Siemens küberturvalisuse KKK
Lugege meie küberturvalisuse KKK-d, et saada teavet meetmete kohta, mida Siemens Digital Industries Software (DI SW) võtab meie süsteemide turvalisuse tagamiseks.
Juurdepääsukontroll
Jah. Meie pilveteenuste andmetel on vaikimisi null juurdepääs. Kliendiadministraatorid annavad kasutajatele juurdepääsu või eemaldavad.
Siemensi digitaalse tööstuse tarkvaras (Siemens) vaatame kord kvartalis üle pilvekontod kõige vähem privileegidega juurdepääsu saamiseks. See mudel hõlmab ülesannete eraldamist, teadmisvajaduse põhimõtet ning kõigi juurdepääsutaotluste taotlemise ja heakskiitmise protsessi.
Juurdepääsu tootmispilvekeskkonnale kontrollitakse määratud juurdepääsupunktide komplekti kaudu ja see on piiratud konkreetsete privilegeeritud meeskonnaliikmetega. Kasutajad autentiseeritakse juurdepääsupunktides, kasutades ettevõtte mandaate koos riistvara mitmetegurilise autentimisega (MFA), sõltuvalt tootmisvarade asukohast. Võrguseadmetele juurdepääsuks kasutatakse paroole koos kahefaktorilise autentimisega. Need piirduvad volitatud isikute ja töökohustustel põhinevate süsteemiprotsessidega ning neid muudetakse perioodiliselt.
Kohaldatavad juurdepääsukontrolli nõuded hõlmavad ka kasutajate juurdepääsu haldamist, privilegeeritud juurdepääsu, juurdepääsu ülevaatamist, mitmetegurilist autentimist ja parooli aegumist, pikkust, blokeerimist ja keerukust, samuti nõudeid registreerimis- ja registreerimisest tühistamisprotsessidele, juurdepääsupiirangule, mandaatide parimatele tavadele ja kasutajate juurdepääsuõiguste ülevaatele.
Jah. Siemensi rajatiste osakond vastutab meie füüsiliste asukohtade hindamise, füüsiliste turvameetmete rakendamise ja nende meetmete perioodilise kohandamise eest vastavalt vajadusele. Füüsilisi juurdepääsukontrollimehhanisme (nt identifitseerimismärgid, kontrollitud vastuvõtt, kaamerad, juurdepääsu logimine) rakendatakse büroohoonetes, andmekeskustes ja muudes Siemensi asukohtades.
Sertifikaadid ja standardid
Säilitame mitmesuguseid infoturbe sertifikaate, sealhulgas ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ ja Cyber Essentials Plus.
Lisateavet leiate aadressilt Süsteemi sertifikaatide leht.
Oleme rakendanud ja jälgime jätkuvalt märkimisväärset hulka NIST SP 800-53 kontrolle ning meie juhised on kooskõlas ISO 27001 ja SOC 2 vastavusraamistikutega.
Andmete privaatsus
Jah. Oleme rakendanud andmekaitse põhimõtetel põhinevaid tehnilisi ja organisatsioonilisi meetmeid, et kaitsta oma süsteeme, täita GDPR-i nõudeid ja kaitsta andmesubjektide õigusi.
Üksikasju Siemensi TOM-i kohta leiate vaata Meie andmekaitsetingimuste II lisa.
Andmesubjektide õiguste käsitlemise menetlused on toodud meie andmekaitsetingimuste jaotises 10, milles kirjeldatakse, kuidas andmesubjekti õigusi käsitletakse kooskõlas GDPR-i. Üldiselt teavitab Siemens klienti põhjendamatu viivituseta, kui Siemens saab andmesubjektilt taotluse teostada oma andmesubjekti õigusi (näiteks õigust juurdepääsule, parandada, kustutada või piirata töötlemist). Seejärel abistab Siemens klienti tehniliste ja organisatsiooniliste meetmetega, et täita tema kohustust vastata sellistele taotlustele ja järgida kehtivaid andmekaitseseadusi.
Vaata Andmete privaatsustingimused.
Arengupraktika
Kas teie organisatsioonil on uute tehnoloogiate rakendamisel struktureeritud lähenemisviis „Andmekaitse disaini järgi ja vaikimisi”? Kuidas muuta andmekaitse oma töötlemissüsteemide ja teenuste põhifunktsionaalsuse oluliseks komponendiks?
Jah. Siemens tähendab Privacy by Design seda, et meie toodete ja teenuste väljatöötamisel võetakse juba arvesse seaduslikkust, läbipaistvust, informatiivset enesemääramist, andmesäästlikkust ja andmeturvalisust. Privacy by Design kontseptsioonid on seetõttu vajaduse korral integreeritud meie tootearendusprotsessidesse.
Jah. Oleme kehtestanud juhised ja nõuded tarkvaraarendusele ja lähtekoodihoidlatele, mis sisaldavad juhiseid turvalisuse kohta kogu tarkvara ja teenuste arendamise elutsükli jooksul. Need juhised hõlmavad selliseid teemasid nagu lähtekoodi hooldamine heakskiidetud hoidlates (sealhulgas logimine ja jälgimine), tarkvarainseneride ja programmeerijaanalüütikute turvalise arendamise koolitus ning nõuded turvalisele arendus-, testimiseks ja töökeskkondadele.
Meie kodeerimistavasid teavitavad otseselt Avatud ülemaailmne rakenduste turvalisuse projekt (OWASP) standardid. OWASP veebirakenduste „Top 10” turvariskide ja sellega seotud probleemide tuvastamiseks rakendatakse turvatestide kombinatsiooni (nt läbitungimine, staatiline ja/või dünaamiline analüüs). Kõik leitud kriitilised probleemid käsitletakse nii kiiresti kui võimalik, samas kui väiksemaid probleeme käsitletakse tavaliselt tulevastes väljaannetes.
Andmekaitse
Jah. Nii transiidil olevad pilveandmed kui ka puhkeolekus olevad andmed (sh varukoopiad) on krüptitud.
Jah. Meie töötajad peavad läbima iga-aastaselt turvateadlikkuse koolituse. Selles koolituses käsitletud teemad hõlmavad programmide ja tööriistade turvalist kasutamist, andmepüügimeetodeid, paroolide turvalisust ja mitmetegurilist autentimist, teabe klassifitseerimist, mobiilset töö/kodukontori turvalisust, turvalist suhtlust ja palju muud.
Jah. Mitteavalikustamist käsitletakse Siemensi ettevõtte direktiivides, mida iga töötaja nõustub töölepingutes järgima. Meie lepingud partnerite ja müüjatega hõlmavad ka konfidentsiaalsuskohustusi ning rakendavad Siemensi äripartnerite reegleid, mis määratlevad konfidentsiaalse teabe nõuetekohase käitlemise.
Ärijärjepidevus ja katastroofide taastamine
Jah. Meie tööaja SLA on erinev, sõltuvalt vastava pilveteenuse suhtes kohaldatavast teenusetaseme tasemest.
Standard = 98%
Täiustatud = 99,5%
Maksimaalne = 99,95%
(Täiustatud ja maksimaalne kättesaadavus ei pruugi iga pilveteenuse jaoks saadaval olla)
Täpsema teabe saamiseks vaadake Pilvetugi ja teenusetaseme raamistik (Cloud SLA).
Jah, meie Gold tugiteenuse taseme kaudu.
Vaata meie Pilvetugi ja teenusetaseme raamistik (Cloud SLA) üksikasjade jaoks.
Jah. Kui tugikeskuses ei ole sätestatud teisiti, on pilveteenustel iga teenindatud piirkonna kohta kord nädalas regulaarne hooldusaken:
- Ameerika: laupäev 1:00 kuni esmaspäev 3:00 USA idaosa (GMT -4)
- Euroopa, Lähis-Ida ja Aafrika: laupäev 1:00 kuni esmaspäev 3:00 Kesk-Euroopa aja järgi (GMT +2)
- Aasia Vaikse ookeani piirkond: laupäeval kell 1:00 kuni esmaspäevani 3:00 Jaapani standardaeg (GMT +9)
Kliendid võivad tellida, et neid teavitatakse automaatselt meie tugikeskuses kavandatud seisakudest.
Jah, varundame oma pilveteenuste kaudu hostitud kliendiandmeid. Kõik pilveteenused, mida pakutakse meie standardse teenuse taseme alusel, teevad igapäevase varundamise, mida hoitakse kaks nädalat, ja igakuise varundamise, mida hoitakse kolm kuud. Algsete andmetega samade juurdepääsu- ja krüptimisprotsesside järgimisel varundatakse kõik objektiandmed sekundaarsesse süsteemi kontole ja/andmekeskusesse samas geograafilises piirkonnas kui algsed andmed.
Lisateavet andmete säilitamise ning Siemensi täiustatud ja maksimaalse taseme valikute kohta (saadavus on toote lõikes erinev) vt jaotist 3.1. Pilvetugi ja teenusetaseme raamistik („Cloud SLA”).
Jah. Rakendame infoturbe haldamise protsesside, kriteeriumide ja omandiõiguse nõudeid, et säilitada äri ebasoodsates olukordades.
Varukoopiatest saadud andmete taastamise protseduure testitakse vähemalt kord aastas ning neid vaadatakse läbi sise- ja välisauditi protsesside raames.