Ofte stillede spørgsmål om Siemens cybersikkerhed
Læs vores ofte stillede spørgsmål om cybersikkerhed for at lære om de foranstaltninger, som Siemens Digital Industries Software (DI SW) tager med sikkerheden i vores systemer.
Adgangskontrol
Ja. Data i vores skytjenester har som standard nul adgang. Kundeadministratorer vil give eller fjerne adgang til brugere.
Inden for Siemens Digital Industry Software (Siemens) gennemgår vi cloud-konti for adgang med mindst privilegier kvartalsvis. Denne model omfatter adskillelse af opgaver, princippet om „behov for at vide“ og en anmodnings- og godkendelsesproces for alle adgangsanmodninger.
Adgangen til produktionskymiljøet styres via et bestemt sæt adgangspunkter og er begrænset til specifikke, privilegerede teammedlemmer. Brugere godkendes til adgangspunkter ved hjælp af virksomhedsoplysninger med hardware multifaktorgodkendelse (MFA) afhængigt af, hvor produktionsaktiverne er placeret. Adgangskoder, sammen med tofaktorgodkendelse, bruges til at få adgang til netværksenheder. Disse er begrænset til autoriserede personer og systemprocesser baseret på jobansvar og ændres med jævne mellemrum.
Gældende adgangskontrolkrav omfatter også administration af brugeradgang, privilegeret adgang, adgangskontrol, multifaktorgodkendelse og adgangskodeudløb, længde, lockout og kompleksitet sammen med krav til registrerings- og afregistreringsprocesser, adgangsbegrænsning, bedste praksis for legitimationsoplysninger og gennemgang af brugeradgangsrettigheder.
Ja. Siemens Facilities afdeling er ansvarlig for at vurdere vores fysiske lokationer, anvende fysiske sikkerhedsforanstaltninger og med jævne mellemrum justere disse foranstaltninger efter behov. Fysiske adgangskontrolmekanismer (f.eks. identifikationsmærker, kontrolleret modtagelse, kameraer, adgangslogning) implementeres i kontorbygninger, datacentre og andre Siemens-lokationer.
Certificeringer og standarder
Vi opretholder forskellige informationssikkerhedscertificeringer, herunder ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ og Cyber Essentials Plus.
Du kan finde flere oplysninger i Siden Systemcertifikater.
Vi har implementeret og fortsætter med at overvåge et betydeligt antal af kontrollerne i NIST SP 800-53, og vores retningslinjer er i overensstemmelse med ISO 27001 og SOC 2-overholdelsesrammerne.
Databeskyttelse
Ja. Vi har implementeret tekniske og organisatoriske foranstaltninger (TOM'er) baseret på databeskyttelsesprincipper for at beskytte vores systemer, opfylde GDPR-kravene og beskytte de registreredes rettigheder.
For detaljer om Siemens' TOM'er, se Bilag II til vores Data Privacy Terms.
Procedurer for behandling af registreredes rettigheder findes i vores Data Privacy Terms, afsnit 10, som beskriver, hvordan den registreredes rettigheder håndteres i overensstemmelse med GDPR. Generelt vil Siemens underrette kunden uden unødig forsinkelse, hvis Siemens modtager en anmodning fra en registreret om at udøve den registreredes rettigheder (såsom retten til adgang, berigtigelse, sletning eller begrænsning af behandling). Siemens vil derefter bistå kunden med tekniske og organisatoriske foranstaltninger for at opfylde sin forpligtelse til at besvare sådanne anmodninger og overholde gældende databeskyttelseslovgivning.
Udviklingspraksis
Har din organisation en struktureret „Data Protection by Design/Default“ tilgang, når de implementerer nye teknologier? Hvordan gør du databeskyttelse til en væsentlig del af kernefunktionaliteten i dine behandlingssystemer og -tjenester?
Ja. For Siemens betyder Privacy by Design, at lovlighed, gennemsigtighed, informativ selvbestemmelse, dataøkonomi og datasikkerhed allerede tages i betragtning, når vi udvikler vores produkter og tjenester. Privacy by Design-koncepter er derfor integreret i vores produktudviklingsprocesser, hvor det er relevant.
Ja. Vi har fastlagt retningslinjer og krav til softwareudvikling og kildekodearkiver, som omfatter retningslinjer for sikkerhed i hele software- og tjenesteudviklingens livscyklus. Disse retningslinjer dækker emner som vedligeholdelse af kildekode i godkendte arkiver (herunder logning og overvågning), sikker udviklingstræning for softwareingeniører og programmereranalytikere og krav til sikker udvikling, test og driftsmiljøer.
Vores kodningspraksis er direkte informeret af Åbent Worldwide Application Security Project (OWASP) standarder. En kombination af sikkerhedstest (såsom penetration, statisk og/eller dynamisk analyse) implementeres for at identificere OWASPs „Top 10“ sikkerhedsrisici for webapplikationer og relaterede problemer. Alle fundne kritiske problemer løses så hurtigt som muligt, mens mindre problemer typisk behandles i fremtidige udgivelser.
Databeskyttelse
Ja. Både cloud-data under overførsel og data i hvile (inklusive sikkerhedskopier) er krypteret.
Ja. Vores medarbejdere er forpligtet til at gennemgå sikkerhedsbevidsthedstræning årligt. Emner omfattet af denne uddannelse inkluderer sikker brug af programmer og værktøjer, phishing-metoder, adgangskodesikkerhed og multifaktorgodkendelse, informationsklassificering, mobilarbejde/hjemmekontorsikkerhed, sikker kommunikation og mere.
Ja. Ikke-offentliggørelse behandles i Siemens virksomhedsdirektiver, som hver medarbejder accepterer at overholde i ansættelsesaftalerne. Vores aftaler med vores partnere og leverandører indeholder også fortrolighedsforpligtelser og implementerer Siemens' Rules for Business Partners, som definerer korrekt håndtering af fortrolige oplysninger.
Forretningskontinuitet og gendannelse efter nedbrud
Ja. Vores SLA for oppetid varierer afhængigt af det serviceniveau, der gælder for den respektive skytjeneste.
Standard = 98%
Forbedret = 99,5%
Maksimum = 99,95%
(Forbedret og maksimal tilgængelighed er muligvis ikke tilgængelig for alle cloud-tjenester)
For detaljer, se Cloud Support- og serviceniveauramme (Cloud SLA).
Ja, via vores Gold support serviceniveau.
Se vores Cloud Support- og serviceniveauramme (Cloud SLA) for detaljer.
Ja. Medmindre andet er angivet i Supportcentret, har Cloud-tjenester et regelmæssigt vedligeholdelsesvindue ugentligt pr. serveret region som følger:
- Nord- og Sydamerika: Lørdag 01:00 til mandag 3:00 US Eastern (GMT -4)
- Europa, Mellemøsten og Afrika: Lørdag 01:00 til mandag 03:00 Centraleuropæisk tid (GMT +2)
- Asien og Stillehavsområdet: lørdag 1:00 til mandag 03:00 Japansk standardtid (GMT +9)
Kunder kan abonnere på automatisk at få besked om planlagte nedetider i vores supportcenter.
Ja, vi sikkerhedskopierer kundedata hostet gennem vores cloud-tjenester. Alle cloud-tjenester, der leveres under vores standard serviceniveau, udfører en daglig backup, der opretholdes i to uger, og en månedlig sikkerhedskopi, der opretholdes i tre måneder. Efter de samme adgangs- og krypteringsprocesser som de oprindelige data sikkerhedskopieres alle objektdata til en sekundær systemkonto/datacenter i samme geografiske område som de oprindelige data.
For yderligere oplysninger om datalagring og Siemens' forbedrede og maksimale niveauindstillinger (tilgængeligheden varierer fra produkt til produkt), se afsnit 3.1 i Cloud Support- og serviceniveauramme („Cloud SLA“).
Ja. Vi implementerer krav til informationssikkerhedsstyringsprocesser, kriterier og ejerskab for at opretholde virksomheden i ugunstige situationer.
Procedurer for at gendanne data fra sikkerhedskopier testes mindst en gang om året og gennemgås som en del af interne og eksterne revisionsprocesser.