Preguntas frecuentes sobre ciberseguridad de Siemens

Sí. Los datos de nuestros servicios en la nube, por defecto, no tienen acceso. Los administradores de clientes concederán o eliminarán el acceso a los usuarios.

En Siemens Digital Industry Software (Siemens), revisamos trimestralmente las cuentas en la nube para ver si tienen menos privilegios. Este modelo incluye la segregación de funciones, el principio de «necesidad de saber» y un proceso de solicitud y aprobación para todas las solicitudes de acceso.

El acceso al entorno de nube de producción se controla a través de un conjunto designado de puntos de acceso y está restringido a miembros específicos y privilegiados del equipo. Los usuarios se autentican en los puntos de acceso mediante las credenciales de la empresa con autenticación multifactor (MFA) de hardware según la ubicación de los activos de producción. Las contraseñas, junto con la autenticación de dos factores, se utilizan para acceder a los dispositivos de red. Están restringidos a las personas autorizadas y a los procesos del sistema en función de las responsabilidades laborales y se cambian periódicamente.

Los requisitos de control de acceso aplicables también incluyen la gestión del acceso de los usuarios, el acceso privilegiado, la revisión del acceso, la autenticación multifactor y la caducidad, la longitud, el bloqueo y la complejidad de las contraseñas, junto con los requisitos para los procesos de registro y cancelación del registro, la restricción de acceso, las mejores prácticas de credenciales y la revisión de los derechos de acceso de los usuarios.

Sí. El departamento de instalaciones de Siemens es responsable de evaluar nuestras ubicaciones físicas, aplicar las medidas de seguridad física y ajustarlas periódicamente según sea necesario. Los mecanismos de control de acceso físico (por ejemplo, tarjetas de identificación, recepción controlada, cámaras, registro de acceso) se implementan en los edificios de oficinas, centros de datos y otras ubicaciones de Siemens.

Mantenemos varias certificaciones de seguridad de la información, incluidas la ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ y Cyber Essentials Plus.

Para obtener más información, consulte Página de certificados del sistema.

Hemos implementado y seguimos supervisando un número importante de controles del SP 800-53 del NIST y nuestras directrices se ajustan a los marcos de cumplimiento de la ISO 27001 y del SOC 2.

Sí. Hemos implementado medidas técnicas y organizativas (TOM) basadas en los principios de protección de datos para proteger nuestros sistemas, cumplir con los requisitos del RGPD y proteger los derechos de los interesados.

Para obtener más información sobre los TOMs de Siemens, consulte Anexo II de nuestras condiciones de privacidad de datos.

Los procedimientos para abordar los derechos de los interesados figuran en la sección 10 de nuestras Condiciones de privacidad de datos, que describen cómo se gestionan los derechos de los interesados de conformidad con el RGPD. Por lo general, Siemens notificará al cliente sin demora indebida si Siemens recibe una solicitud de un interesado para ejercer sus derechos de sujeto de datos (como el derecho de acceso, rectificación, supresión o restricción del procesamiento). Siemens ayudará entonces al cliente con las medidas técnicas y organizativas necesarias para cumplir con su obligación de responder a dichas solicitudes y cumplir con la ley de protección de datos aplicable.

Consulte Términos de privacidad de datos.

¿Su organización tiene un enfoque estructurado de «protección de datos por diseño o por defecto» a la hora de implementar las nuevas tecnologías? ¿Cómo hace que la protección de datos sea un componente esencial de la funcionalidad principal de sus sistemas y servicios de procesamiento?

Sí. Para Siemens, la privacidad desde el diseño significa que la legalidad, la transparencia, la autodeterminación informativa, la economía de datos y la seguridad de los datos ya se tienen en cuenta al desarrollar nuestros productos y servicios. Por lo tanto, los conceptos de privacidad desde el diseño se integran en nuestros procesos de desarrollo de productos, cuando proceda.

Sí. Hemos establecido directrices y requisitos para el desarrollo de software y los repositorios de código fuente, que incluyen directrices de seguridad durante todo el ciclo de vida del desarrollo del software y los servicios. Estas directrices abarcan temas como el mantenimiento del código fuente en los repositorios aprobados (incluidos el registro y la supervisión), la formación en desarrollo seguro para ingenieros de software y analistas de programación y los requisitos para entornos operativos, de prueba y de desarrollo seguros.

Nuestras prácticas de programación se basan directamente en el Open Worldwide Application Security Project (OWASP) estándares. Se implementa una combinación de pruebas de seguridad (como análisis de penetración, estáticos o dinámicos) para identificar los «10 principales» riesgos de seguridad de las aplicaciones web de OWASP y los problemas relacionados. Cualquier problema crítico que se encuentre se aborda lo antes posible, mientras que los problemas menores normalmente se abordan en futuras versiones.

Sí. Tanto los datos en la nube en tránsito como los datos en reposo (incluidas las copias de seguridad) están cifrados.

Sí. Nuestros empleados deben recibir una formación anual sobre concienciación sobre seguridad. Los temas tratados en esa formación incluyen el uso seguro de programas y herramientas, los métodos de suplantación de identidad, la seguridad con contraseñas y la autenticación multifactor, la clasificación de la información, la seguridad móvil del trabajo y la oficina en casa, la comunicación segura y más.

Sí. La confidencialidad se aborda en las directivas empresariales de Siemens, que todos los empleados se comprometen a cumplir en los acuerdos laborales. Nuestros acuerdos con nuestros socios y proveedores también incluyen obligaciones de confidencialidad e implementan las Rules for Business Partners de Siemens, que definen el tratamiento adecuado de la información confidencial.

Sí. Nuestro SLA de tiempo de actividad varía según el nivel de servicio aplicable al servicio en la nube correspondiente.

Estándar = 98%

Mejorado = 99,5%

Máximo = 99,95%

(La disponibilidad mejorada y máxima puede no estar disponible para todos los servicios en la nube)

Para obtener más información, consulte el Marco de niveles de servicio y soporte en la nube (SLA en la nube).

Sí, a través de nuestro nivel de servicio de soporte Gold.

Consulte nuestro Marco de niveles de servicio y soporte en la nube (SLA de nube) para obtener más información.

Sí. A menos que se especifique lo contrario en el Centro de soporte, los servicios en la nube tienen un período de mantenimiento regular semanal por región atendida, de la siguiente manera:

• América: del sábado a la 1:00 a. m. al lunes a las 3:00 a. m., hora del este de EE. UU. (GMT -4)
• Europa, Oriente Medio y África: del sábado a la 1:00 a. m. del lunes a las 3:00 a. m., hora de Europa Central (GMT +2)
• Asia-Pacífico: del sábado a la 1:00 a. m. al lunes a las 3:00 a. m., hora estándar de Japón (GMT +9)

Los clientes pueden suscribirse para recibir una notificación automática de los tiempos de inactividad programados en nuestro Centro de soporte.

Sí, hacemos copias de seguridad de los datos de los clientes alojados en nuestros servicios en la nube. Todos los servicios en la nube que se ofrecen según nuestro nivel de servicio estándar realizan una copia de seguridad diaria que se mantiene durante dos semanas y una copia de seguridad mensual que se mantiene durante tres meses. Tras los mismos procesos de acceso y cifrado que los datos originales, se hace una copia de seguridad de todos los datos del objeto en una cuenta o centro de datos del sistema secundario en la misma región geográfica que los datos originales.

Para obtener más información sobre la retención de datos y las opciones de nivel máximo y mejorado de Siemens (la disponibilidad varía según el producto), consulte la sección 3.1 de Marco de niveles de servicio y soporte en la nube («SLA en la nube»).

Sí. Implementamos requisitos para los procesos, criterios y propiedad de la gestión de la seguridad de la información para mantener la empresa en situaciones adversas.

Los procedimientos para restaurar los datos de las copias de seguridad se prueban al menos una vez al año y se revisan como parte de los procesos de auditoría interna y externa.