“Siemens” kibernetinio saugumo DUK
Perskaitykite mūsų DUK dėl kibernetinio saugumo ir sužinokite apie priemones, kurių “Siemens Digital Industries Software” (DI SW) imasi užtikrindama mūsų sistemų saugumą.
Prieigos kontrolė
Taip. Duomenys mūsų debesijos paslaugose pagal numatytuosius nustatymus turi nulinę prieigą. Klientų administratoriai suteiks arba pašalins prieigą vartotojams.
“Siemens Digital Industry Software” (“Siemens”) kas ketvirtį peržiūrime debesų sąskaitas, kad būtų galima naudotis mažiausiomis privilegijomis. Šis modelis apima pareigų atskyrimą, principą “reikia žinoti” ir visų prieigos prašymų užklausų prašymo bei patvirtinimo procesą.
Prieiga prie gamybos debesų aplinkos kontroliuojama per paskirtą prieigos taškų rinkinį ir apribota konkretiems, privilegijuotiems komandos nariams. Vartotojai autentifikuojami prie prieigos taškų naudojant įmonės kredencialus su aparatūros kelių veiksnių autentifikavimu (MFA), atsižvelgiant į tai, kur yra gamybos turtas. Slaptažodžiai kartu su dviejų veiksnių autentifikavimu naudojami tinklo įrenginiams pasiekti. Tai apsiriboja įgaliotais asmenimis ir sistemos procesais, pagrįstais darbo pareigomis, ir periodiškai keičiami.
Taikomi prieigos kontrolės reikalavimai taip pat apima vartotojo prieigos valdymą, privilegijuotą prieigą, prieigos peržiūrą, kelių veiksnių autentifikavimą ir slaptažodžio galiojimo pabaigą, ilgį, blokavimą ir sudėtingumą, kartu su registracijos ir išregistravimo procesų reikalavimais, prieigos apribojimu, gerąja kredencialų praktika ir vartotojų prieigos teisių apžvalgomis.
Taip. “Siemens Facilities” skyrius yra atsakingas už mūsų fizinių vietų įvertinimą, fizinių saugumo priemonių taikymą ir periodišką tų priemonių reguliavimą pagal poreikį. Fiziniai prieigos kontrolės mechanizmai (pvz., identifikavimo ženkliukai, kontroliuojamas priėmimas, kameros, prieigos registravimas) yra įdiegti biurų pastatuose, duomenų centruose ir kitose “Siemens” vietose.
Sertifikatai ir standartai
Mes išlaikome įvairius informacijos saugumo sertifikatus, įskaitant ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ ir Cyber Essentials Plus.
Norėdami gauti daugiau informacijos, žr. Sistemos sertifikatų puslapis.
Įdiegėme ir toliau stebime nemažai NIST SP 800-53 kontrolės priemonių, o mūsų gairės atitinka ISO 27001 ir SOC 2 atitikties sistemas.
Duomenų privatumas
Taip. Mes įdiegėme technines ir organizacines priemones (TOMs), pagrįstas duomenų apsaugos principais, siekdami apsaugoti savo sistemas, atitikti BDAR reikalavimus ir apsaugoti duomenų subjektų teises.
Norėdami gauti daugiau informacijos apie “Siemens” TOMs, žr. Duomenų privatumo Terms II priedas.
Duomenų subjektų teisių gynimo procedūros pateikiamos mūsų Duomenų privatumo Terms 10 skyriuje, kuriame aprašoma, kaip duomenų subjektų teisės tvarkomos laikantis BDAR. Paprastai “Siemens” nedelsdama praneša klientui, jei “Siemens” gaus duomenų subjekto prašymą pasinaudoti savo duomenų subjekto teisėmis (pvz., teise susipažinti, ištaisyti, ištrinti ar apriboti duomenų tvarkymą). Tuomet “Siemens” padės klientui atlikti technines ir organizacines priemones, kad būtų įvykdytas jo įsipareigojimas atsakyti į tokius prašymus ir laikytis galiojančių duomenų apsaugos įstatymų.
Plėtros praktika
Ar diegiant naujas technologijas jūsų organizacija turi struktūrizuotą “Duomenų apsauga pagal dizainą/numatytuosius nustatymus” metodą? Kaip duomenų apsaugą paverčiate esminiu jūsų duomenų tvarkymo sistemų ir paslaugų pagrindinio funkcionalumo komponentu?
Taip. “Siemens” kompanijai “Privacy by Design” reiškia, kad kuriant mūsų produktus ir paslaugas jau atsižvelgiama į teisėtumą, skaidrumą, informacinį apsisprendimą, duomenų ekonomiką ir duomenų saugumą. Todėl “Privacy by Design” koncepcijos yra integruotos į mūsų produktų kūrimo procesus, kai taikoma.
Taip. Mes nustatėme programinės įrangos kūrimo ir šaltinio kodo saugyklų gaires ir reikalavimus, kurie apima saugumo gaires visame programinės įrangos ir paslaugų kūrimo gyvavimo cikle. Šios gairės apima tokias temas kaip šaltinio kodo priežiūra patvirtintose saugyklose (įskaitant registravimą ir stebėjimą), saugaus kūrimo mokymai programinės įrangos inžinieriams ir programuotojų analitikams bei saugaus kūrimo, testavimo ir veiklos aplinkos reikalavimai.
Mūsų kodavimo praktiką tiesiogiai informuoja Atviras pasaulinis programų saugumo projektas (OWASP) standartai. Įgyvendinamas saugumo testavimo derinys (pvz., Skverbtis, statinė ir (arba) dinaminė analizė), siekiant nustatyti OWASP “Top 10” žiniatinklio programų saugumo riziką ir susijusias problemas. Visos rastos kritinės problemos sprendžiamos kuo greičiau, o mažesnės problemos paprastai sprendžiamos būsimuose leidimuose.
Duomenų apsauga
Taip. Tiek debesies duomenys, tiek duomenys ramybėje (įskaitant atsargines kopijas) yra šifruojami.
Taip. Mūsų darbuotojai privalo kasmet praeiti saugumo informuotumo mokymus. Tame mokyme nagrinėjamos temos apima saugų programų ir įrankių naudojimą, sukčiavimo metodus, slaptažodžių saugumą ir daugiafaktorinį autentifikavimą, informacijos klasifikavimą, mobiliojo darbo ir (arba) namų biuro saugumą, saugų ryšį ir kt.
Taip. Neatskleidimas nagrinėjamas “Siemens” bendrovės direktyvose, kurių kiekvienas darbuotojas sutinka laikytis darbo sutartyse. Mūsų sutartys su partneriais ir pardavėjais taip pat apima konfidencialumo įsipareigojimus ir įgyvendina “Siemens” Rules verslo partneriams, kurios apibrėžia tinkamą konfidencialios informacijos tvarkymą.
Verslo tęstinumas ir atkūrimas po nelaimių
Taip. Mūsų veiksnumo SLA skiriasi, priklausomai nuo paslaugų lygio pakopos, taikomos atitinkamai debesų paslaugai.
Standartinis = 98%
Patobulintas = 99,5%
Maksimalus = 99,95%
(Patobulintas ir maksimalus prieinamumas gali būti nepasiekiamas kiekvienai debesų paslaugai)
Norėdami gauti daugiau informacijos, žr. Debesų palaikymo ir paslaugų lygio sistema (Cloud SLA).
Taip, per mūsų “Gold” palaikymo paslaugų lygį.
Žiūrėkite mūsų Debesų palaikymo ir paslaugų lygio sistema (Cloud SLA) dėl išsamios informacijos.
Taip. Jei palaikymo centre nenurodyta kitaip, “Cloud Services” turi reguliarios priežiūros langą kas savaitę kiekvienam aptarnaujamam regionui, kaip nurodyta toliau:
- Amerika: šeštadienis nuo 1:00 iki pirmadienio 3:00 AM JAV rytinė (GMT -4)
- Europa, Artimieji Rytai ir Afrika: šeštadienis nuo 1:00 iki pirmadienio 3:00 AM Vidurio Europos laiku (GMT +2)
- Azijos ir Ramiojo vandenyno regionas: šeštadienis nuo 1:00 iki pirmadienio 3:00 AM Japonijos standartinis laikas (GMT +9)
Klientai gali užsiprenumeruoti, kad būtų automatiškai pranešta apie planuojamas prastovas mūsų palaikymo centre.
Taip, mes darome atsargines klientų duomenų, talpinamų per mūsų debesijos paslaugas, atsargines kopijas. Visos debesijos paslaugos, teikiamos pagal mūsų standartinį paslaugų lygį, kasdien atlieka atsarginę kopiją, kuri palaikoma dvi savaites, ir mėnesinę atsarginę kopiją, kuri palaikoma tris mėnesius. Vykdant tuos pačius prieigos ir šifravimo procesus kaip ir pradiniai duomenys, visų objektų duomenų atsarginė kopija sukuriama į antrinę sistemos paskyro/duomenų centrą tame pačiame geografiniame regione kaip ir pradiniai duomenys.
Daugiau informacijos apie duomenų saugojimą ir “Siemens” patobulinto ir didžiausio lygio parinktis (prieinamumas skiriasi priklausomai nuo produkto), žr. 3.1 skirsnį Debesų palaikymo ir paslaugų lygio sistema (“Cloud SLA”).
Taip. Mes įgyvendiname reikalavimus informacijos saugumo valdymo procesams, kriterijams ir nuosavybei, kad išlaikytume verslą nepalankiose situacijose.
Duomenų iš atsarginių kopijų atkūrimo procedūros išbandomos ne rečiau kaip kasmet ir yra peržiūrimos kaip vidaus ir išorės audito procesų dalis.