Συχνές ερωτήσεις για την κυβερνοασφάλεια της Siemens
Διαβάστε τις Συχνές Ερωτήσεις για την ασφάλεια στον κυβερνοχώρο για να μάθετε σχετικά με τα μέτρα που λαμβάνει η Siemens Digital Industries Software (DI SW) όσον αφορά την ασφάλεια των συστημάτων μας.
Έλεγχος πρόσβασης
Ναί. Τα δεδομένα στις υπηρεσίες cloud μας, από προεπιλογή, έχουν μηδενική πρόσβαση. Οι διαχειριστές πελατών θα παραχωρήσουν ή θα καταργήσουν πρόσβαση στους χρήστες.
Στο πλαίσιο της Siemens Digital Industry Software (Siemens), εξετάζουμε τους λογαριασμούς cloud για πρόσβαση με τα λιγότερα προνόμια ανά τρίμηνο. Αυτό το μοντέλο περιλαμβάνει τον διαχωρισμό των καθηκόντων, την αρχή της «ανάγκης γνώσης» και μια διαδικασία αιτήματος και έγκρισης για όλα τα αιτήματα πρόσβασης.
Η πρόσβαση στο περιβάλλον cloud παραγωγής ελέγχεται μέσω καθορισμένου συνόλου σημείων πρόσβασης και περιορίζεται σε συγκεκριμένα, προνομιούχα μέλη της ομάδας. Οι χρήστες ελέγχονται σε σημεία πρόσβασης χρησιμοποιώντας διαπιστευτήρια εταιρείας με έλεγχο ταυτότητας πολλαπλών παραγόντων υλικού (MFA) ανάλογα με το πού βρίσκονται τα στοιχεία παραγωγής. Οι κωδικοί πρόσβασης, μαζί με τον έλεγχο ταυτότητας δύο παραγόντων, χρησιμοποιούνται για την πρόσβαση σε συσκευές δικτύου. Αυτά περιορίζονται σε εξουσιοδοτημένα άτομα και διαδικασίες συστήματος με βάση τις ευθύνες εργασίας και αλλάζουν περιοδικά.
Οι ισχύουσες απαιτήσεις ελέγχου πρόσβασης περιλαμβάνουν επίσης τη διαχείριση πρόσβασης χρήστη, την προνομιακή πρόσβαση, τον έλεγχο πρόσβασης, τον έλεγχο ταυτότητας πολλαπλών παραγόντων και τη λήξη κωδικού πρόσβασης, τη διάρκεια, το κλείδωμα και την πολυπλοκότητα, μαζί με απαιτήσεις για διαδικασίες εγγραφής και κατάργησης εγγραφής, περιορισμό πρόσβασης, βέλτιστες πρακτικές διαπιστευτηρίων και αναθεωρήσεις δικαιωμάτων πρόσβασης χρηστών.
Ναί. Το τμήμα Εγκαταστάσεων της Siemens είναι υπεύθυνο για την αξιολόγηση των φυσικών τοποθεσιών μας, την εφαρμογή μέτρων φυσικής ασφάλειας και την περιοδική προσαρμογή αυτών των μέτρων ανάλογα με τις ανάγκες. Φυσικοί μηχανισμοί ελέγχου πρόσβασης (π.χ. σήματα αναγνώρισης, ελεγχόμενη λήψη, κάμερες, καταγραφή πρόσβασης) εφαρμόζονται σε κτίρια γραφείων, κέντρα δεδομένων και άλλες τοποθεσίες της Siemens.
Πιστοποιήσεις & πρότυπα
Διατηρούμε διάφορες πιστοποιήσεις ασφάλειας πληροφοριών, συμπεριλαμβανομένων των ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ και Cyber Essentials Plus.
Για περισσότερες πληροφορίες, δείτε το Σελίδα Πιστοποιητικών Συστήματος.
Έχουμε εφαρμόσει και συνεχίζουμε να παρακολουθούμε σημαντικό αριθμό ελέγχων στο NIST SP 800-53 και οι οδηγίες μας ευθυγραμμίζονται με το ISO 27001 και τα πλαίσια συμμόρφωσης SOC 2.
Απόρρητο δεδομένων
Ναί. Έχουμε εφαρμόσει τεχνικά και οργανωτικά μέτρα (TOM) με βάση τις αρχές προστασίας δεδομένων για την προστασία των συστημάτων μας, την τήρηση των απαιτήσεων GDPR και την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων.
Για λεπτομέρειες σχετικά με τα TOMs της Siemens, δείτε Παράρτημα ΙΙ των Terms Προστασίας Προσωπικών Δεδομένων.
Οι διαδικασίες για την αντιμετώπιση των δικαιωμάτων των υποκειμένων των δεδομένων βρίσκονται στους Όρους Προστασίας Προσωπικών Δεδομένων, Ενότητα 10, η οποία περιγράφει τον τρόπο χειρισμού των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με τον ΓΚΠΔ. Γενικά, η Siemens θα ειδοποιεί τον πελάτη χωρίς αδικαιολόγητη καθυστέρηση εάν η Siemens λάβει αίτημα από ένα υποκείμενο των δεδομένων για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων (όπως το δικαίωμα πρόσβασης, διόρθωσης, διαγραφής ή περιορισμού της επεξεργασίας). Στη συνέχεια, η Siemens θα βοηθήσει τον πελάτη με τεχνικά και οργανωτικά μέτρα για την εκπλήρωση της υποχρέωσής της να ανταποκρίνεται σε τέτοια αιτήματα και να συμμορφώνεται με την ισχύουσα νομοθεσία περί προστασίας δεδομένων.
Αναπτυξιακές πρακτικές
Έχει ο οργανισμός σας μια δομημένη προσέγγιση «Προστασία Δεδομένων από Σχεδιασμός/Προεπιλογή» κατά την εφαρμογή νέων τεχνολογιών; Πώς καθιστάτε την προστασία δεδομένων ουσιαστικό στοιχείο της βασικής λειτουργικότητας των συστημάτων επεξεργασίας και των υπηρεσιών σας;
Ναί. Για τη Siemens, το Privacy by Design σημαίνει ότι η νομιμότητα, η διαφάνεια, η πληροφοριακή αυτοδιάθεση, η οικονομία δεδομένων και η ασφάλεια δεδομένων λαμβάνονται ήδη υπόψη κατά την ανάπτυξη των προϊόντων και των υπηρεσιών μας. Ως εκ τούτου, οι έννοιες του απορρήτου από το σχεδιασμό ενσωματώνονται στις διαδικασίες ανάπτυξης προϊόντων μας, όπου ισχύει.
Ναί Έχουμε θεσπίσει κατευθυντήριες γραμμές και απαιτήσεις για την ανάπτυξη λογισμικού και τα αποθετήρια πηγαίου κώδικα, οι οποίες περιλαμβάνουν οδηγίες για την ασφάλεια καθ' όλη τη διάρκεια ζωής ανάπτυξης λογισμικού και υπηρεσιών. Αυτές οι οδηγίες καλύπτουν θέματα όπως η συντήρηση του πηγαίου κώδικα σε εγκεκριμένα αποθετήρια (συμπεριλαμβανομένης της καταγραφής και της παρακολούθησης), εκπαίδευση ασφαλούς ανάπτυξης για μηχανικούς λογισμικού και αναλυτές προγραμματιστών και απαιτήσεις για ασφαλή ανάπτυξη, δοκιμές και λειτουργικά περιβάλλοντα.
Οι πρακτικές κωδικοποίησης μας ενημερώνονται άμεσα από το Ανοιχτό Παγκόσμιο Πρόγραμμα Ασφάλειας Εφαρμογών (OWASP) πρότυπα. Ένας συνδυασμός δοκιμών ασφαλείας (όπως διείσδυση, στατική ή/και δυναμική ανάλυση) εφαρμόζεται για τον εντοπισμό των «Top 10» κινδύνων ασφάλειας εφαρμογών ιστού της OWASP και συναφών ζητημάτων. Τυχόν κρίσιμα ζητήματα που εντοπίζονται αντιμετωπίζονται το συντομότερο δυνατό, ενώ τα μικρότερα ζητήματα αντιμετωπίζονται συνήθως σε μελλοντικές εκδόσεις.
Προστασία δεδομένων
Ναί. Τόσο τα δεδομένα cloud κατά τη μεταφορά όσο και τα δεδομένα σε κατάσταση ηρεμίας (συμπεριλαμβανομένων των αντιγράφων ασφαλείας) κρυπτογραφούνται.
Ναί. Οι υπάλληλοί μας υποχρεούνται να υποβάλλονται σε εκπαίδευση ευαισθητοποίησης για την ασφάλεια σε ετήσια βάση. Τα θέματα που καλύπτονται σε αυτήν την εκπαίδευση περιλαμβάνουν την ασφαλή χρήση προγραμμάτων και εργαλείων, τις μεθόδους ηλεκτρονικού «ψαρέματος», την ασφάλεια κωδικού πρόσβασης και τον έλεγχο ταυτότητας πολλαπλών παραγόντων, την ταξινόμηση πληροφοριών, την ασφάλεια του κινητού εργασμού/οικιακού γραφείου, την ασφαλή επικοινωνία και πολλά άλλα.
Ναί. Η μη αποκάλυψη αναφέρεται στις Οδηγίες της Siemens, τις οποίες κάθε εργαζόμενος συμφωνεί να τηρεί στις συμβάσεις εργασίας. Οι συμφωνίες μας με τους συνεργάτες και τους προμηθευτές μας περιλαμβάνουν επίσης υποχρεώσεις εμπιστευτικότητας και εφαρμόζουν τους Rules for Business Partners της Siemens, οι οποίοι καθορίζουν τον σωστό χειρισμό εμπιστευτικών πληροφοριών.
Επιχειρησιακή συνέχεια και αποκατάσταση καταστροφών
Ναί. Το SLA χρόνου λειτουργίας ποικίλλει, ανάλογα με το επίπεδο υπηρεσίας που ισχύει για την αντίστοιχη υπηρεσία cloud.
Πρότυπο = 98%
Ενισχυμένη = 99,5%
Μέγιστο = 99,95%
(Η βελτιωμένη και η μέγιστη διαθεσιμότητα ενδέχεται να μην είναι διαθέσιμη για κάθε υπηρεσία cloud)
Για λεπτομέρειες, δείτε το Πλαίσιο υποστήριξης και επιπέδου υπηρεσίας cloud (Cloud SLA).
Ναί, μέσω του επιπέδου υπηρεσιών υποστήριξης Gold.
Δείτε το δικό μας Πλαίσιο υποστήριξης και επιπέδου υπηρεσίας cloud (Cloud SLA) για λεπτομέρειες.
Ναί. Εκτός εάν ορίζεται διαφορετικά στο Κέντρο υποστήριξης, οι Υπηρεσίες Cloud έχουν ένα παράθυρο τακτικής συντήρησης εβδομαδιαίως ανά περιοχή εξυπηρέτησης ως εξής:
- Αμερική: Σάββατο 1:00 π.μ. έως Δευτέρα 3:00 π.μ. Ανατολικές ΗΠΑ (GMT -4)
- Ευρώπη, Μέση Ανατολή και Αφρική: Σάββατο 1:00 π.μ. έως Δευτέρα 3:00 π.μ. ώρα Κεντρικής Ευρώπης (GMT +2)
- Ασία-Ειρηνικός: Σάββατο 1:00 π.μ. έως Δευτέρα 3:00 π.μ. Τυπική ώρα Ιαπωνίας (GMT +9)
Οι πελάτες μπορούν να εγγραφούν για να ειδοποιούνται αυτόματα για προγραμματισμένες διακοπές λειτουργίας στο Κέντρο υποστήριξης.
Ναι, δημιουργούμε αντίγραφα ασφαλείας των δεδομένων πελατών που φιλοξενούνται μέσω των υπηρεσιών cloud. Όλες οι υπηρεσίες cloud που παρέχονται στο πρότυπο επίπεδο υπηρεσιών μας, εκτελούν ένα καθημερινό αντίγραφο ασφαλείας που διατηρείται για δύο εβδομάδες, και ένα μηνιαίο αντίγραφο ασφαλείας που διατηρείται για τρεις μήνες. Ακολουθώντας τις ίδιες διαδικασίες πρόσβασης και κρυπτογράφησης με τα αρχικά δεδομένα, όλα τα δεδομένα αντικειμένων δημιουργούνται αντίγραφα ασφαλείας σε έναν δευτερεύοντα λογαριασμό συστήματος/κέντρο δεδομένων στην ίδια γεωγραφική περιοχή με τα αρχικά δεδομένα.
Για περισσότερες πληροφορίες σχετικά με τη διατήρηση δεδομένων και τις επιλογές βελτιωμένου και μέγιστου επιπέδου της Siemens (η διαθεσιμότητα ποικίλλει ανά προϊόν), ανατρέξτε στην Ενότητα 3.1 στο Πλαίσιο υποστήριξης και επιπέδου υπηρεσίας Cloud («Cloud SLA»).
Ναί. Εφαρμόζουμε απαιτήσεις για διαδικασίες διαχείρισης ασφάλειας πληροφοριών, κριτήρια και ιδιοκτησία για τη διατήρηση της επιχείρησης σε αντίξοες καταστάσεις.
Οι διαδικασίες επαναφοράς δεδομένων από αντίγραφα ασφαλείας ελέγχονται τουλάχιστον ετησίως και επανεξετάζονται ως μέρος διαδικασιών εσωτερικού και εξωτερικού ελέγχου.