Domande frequenti sulla sicurezza informatica di Siemens

Sì. I dati nei nostri servizi cloud, per impostazione predefinita, non hanno accesso. Gli amministratori dei clienti concederanno o rimuoveranno l'accesso agli utenti.

All'interno di Siemens Digital Industry Software (Siemens), esaminiamo trimestralmente gli account cloud per l'accesso con privilegi minimi. Questo modello include la separazione dei compiti, il principio della «necessità di sapere» e un processo di richiesta e approvazione per tutte le richieste di accesso.

L'accesso all'ambiente cloud di produzione è controllato tramite una serie di punti di accesso designati e limitato a membri del team specifici e privilegiati. Gli utenti vengono autenticati ai punti di accesso utilizzando le credenziali aziendali con autenticazione hardware a più fattori (MFA) a seconda di dove si trovano gli asset di produzione. Le password, insieme all'autenticazione a due fattori, vengono utilizzate per accedere ai dispositivi di rete. Questi sono limitati alle persone autorizzate e ai processi di sistema in base alle responsabilità lavorative e vengono modificati periodicamente.

I requisiti di controllo degli accessi applicabili includono anche la gestione degli accessi degli utenti, l'accesso privilegiato, la revisione degli accessi, l'autenticazione a più fattori e la scadenza, la lunghezza, il blocco e la complessità della password, insieme ai requisiti per i processi di registrazione e cancellazione, limitazione dell'accesso, best practice per le credenziali e revisioni dei diritti di accesso degli utenti.

Sì. Il dipartimento Siemens Facilities è responsabile della valutazione delle nostre sedi fisiche, dell'applicazione delle misure di sicurezza fisica e dell'adeguamento periodico di tali misure secondo necessità. I meccanismi fisici di controllo degli accessi (ad esempio, badge identificativi, ricezione controllata, telecamere, registrazione degli accessi) sono implementati negli edifici per uffici, nei data center e in altre sedi Siemens.

Manteniamo varie certificazioni di sicurezza delle informazioni, tra cui ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ e Cyber Essentials Plus.

Per ulteriori informazioni, consulti la Pagina dei certificati di sistema.

Abbiamo implementato e continuiamo a monitorare un numero significativo di controlli nel NIST SP 800-53 e le nostre linee guida sono in linea con ISO 27001 e i quadri di conformità SOC 2.

Sì. Abbiamo implementato misure tecniche e organizzative (TOM) basate sui principi di protezione dei dati per proteggere i nostri sistemi, soddisfare i requisiti del GDPR e proteggere i diritti degli interessati.

Per i dettagli sui TOM di Siemens, veda Allegato II ai nostri Termini sulla privacy dei dati.

Le procedure per far fronte ai diritti degli interessati si trovano nei nostri Termini sulla privacy dei dati, Sezione 10, che descrive come vengono gestiti i diritti degli interessati in conformità al GDPR. In generale, Siemens informerà il cliente senza ingiustificato ritardo se Siemens riceve una richiesta da un interessato di esercitare i suoi diritti (come il diritto di accesso, rettifica, cancellazione o limitazione del trattamento). Siemens assisterà quindi il cliente con misure tecniche e organizzative per l'adempimento del suo obbligo di rispondere a tali richieste e di rispettare la legge applicabile sulla protezione dei dati.

vedere Termini sulla privacy dei dati.

La sua organizzazione ha un approccio strutturato alla «Protezione dei dati fin dalla designazione/impostazione predefinita» nell'implementazione di nuove tecnologie? Come fa a rendere la protezione dei dati una componente essenziale delle funzionalità principali dei suoi sistemi e servizi di elaborazione?

Sì. Per Siemens, Privacy by Design significa che la legalità, la trasparenza, l'autodeterminazione delle informazioni, l'economia e la sicurezza dei dati sono già prese in considerazione nello sviluppo dei nostri prodotti e servizi. I concetti di Privacy by Design sono quindi integrati nei nostri processi di sviluppo dei prodotti, ove applicabile.

Sì. Abbiamo stabilito linee guida e requisiti per lo sviluppo del software e gli archivi di codice sorgente, che includono linee guida per la sicurezza durante l'intero ciclo di vita dello sviluppo di software e servizi. Queste linee guida riguardano argomenti come la manutenzione del codice sorgente in archivi approvati (inclusi registrazione e monitoraggio), formazione sicura sullo sviluppo per ingegneri del software e analisti programmatori e requisiti per ambienti operativi, di sviluppo e test sicuri.

Le nostre pratiche di codifica sono informate direttamente dal Progetto Open Worldwide Application Security (OWASP) standard. Viene implementata una combinazione di test di sicurezza (come analisi di penetrazione, statica e/o dinamica) per identificare i «10 principali» rischi di sicurezza delle applicazioni web di OWASP e i problemi correlati. Eventuali problemi critici rilevati vengono risolti il prima possibile, mentre i problemi minori vengono in genere risolti nelle versioni future.

Sì. Sia i dati cloud in transito che i dati a riposo (inclusi i backup) sono crittografati.

Sì. I nostri dipendenti sono tenuti a seguire una formazione di sensibilizzazione alla sicurezza su base annuale. Gli argomenti trattati in tale formazione includono l'uso sicuro di programmi e strumenti, metodi di phishing, sicurezza delle password e autenticazione a più fattori, classificazione delle informazioni, sicurezza del lavoro mobile e dell'home office, comunicazioni sicure e altro ancora.

Sì. La non divulgazione è disciplinata nelle Direttive aziendali Siemens, che ogni dipendente si impegna a rispettare nei contratti di lavoro. I nostri accordi con i nostri partner e fornitori includono anche obblighi di riservatezza e implementano le Rules for Business Partners di Siemens, che definiscono la corretta gestione delle informazioni riservate.

Sì. Il nostro SLA di uptime varia a seconda del livello di servizio applicabile al rispettivo servizio cloud.

Norma = 98%

Migliorato = 99,5%

Massimo = 99,95%

(La disponibilità avanzata e massima potrebbe non essere disponibile per tutti i servizi cloud)

Per i dettagli, consulti la Supporto cloud e framework dei livelli di servizio (Cloud SLA).

Sì, tramite il nostro livello di servizio di assistenza Gold.

Vedi il nostro Supporto cloud e framework dei livelli di servizio (Cloud SLA) per i dettagli.

Sì. Salvo diversa indicazione nel Centro assistenza, i servizi cloud hanno una finestra di manutenzione regolare settimanale per regione servita come segue:

• Americhe: da sabato all'1:00 a lunedì 3:00 US Eastern (GMT -4)
• Europa, Medio Oriente e Africa: da sabato all'1:00 a lunedì 3:00 ora dell'Europa centrale (GMT +2)
• Asia Pacifico: da sabato all'1:00 a lunedì 3:00 ora solare del Giappone (GMT +9)

I clienti possono abbonarsi per ricevere una notifica automatica dei tempi di inattività programmati nel nostro Centro assistenza.

Sì, eseguiamo il backup dei dati dei clienti ospitati tramite i nostri servizi cloud. Tutti i servizi cloud forniti con il nostro livello di servizio standard eseguono un backup giornaliero che viene mantenuto per due settimane e un backup mensile che viene mantenuto per tre mesi. Seguendo gli stessi processi di accesso e crittografia dei dati originali, viene eseguito il backup di tutti i dati degli oggetti in un account/data center di sistema secondario nella stessa area geografica dei dati originali.

Per ulteriori informazioni sulla conservazione dei dati e sulle opzioni Enhanced e Maximum level di Siemens (la disponibilità varia in base al prodotto), vedere la Sezione 3.1 nel Framework di supporto cloud e livello di servizio («Cloud SLA»).

Sì. Implementiamo i requisiti per i processi, i criteri e la proprietà di gestione della sicurezza delle informazioni per sostenere l'azienda in situazioni avverse.

Le procedure per ripristinare i dati dai backup vengono testate almeno una volta all'anno e vengono riviste nell'ambito di processi di audit interni ed esterni.