi Networks est certifié ISO 27001:2022. Téléchargez une copie du certificat ici.

02
SOC 2 Type II

Nous faisons l'objet d'audits annuels complets selon les principes de sécurité, de disponibilité et de confidentialité. Les rapports SOC 2 Type II sont disponibles sous NDA. Pour demander le dernier rapport, veuillez contacter votre représentant commercial Nozomi Networks .

03
SOC 3

Téléchargez une copie du rapport SOC 3 ici pour en savoir plus sur nos pratiques de sécurité.

04
ISO 9001

Nozomi Networks est certifié ISO 9001:2015. Téléchargez une copie du certificat ici.

LIVRE BLANC

Protéger les données des clients : Vantage SaaS Multi-tenancy

Ce livre blanc donne un aperçu de l'architecture de sécurité des données de Vantage , en soulignant l'importance de la protection des données pour les clients.

Télécharger
LIVRE BLANC

Mesures de sécurité pour Nozomi Networks Vantage

Ce livre blanc décrit le cadre de sécurité, l'architecture, les contrôles et les procédures opérationnelles conçus pour protéger Nozomi Networks Vantage, une plateforme cloud hébergée sur Amazon Web Services (AWS).

Télécharger
LIVRE BLANC

Évaluation de la conformité de la fonctionnalité de regroupement de Vantage IQ dans le contexte de la loi européenne sur l'IA

Ce livre blanc présente les résultats d'un audit récent sur la fonctionnalité de clustering basée sur l'IA intégrée à la plateforme Vantage IQ de Nozomi Networks.

Télécharger

Passez à l'étape suivante.

Découvrez à quel point il est facile d'identifier les cybermenaces et d'y répondre en automatisant la découverte, l'inventaire et la gestion de vos actifs OT et IoT .