지멘스 사이버 보안 FAQ

맞아요. 우리 클라우드 서비스에 있는 데이터는 기본적으로 접근 권한이 없어요.고객 관리자가 사용자에게 접근 권한을 부여하거나 제거해요.

Siemens 디지털 인더스트리 소프트웨어 (Siemens) 내에서 분기마다 최소 권한 액세스에 대한 클라우드 계정을 검토해요.이 모델에는 업무 분리, “알아야 할 사항” 원칙, 모든 액세스 요청에 대한 요청 및 승인 프로세스가 포함돼요.

프로덕션 클라우드 환경에 대한 액세스는 지정된 액세스 포인트 세트를 통해 제어되며 특권 있는 특정 팀원으로만 제한됩니다.사용자는 프로덕션 자산이 있는 위치에 따라 하드웨어 다중 요소 인증 (MFA) 과 함께 회사 자격 증명을 사용하여 액세스 포인트에 대한 인증을 받습니다.암호는 2단계 인증과 함께 네트워크 장치에 액세스하는 데 사용돼요.이는 권한 있는 개인과 직무에 따른 시스템 프로세스로 제한되며 주기적으로 변경돼요.

적용 가능한 액세스 제어 요구 사항에는 등록 및 등록 취소 프로세스, 액세스 제한, 자격 증명 모범 사례, 사용자 액세스 권한 검토에 대한 요구 사항과 함께 사용자 액세스 관리, 특권 액세스, 액세스 검토, 다단계 인증, 암호 만료, 길이, 잠금, 복잡성 등도 포함돼요.

맞아요. Siemens Facilities 부서가 물리적 위치를 평가하고 물리적 보안 조치를 적용하고 필요에 따라 정기적으로 조치를 조정할 책임이 있어요.물리적 액세스 제어 메커니즘 (예: 식별 배지, 제어 수신, 카메라, 액세스 로깅) 이 사무실 건물, 데이터 센터 및 기타 Siemens 지점에서 구현되어 있어요.

우리는 ISO 27001/17/18, SOC2, TISAX, 클라우드 시큐리티 얼라이언스 (CSA) STAR 레벨 원 CAIQ, 사이버 에센셜 플러스 등 다양한 정보 보안 인증을 유지하고 있어요.

자세한 내용은 을 참조하세요. 시스템 인증서 페이지예요.

우리는 NIST SP 800-53에서 상당수의 제어를 구현했고 계속 모니터링하고 있어요. 그리고 우리의 지침은 ISO 27001과 SOC 2 규정 준수 프레임워크에 맞춰져 있어요.

맞아요. 우리는 시스템을 보호하고, GDPR 요구 사항을 충족하고, 데이터 주체의 권리를 보호하기 위해 데이터 보호 원칙에 기반한 기술적 및 조직적 조치 (TOM) 를 구현했어요.

지멘스 TOM에 대한 자세한 내용은 저희 데이터 프라이버시 약관 부록 II예요.

데이터 주체의 권리를 다루는 절차는 GDPR에 따라 데이터 주체의 권리가 어떻게 처리되는지를 설명하는 데이터 프라이버시 약관 10항에 나와 있어요.일반적으로 Siemens는 데이터 주체로부터 데이터 주체의 권리 (예: 액세스, 수정, 삭제 또는 처리 제한) 를 행사하라는 요청을 받으면 지체 없이 고객에게 통지해요.그러면 Siemens는 그러한 요청에 응답하고 관련 데이터 보호법을 준수해야 하는 의무를 이행하기 위한 기술적, 조직적 조치로 고객을 지원할 거예요.

봐요. 데이터 프라이버시 약관.

당신 조직은 새로운 기술을 구현할 때 구조화된 “설계/기본에 의한 데이터 보호” 접근 방식을 가지고 있어요?어떻게 데이터 보호를 처리 시스템과 서비스의 핵심 기능의 필수 구성 요소로 만드세요?

맞아요. Siemens에게 프라이버시 중심 설계란 제품과 서비스를 개발할 때 적법성, 투명성, 정보 자기 결정, 데이터 경제, 데이터 보안을 이미 고려한다는 뜻이에요.따라서 프라이버시 바이 디자인 개념은 해당되는 경우 제품 개발 프로세스에 통합되어 있어요.

맞아요. 소프트웨어 개발 및 소스 코드 저장소에 대한 지침과 요구 사항을 설정했어요. 여기에는 소프트웨어 및 서비스 개발 수명 주기 전반에 걸친 보안 지침이 포함되어 있어요.이 지침은 승인된 저장소의 소스 코드 유지 관리 (로깅 및 모니터링 포함), 소프트웨어 엔지니어 및 프로그래머 분석가를 위한 보안 개발 교육, 안전한 개발, 테스트 및 운영 환경에 대한 요구 사항 같은 주제를 다룹니다.

우리의 코딩 관행은 다음에 의해 직접 영향을 받았어요. 오픈 월드와이드 애플리케이션 보안 프로젝트 (OWASP) 표준.OWASP의 “10대” 웹 애플리케이션 보안 위험 및 관련 문제를 식별하기 위해 보안 테스트 (침투, 정적 및/또는 동적 분석 등) 의 조합이 구현돼요.발견된 모든 중요한 문제는 가능한 한 빨리 해결되고, 덜 중요한 문제는 보통 향후 릴리스에서 해결돼요.

맞아요. 전송 중인 클라우드 데이터와 미사용 데이터 (백업 포함) 모두 암호화돼요.

맞아요. 우리 직원들은 매년 보안 인식 교육을 받아야 해요.그 교육에서 다루는 주제에는 프로그램과 도구의 보안 사용, 피싱 방법, 암호 보안 및 다중 요소 인증, 정보 분류, 모바일 근무/홈 오피스 보안, 보안 통신 등이 포함돼요.

맞아요. 비공개는 모든 직원이 고용 계약서에서 준수하기로 동의한 Siemens 회사 지침에 명시되어 있어요.파트너 및 벤더와의 계약에는 기밀 유지 의무도 포함되고 기밀 정보의 적절한 처리를 정의하는 지멘스의 비즈니스 파트너 규칙 (Rules for Business Partners) 이 시행돼요.

맞아요. 업타임 SLA는 각 클라우드 서비스에 적용되는 서비스 레벨 티어에 따라 달라요.

스탠다드= 98%

향상됐어요 = 99.5%

최대값은 99.95% 예요

(모든 클라우드 서비스에서 고급 및 최대 가용성을 사용할 수 있는 것은 아닐 수도 있어요)

자세한 내용은 을 참조하십시오. 클라우드 지원 및 서비스 수준 프레임워크 (클라우드 SLA).

맞아요, 골드 지원 서비스 수준을 통해서요.

우리 거 봐요 클라우드 지원 및 서비스 수준 프레임워크 (클라우드 SLA) 세부 사항을 위해.

맞아요. 지원 센터에서 달리 명시하지 않는 한, 클라우드 서비스의 서비스 지역별 정기 유지 관리 기간은 다음과 같습니다.

• 아메리카: 토요일 오전 1:00 부터 월요일 오전 3:00 미국 동부 (GMT -4)
• 유럽, 중동, 아프리카: 토요일 오전 1시~월요일 오전 3:00 중부 유럽 시간 (GMT +2)
• 아시아 태평양: 토요일 오전 1시~월요일 오전 3:00 일본 표준시 (GMT +9)

고객은 구독하여 지원 센터에서 예정된 다운타임에 대해 자동으로 알림을 받을 수 있어요.

네, 우리는 클라우드 서비스를 통해 호스팅된 고객 데이터를 백업해요. 표준 서비스 수준으로 제공되는 모든 클라우드 서비스는 2주 동안 유지되는 일일 백업과 3개월 동안 유지되는 월별 백업을 수행해요.원본 데이터와 동일한 액세스 및 암호화 프로세스에 따라 모든 개체 데이터가 원본 데이터와 같은 지리적 지역에 있는 보조 시스템 계정/데이터 센터에 백업돼요.

데이터 보존 및 Siemens의 고급 및 최대 수준 옵션 (사용 가능 여부는 제품마다 다름) 에 대한 자세한 내용은 섹션 3.1을 참조하세요. 클라우드 지원 및 서비스 수준 프레임워크 (“클라우드 SLA”).

맞아요. 우리는 불리한 상황에서도 비즈니스를 유지하기 위해 정보 보안 관리 프로세스, 기준, 소유권에 대한 요구 사항을 구현해요.

백업에서 데이터를 복원하는 절차는 적어도 매년 테스트되고 내부 및 외부 감사 프로세스의 일부로 검토돼요.