Siemens サイバーセキュリティよくある質問
Siemens Digital Industries ズSoftware(DI SW)がシステムのセキュリティのために講じている対策については、サイバーセキュリティに関するよくある質問をご覧ください。
アクセスコントロール
はい。 当社のクラウドサービスのデータには、デフォルトではアクセスできません。顧客管理者は、ユーザーへのアクセスを許可または削除します。
Siemens デジタルインダストリーSoftware(Siemens)では、四半期ごとにクラウドアカウントのアクセス権限が最も低いアカウントを見直しています。このモデルには、職務の分離、「知っておくべきこと」の原則、すべてのアクセス要求に対する要求と承認のプロセスが含まれています。
プロダクションクラウド環境へのアクセスは、指定されたアクセスポイントを通じて制御され、特定の特権のあるチームメンバーに制限されます。ユーザーは、生産資産の所在地に応じて、ハードウェアの多要素認証(MFA)による企業資格を使用してアクセスポイントに対して認証されます。ネットワークデバイスへのアクセスには、パスワードと二要素認証が使用されます。これらは権限のある個人と職務に基づくシステムプロセスに限定されており、定期的に変更されます。
適用されるアクセス制御要件には、ユーザーアクセス管理、特権アクセス、アクセスレビュー、多要素認証、パスワードの有効期限、長さ、ロックアウト、複雑さのほか、登録と登録解除プロセス、アクセス制限、資格のベストプラクティス、ユーザーアクセス権の見直しの要件も含まれます。
はい。 Siemens 施設部門は、当社の物理的な所在地を評価し、物理的なセキュリティ対策を適用し、必要に応じてそれらの対策を定期的に調整する責任があります。物理的なアクセス制御メカニズム(識別バッジ、受信制御、カメラ、アクセスロギングなど)は、オフィスビル、データセンター、その他のSiemens 拠点で実装されています。
認証と規格
ISO 27001/17/18、SOC2、TISAX、クラウド・セキュリティAlliance(CSA)スターレベルワン CAIQ、サイバー・エッセンシャルプラスなど、さまざまな情報セキュリティ認証を維持しています。
詳細については、を参照してください システム証明書ページ。
私たちはNIST SP 800-53のかなりの数の統制を実施し、引き続き監視しています。ガイドラインはISO 27001とSOC 2コンプライアンスフレームワークに沿っています。
データプライバシー
はい。 私たちは、システムを保護し、GDPR要件を満たし、データ主体の権利を保護するために、データ保護の原則に基づいた技術的および組織的対策(TOM)を実施しています。
シーメンスのTOMの詳細については、 データプライバシーTerms の附属書II。
データ主体の権利に対処するための手順は、データプライバシーTerms の第10条に記載されています。この条項では、GDPRに準拠してデータ主体の権利がどのように取り扱われるかが説明されています。通常、Siemens、データ主体の権利(アクセス権、修正権、消去権、処理制限権など)を行使するようデータ主体から要求を受けた場合、遅滞なくお客様に通知します。その後、Siemens、そのような要求に応え、適用されるデータ保護法を遵守する義務を果たすために、技術的および組織的な対策を講じてお客様を支援します。
見る データプライバシーTerms。
開発慣行
あなたの組織では、新しいテクノロジーを導入する際に、構造化された「設計/デフォルトによるデータ保護」アプローチを採用していますか?データ保護を処理システムやサービスの中核機能の不可欠な要素にするにはどうすればいいですか?
はい。 Siemens にとって、プライバシー・バイ・デザインとは、製品やサービスを開発する際に、合法性、透明性、情報の自己決定、データエコノミー、データセキュリティがすでに考慮されていることを意味します。そのため、プライバシー・バイ・デザインのコンセプトは、該当する場合は当社の製品開発プロセスに統合されています。
はい。 私たちは、ソフトウェア開発とソースコードリポジトリに関するガイドラインと要件を確立しました。これには、ソフトウェアとサービスの開発ライフサイクル全体にわたるセキュリティに関するガイドラインが含まれます。これらのガイドラインは、承認されたリポジトリ内のソースコードの管理(ロギングと監視を含む)、ソフトウェアエンジニアとプログラマーアナリスト向けの安全な開発トレーニング、安全な開発、テスト、運用環境の要件などのトピックをカバーしています。
私たちのコーディング慣行は、 オープン・ワールドワイド・アプリケーションSecurity・プロジェクト(OWASP) 基準。OWASPの「トップ10」のWebアプリケーションのセキュリティリスクと関連問題を特定するために、セキュリティテスト(ペネトレーション、静的および/または動的分析など)を組み合わせて実施しています。見つかった重大な問題は可能な限り早く対処されますが、それ以外の問題は通常将来のリリースで対処されます。
データ保護
はい。 転送中のクラウドデータと保存中のデータ(バックアップを含む)はどちらも暗号化されています。
はい。 当社の従業員は、毎年セキュリティ意識向上トレーニングを受ける必要があります。そのトレーニングの対象となるトピックには、プログラムとツールの安全な使用、フィッシング手法、パスワードセキュリティと二要素認証、情報分類、モバイルワーキング/ホームオフィスのセキュリティ、安全な通信などがあります。
はい。 機密保持は、すべての従業員が雇用契約で遵守することに同意しているSiemens 社指令で扱われています。パートナーやベンダーとの契約には守秘義務も含まれており、機密情報の適切な取り扱いを規定するシーメンスのビジネスパートナー向けRules が導入されています。
事業継続と災害復旧
はい。 当社の稼働時間SLAは、それぞれのクラウドサービスに適用されるサービスレベルレベルによって異なります。
スタンダード = 98%
エンハンスド = 99.5%
最大値 = 99.95%
(エンハンスドおよび最大可用性は、すべてのクラウドサービスで利用できるわけではありません)
詳細については、を参照してください クラウドサポートとサービスレベルフレームワーク(クラウドSLA)。
はい、当社のゴールドサポートサービスレベル経由で。
私たちの クラウドサポートとサービスレベルフレームワーク(クラウドSLA) 詳細については。
はい。 サポートセンターで特に指定されていない限り、クラウドサービスには、以下のように、サービス対象地域ごとに毎週定期メンテナンスウィンドウがあります。
- 南北アメリカ:土曜日の午前 1:00 から月曜日の午前 3:00 米国東部(GMT -4)
- ヨーロッパ、中東、アフリカ:土曜日の午前1時から月曜日の午前3時、中央ヨーロッパ時間(GMT+2)
- アジア太平洋:土曜日の午前 1:00 から月曜日の午前 3:00 日本標準時(GMT +9)
お客様は、サポートセンターで予定されているダウンタイムの通知を自動的に受け取るように登録できます。
はい、クラウドサービスを通じてホストされている顧客データをバックアップします。 当社の標準サービスレベルで提供されるすべてのクラウドサービスは、毎日のバックアップを2週間行い、毎月のバックアップを3か月間維持します。元のデータと同じアクセスと暗号化のプロセスに従って、すべてのオブジェクトデータは元のデータと同じ地理的地域のセカンダリシステムアカウント/データセンターにバックアップされます。
データ保持とシーメンスのEnhancedおよびMaximaxレベルオプション(利用できるかどうかは製品によって異なります)の詳細については、のセクション3.1を参照してください クラウドサポートとサービスレベルフレームワーク(「クラウドSLA」)。
はい。 私たちは、不利な状況でもビジネスを維持するために、情報セキュリティ管理プロセス、基準、所有権に関する要件を実装しています。
バックアップからデータを復元する手順は、少なくとも年に1回テストされ、内部および外部の監査プロセスの一環として見直されます。