Časté dotazy k kybernetické bezpečnosti Siemens
Přečtěte si naše Časté dotazy týkající se kybernetické bezpečnosti, kde se dozvíte o opatřeních, která Siemens Digital Industries Software (DI SW) přijímá s bezpečností našich systémů.
Řízení přístupu
Ano. Data v našich cloudových službách mají ve výchozím nastavení nulový přístup. Správci zákazníků udělují nebo odeberou přístup uživatelům.
V rámci Siemens Digital Industry Software (Siemens) čtvrtletně kontrolujeme cloudové účty pro přístup s nejmenšími oprávněními. Tento model zahrnuje oddělení povinností, princip „potřeba vědět“ a proces žádosti a schvalování všech žádostí o přístup.
Přístup do produkčního cloudového prostředí je řízen prostřednictvím určené sady přístupových bodů a omezen na konkrétní, privilegované členy týmu. Uživatelé jsou ověřováni k přístupovým bodům pomocí firemních pověření s hardwarovým vícefaktorovým ověřováním (MFA) v závislosti na tom, kde jsou produkční prostředky umístěny. Hesla spolu s dvoufaktorovým ověřováním se používají pro přístup k síťovým zařízením. Ty jsou omezeny na oprávněné osoby a systémové procesy založené na pracovních povinnostech a pravidelně se mění.
Příslušné požadavky na kontrolu přístupu zahrnují také správu přístupu uživatelů, privilegovaný přístup, kontrolu přístupu, vícefaktorové ověřování a vypršení platnosti hesla, délku, uzamčení a složitost, spolu s požadavky na procesy registrace a zrušení registrace, omezení přístupu, osvědčené postupy pověření a recenze přístupových práv.
Ano. Oddělení Siemens Facilities je odpovědné za posuzování našich fyzických míst, uplatňování fyzických bezpečnostních opatření a pravidelnou úpravu těchto opatření podle potřeby. Mechanismy fyzické kontroly přístupu (např. identifikační odznaky, řízený příjem, kamery, protokolování přístupu) jsou implementovány v kancelářských budovách, datových centrech a dalších místech Siemens.
Certifikace a normy
Udržujeme různé certifikace bezpečnosti informací, včetně ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ a Cyber Essentials Plus.
Další informace naleznete v Stránka Systémové certifikáty.
Implementovali jsme a nadále monitorujeme značný počet kontrol v NIST SP 800-53 a naše pokyny jsou v souladu s normami ISO 27001 a SOC 2.
Ochrana osobních údajů
Ano. Zavedli jsme technická a organizační opatření (TOM) založená na zásadách ochrany údajů, abychom chránili naše systémy, splnili požadavky GDPR a chránili práva subjektů údajů.
Podrobnosti o TOM společnosti Siemens najdete v Příloha II našich Terms ochrany osobních údajů.
Postupy pro řešení práv subjektů údajů jsou uvedeny v našich Podmínkách ochrany osobních údajů, oddíl 10, který popisuje, jak jsou s právy subjektu údajů nakládáno v souladu s GDPR. Obecně společnost Siemens informuje zákazníka bez zbytečného odkladu, pokud společnost Siemens obdrží od subjektu údajů žádost o uplatnění práv subjektu údajů (jako je právo na přístup, opravu, výmaz nebo omezení zpracování). Siemens pak bude zákazníkovi pomáhat s technickými a organizačními opatřeními pro splnění jeho povinnosti reagovat na tyto požadavky a dodržovat platné zákony o ochraně osobních údajů.
Vidět Data Privacy Terms.
Vývojové postupy
Má vaše organizace při zavádění nových technologií strukturovaný přístup „Data Protection by Design/Default“? Jak učiníte ochranu údajů nezbytnou součástí základních funkcí vašich zpracovatelských systémů a služeb?
Ano. Pro Siemens znamená Privacy by Design, že zákonnost, transparentnost, informační sebeurčení, ekonomika dat a bezpečnost dat jsou již při vývoji našich produktů a služeb zohledněny. Koncepce Privacy by Design jsou proto tam, kde je to možné, integrovány do našich procesů vývoje produktů.
Ano. Stanovili jsme pokyny a požadavky na vývoj softwaru a repozitáře zdrojového kódu, které zahrnují pokyny pro zabezpečení v celém životním cyklu vývoje softwaru a služeb. Tyto pokyny pokrývají témata, jako je údržba zdrojového kódu ve schválených úložištích (včetně protokolování a monitorování), školení bezpečného vývoje pro softwarové inženýry a programátorské analytiky a požadavky na bezpečný vývoj, testování a provozní prostředí.
Naše postupy kódování jsou přímo informovány Open Worldwide Application Security Project (OWASP) standardy. Kombinace bezpečnostních testů (jako je penetrace, statická a/nebo dynamická analýza) je implementována za účelem identifikace bezpečnostních rizik webových aplikací OWASP „Top 10“ a souvisejících problémů. Jakékoli nalezené kritické problémy jsou vyřešeny co nejdříve, zatímco menší problémy jsou obvykle řešeny v budoucích verzích.
Ochrana dat
Ano. Jak data přenášená v cloudu, tak data v klidu (včetně záloh) jsou šifrována.
Ano. Naši zaměstnanci jsou povinni každoročně absolvovat školení zaměřené na zvyšování povědomí o bezpečnosti. Témata zahrnutá v tomto školení zahrnují bezpečné používání programů a nástrojů, phishingové metody, zabezpečení heslem a vícefaktorové ověřování, klasifikaci informací, zabezpečení mobilní práce/domácí kanceláře, bezpečnou komunikaci a další.
Ano. Nezveřejňování informací je řešeno ve směrnicích společnosti Siemens, s nimiž se každý zaměstnanec zavazuje dodržovat v pracovních smlouvách. Naše dohody s našimi partnery a prodejci také zahrnují povinnost mlčenlivosti a implementují Rules for Business Partners společnosti Siemens, která definují správné zacházení s důvěrnými informacemi.
Kontinuita podnikání a zotavení po havárii
Ano. Naše smlouva SLA o provozuschopnosti se liší v závislosti na úrovni služeb použitelné pro příslušnou cloudovou službu.
Standardní = 98%
Vylepšeno = 99,5%
Maximální = 99,95%
(Vylepšená a maximální dostupnost nemusí být k dispozici pro každou cloudovou službu)
Podrobnosti viz Cloudová podpora a rámec úrovně služeb (Cloud SLA).
Ano, prostřednictvím naší úrovně podpory Gold.
Podívejte se na naše Cloudová podpora a rámec úrovně služeb (Cloud SLA) pro podrobnosti.
Ano. Není-li v Centru podpory uvedeno jinak, cloudové služby mají týdenní okno pravidelné údržby pro každou obsluhovanou oblast takto:
- Amerika: Sobota 1:00 do pondělí 3:00 na východ USA (GMT -4)
- Evropa, Střední východ a Afrika: sobota 1:00 do pondělí 3:00 středoevropského času (GMT +2)
- Asie a Tichomoří: sobota 1:00 do pondělí 3:00 japonský standardní čas (GMT +9)
Zákazníci se mohou přihlásit k odběru automatického upozornění na plánované prostoje v našem Centru podpory.
Ano, zálohujeme data zákazníků hostovaná prostřednictvím našich cloudových služeb. Všechny cloudové služby, které jsou poskytovány v rámci naší standardní úrovně služeb, provádějí denní zálohování, které je udržováno po dobu dvou týdnů, a měsíční zálohování, které je udržováno po dobu tří měsíců. Po stejných procesech přístupu a šifrování jako původní data jsou všechna objektová data zálohována do sekundárního systémového účtu/datového centra ve stejné geografické oblasti jako původní data.
Další informace o uchovávání dat a možnostech rozšířené a maximální úrovně Siemens (dostupnost se liší podle produktu) naleznete v oddíle 3.1 v Rámec cloudové podpory a úrovně služeb („Cloud SLA“).
Ano. Zavádíme požadavky na procesy řízení bezpečnosti informací, kritéria a vlastnictví, abychom udrželi podnikání v nepříznivých situacích.
Postupy obnovy dat ze záloh jsou testovány nejméně jednou ročně a jsou přezkoumávány jako součást procesů interního a externího auditu.