Preguntas frecuentes sobre ciberseguridad de Siemens

Sí. Los datos en nuestros servicios en la nube, por defecto, no tienen acceso. Los administradores del cliente otorgarán o eliminarán el acceso a los usuarios.

Dentro de Siemens Digital Industry Software (Siemens), revisamos trimestralmente las cuentas en la nube para el acceso con menos privilegios. Este modelo incluye la segregación de funciones, el principio de “necesidad de saber” y un proceso de solicitud y aprobación para todas las solicitudes de acceso.

El acceso al entorno de nube de producción se controla a través de un conjunto designado de puntos de acceso y se restringe a miembros específicos y privilegiados del equipo. Los usuarios se autentican en los puntos de acceso mediante credenciales de la empresa con autenticación multifactor de hardware (MFA) dependiendo de dónde se encuentren los activos de producción. Las contraseñas, junto con la autenticación de dos factores, se utilizan para acceder a los dispositivos de red. Estos están restringidos a personas autorizadas y procesos del sistema basados en responsabilidades laborales y se cambian periódicamente.

Los requisitos de control de acceso aplicables también incluyen administración de acceso de usuarios, acceso privilegiado, revisión de acceso, autenticación multifactor y vencimiento de contraseña, longitud, bloqueo y complejidad, junto con los requisitos para los procesos de registro y de desregistro, restricción de acceso, mejores prácticas de credenciales y revisiones de los derechos de acceso de los usuarios.

Sí. El departamento de instalaciones de Siemens es responsable de evaluar nuestras ubicaciones físicas, aplicar medidas de seguridad física y ajustar periódicamente esas medidas según sea necesario. Los mecanismos de control de acceso físico (por ejemplo, insignias de identificación, recepción controlada, cámaras, registro de acceso) se implementan en edificios de oficinas, centros de datos y otras ubicaciones de Siemens.

Mantenemos varias certificaciones de seguridad de la información, incluyendo ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ y Cyber Essentials Plus.

Para obtener más información, consulte Página Certificados del sistema.

Hemos implementado y seguimos monitoreando un número significativo de controles en NIST SP 800-53 y nuestras directrices están alineadas con ISO 27001 y los marcos de cumplimiento de SOC 2.

Sí. Hemos implementado medidas técnicas y organizativas (TOM) basadas en principios de protección de datos para proteger nuestros sistemas, cumplir con los requisitos de GDPR y proteger los derechos de los sujetos de datos.

Para obtener más información sobre los TOM de Siemens, consulte Anexo II a nuestros Terms de privacidad de datos.

Los procedimientos para abordar los derechos de los interesados se encuentran en nuestros Terms de privacidad de datos, Sección 10, que describe cómo se manejan los derechos de los sujetos de datos de conformidad con el GDPR. En general, Siemens notificará al cliente sin demora indebida si Siemens recibe una solicitud de un sujeto de datos para ejercer sus derechos del interesado (como el derecho de acceso, rectificación, eliminación o restricción del procesamiento). Siemens entonces ayudará al cliente con medidas técnicas y organizativas para el cumplimiento de su obligación de responder a dichas solicitudes y cumplir con la ley de protección de datos aplicable.

Vea Terms de privacidad de datos.

¿Su organización tiene un enfoque estructurado de “Protección de datos por diseño/predeterminado” al implementar nuevas tecnologías? ¿Cómo hace que la protección de datos sea un componente esencial de la funcionalidad principal de sus sistemas y servicios de procesamiento?

Sí. Para Siemens, Privacy by Design significa que la legalidad, la transparencia, la autodeterminación de la información, la economía de datos y la seguridad de los datos ya se tienen en cuenta al desarrollar nuestros productos y servicios. Por lo tanto, los conceptos de privacidad por diseño se integran en nuestros procesos de desarrollo de productos cuando corresponda.

Sí. Hemos establecido pautas y requisitos para el desarrollo de software y los repositorios de código fuente, que incluyen pautas de seguridad a lo largo del ciclo de vida de desarrollo de software y servicios. Estas pautas cubren temas como el mantenimiento del código fuente en repositorios aprobados (incluido el registro y la supervisión), capacitación de desarrollo seguro para ingenieros de software y analistas programadores, y requisitos para entornos operativos, pruebas y desarrollo seguros.

Nuestras prácticas de codificación están directamente informadas por Proyecto mundial abierto de Security de aplicaciones (OWASP) normas. Se implementa una combinación de pruebas de seguridad (como penetración, análisis estático y/o dinámico) para identificar los “10 principales” riesgos de seguridad de aplicaciones web de OWASP y problemas relacionados. Cualquier problema crítico encontrado se aborda tan pronto como sea posible, mientras que los problemas menores generalmente se abordan en futuras versiones.

Sí. Tanto los datos en tránsito en la nube como los datos en reposo (incluidas las copias de seguridad) están encriptados.

Sí. Se requiere que nuestros empleados se sometan a una capacitación anual sobre concientización sobre seguridad. Los temas cubiertos en esa capacitación incluyen el uso seguro de programas y herramientas, métodos de phishing, seguridad de contraseñas y autenticación multifactor, clasificación de la información, seguridad de trabajo móvil/oficina en casa, comunicación segura y más.

Sí. La confidencialidad se aborda en las Directivas de la compañía Siemens, que todos los empleados acuerdan cumplir en los acuerdos de empleo. Nuestros acuerdos con nuestros socios y proveedores también incluyen obligaciones de confidencialidad e implementan las Rules de Siemens para Socios Comerciales, que definen el manejo adecuado de la información confidencial.

Sí. Nuestro SLA de tiempo de actividad varía, dependiendo del nivel de nivel de servicio aplicable al servicio en la nube respectivo.

Estándar = 98%

Mejorado = 99,5%

Máximo = 99,95%

(La disponibilidad mejorada y máxima puede no estar disponible para todos los servicios en la nube)

Para obtener más detalles, consulte Marco de nivel de servicio y soporte en la nube (SLA en la nube).

Sí, a través de nuestro nivel de servicio de soporte Gold.

Vea nuestro Soporte en la nube y marco de nivel de servicio (SLA en la nube) para más detalles.

Sí. A menos que se especifique lo contrario en el Centro de soporte, los servicios en la nube tienen una ventana de mantenimiento regular semanal por región servida de la siguiente manera:

• América: sábado 1:00 a.m. a lunes 3:00 a.m. Este de EE. UU. (GMT -4)
• Europa, Oriente Medio y África: sábado 1:00 a.m. a lunes 3:00 a.m., hora de Europa Central (GMT +2)
• Asia Pacífico: sábado 1:00 a.m. a lunes 3:00 a.m., hora estándar de Japón (GMT +9)

Los clientes pueden suscribirse para recibir una notificación automática de los tiempos de parada programados en nuestro Centro de Soporte.

Sí, hacemos una copia de seguridad de los datos del cliente alojados a través de nuestros servicios en la nube. Todos los servicios en la nube que se proporcionan bajo nuestro nivel de servicio estándar, realizan una copia de seguridad diaria que se mantiene durante dos semanas y una copia de seguridad mensual que se mantiene durante tres meses. Siguiendo los mismos procesos de acceso y cifrado que los datos originales, se realiza una copia de seguridad de todos los datos del objeto en una cuenta del sistema/centro de datos secundario en la misma región geográfica que los datos originales.

Para obtener más información sobre la retención de datos y las opciones de nivel mejorado y máximo de Siemens (la disponibilidad varía según el producto), consulte la Sección 3.1 en Marco de nivel de servicio y soporte en la nube (“SLA en la nube”).

Sí. Implementamos requisitos para procesos de administración de seguridad de la información, criterios y propiedad para mantener el negocio en situaciones adversas.

Los procedimientos para restaurar los datos de las copias de seguridad se prueban al menos una vez al año y se revisan como parte de los procesos de auditoría interna y externa.