Veelgestelde vragen over cyberbeveiliging van Siemens

Ja. Gegevens in onze clouddiensten hebben standaard geen toegang. Klantbeheerders zullen gebruikers toegang verlenen of verwijderen.

Binnen Siemens Digital Industry Software (Siemens) beoordelen we elk kwartaal accounts in de cloud op toegang met de minste rechten. Dit model omvat functiescheiding, het „need to know” -principe en een aanvraag- en goedkeuringsproces voor alle toegangsverzoeken.

De toegang tot de productiecloudomgeving wordt beheerd via een aangewezen set toegangspunten en is beperkt tot specifieke, bevoorrechte teamleden. Gebruikers worden bij toegangspunten geverifieerd met behulp van bedrijfsgegevens met meervoudige hardware-authenticatie (MFA), afhankelijk van waar de productiemiddelen zich bevinden. Wachtwoorden worden, samen met tweefactorauthenticatie, gebruikt om toegang te krijgen tot netwerkapparaten. Deze zijn beperkt tot bevoegde personen en systeemprocessen zijn gebaseerd op functieverantwoordelijkheden en worden periodiek gewijzigd.

De toepasselijke vereisten voor toegangscontrole omvatten ook het beheer van gebruikerstoegang, geprivilegieerde toegang, toegangscontrole, meervoudige authenticatie en het verlopen van wachtwoorden, de duur, de uitsluiting en de complexiteit, evenals vereisten voor registratie- en uitschrijvingsprocessen, toegangsbeperkingen, beste praktijken op het gebied van inloggegevens en beoordelingen van de toegangsrechten van gebruikers.

Ja. De afdeling Faciliteiten van Siemens is verantwoordelijk voor het beoordelen van onze fysieke locaties, het toepassen van fysieke veiligheidsmaatregelen en het periodiek aanpassen van die maatregelen indien nodig. Fysieke toegangscontrolemechanismen (bijv. identificatiebadges, gecontroleerde ontvangst, camera's, toegangsregistratie) worden geïmplementeerd in kantoorgebouwen, datacenters en andere locaties van Siemens.

We beschikken over verschillende certificeringen voor informatiebeveiliging, waaronder ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ en Cyber Essentials Plus.

Voor meer informatie, zie de Pagina met systeemcertificaten.

We hebben een aanzienlijk aantal controles in NIST SP 800-53 geïmplementeerd en blijven deze controleren, en onze richtlijnen zijn in overeenstemming met ISO 27001 en de kaders voor naleving van SOC 2.

Ja. We hebben technische en organisatorische maatregelen (TOM's) geïmplementeerd op basis van gegevensbeschermingsbeginselen om onze systemen te beschermen, te voldoen aan de GDPR-vereisten en de rechten van betrokkenen te beschermen.

Voor meer informatie over de TOM's van Siemens, zie Bijlage II bij onze Data Privacy Terms.

De procedures voor de behandeling van de rechten van betrokkenen zijn te vinden in onze Data Privacy Terms, Sectie 10, waarin wordt beschreven hoe de rechten van betrokkenen worden behandeld in overeenstemming met de GDPR. Over het algemeen stelt Siemens de klant zonder onnodige vertraging op de hoogte als Siemens een verzoek ontvangt van een betrokkene om de rechten van de betrokkene uit te oefenen (zoals het recht op toegang, rectificatie, verwijdering of beperking van de verwerking). Siemens zal de klant vervolgens helpen met technische en organisatorische maatregelen om te voldoen aan zijn verplichting om te reageren op dergelijke verzoeken en om te voldoen aan de toepasselijke wetgeving inzake gegevensbescherming.

Zie Terms inzake gegevensbescherming.

Heeft uw organisatie een gestructureerde „Data Protection by Design/Default” -benadering bij de implementatie van nieuwe technologieën? Hoe maakt u van gegevensbescherming een essentieel onderdeel van de kernfunctionaliteit van uw verwerkingssystemen en -diensten?

Ja. Voor Siemens betekent Privacy by Design dat bij de ontwikkeling van onze producten en diensten al rekening wordt gehouden met legaliteit, transparantie, informatiezelfbeschikking, data-economie en gegevensbeveiliging. Privacy by Design-concepten zijn daarom waar van toepassing geïntegreerd in onze productontwikkelingsprocessen.

Ja. We hebben richtlijnen en vereisten opgesteld voor softwareontwikkeling en broncode-opslagplaatsen, waaronder richtlijnen voor beveiliging gedurende de hele ontwikkelingscyclus van software en services. Deze richtlijnen hebben betrekking op onderwerpen zoals het onderhoud van broncode in goedgekeurde opslagplaatsen (waaronder logboekregistratie en monitoring), veilige ontwikkelingstraining voor software-ingenieurs en programmeuranalisten, en vereisten voor veilige ontwikkelings-, test- en operationele omgevingen.

Onze coderingspraktijken zijn rechtstreeks gebaseerd op de Open Worldwide Application Security Project (OWASP) standaarden. Er wordt een combinatie van beveiligingstests (zoals penetratietests, statische en/of dynamische analyses) geïmplementeerd om de beveiligingsrisico's en gerelateerde problemen van OWASP in kaart te brengen in de „Top 10” van de OWASP. Alle kritieke problemen die worden gevonden, worden zo snel mogelijk opgelost, terwijl kleinere problemen doorgaans in toekomstige versies worden behandeld.

Ja. Zowel gegevens in de cloud die onderweg zijn als gegevens die in rust zijn (inclusief back-ups) zijn versleuteld.

Ja. Onze werknemers moeten jaarlijks een veiligheidsbewustzijnstraining volgen. Onderwerpen die in die training aan bod komen, zijn onder meer veilig gebruik van programma's en hulpmiddelen, phishingmethoden, wachtwoordbeveiliging en meervoudige authenticatie, informatieclassificatie, beveiliging van mobiel werken of thuiswerken, veilige communicatie, en meer.

Ja. Geheimhouding komt aan de orde in de bedrijfsrichtlijnen van Siemens, die elke werknemer in de arbeidsovereenkomsten aanvaardt na te leven. Onze overeenkomsten met onze partners en leveranciers omvatten ook vertrouwelijkheidsverplichtingen en implementeren de Rules for Business Partners van Siemens, waarin de juiste behandeling van vertrouwelijke informatie is vastgelegd.

Ja. Onze SLA voor uptime varieert, afhankelijk van het serviceniveau dat van toepassing is op de betreffende cloudservice.

Standaard = 98%

Verbeterd = 99,5%

Maximaal = 99,95%

(Verbeterde en maximale beschikbaarheid is mogelijk niet voor elke cloudservice beschikbaar)

Voor meer informatie, zie de Cloudondersteuning en Service Level Framework (Cloud SLA).

Ja, via ons serviceniveau voor ondersteuning in Gold.

Bekijk onze Cloudondersteuning en Service Level Framework (Cloud SLA) voor meer informatie.

Ja. Tenzij anders aangegeven in het Ondersteuningscentrum, hebben cloudservices wekelijks een venster voor regelmatig onderhoud per regio, dat als volgt luidt:

• Noord- en Zuid-Amerika: zaterdag 01:00 tot maandag 03:00 uur in het oosten van de VS (GMT-4)
• Europa, het Midden-Oosten en Afrika: zaterdag 01.00 uur tot maandag 03.00 uur Midden-Europese tijd (GMT+2)
• Azië-Pacific: zaterdag 01:00 tot maandag 03:00 uur Japanse standaardtijd (GMT+9)

Klanten kunnen zich abonneren om automatisch op de hoogte te worden gesteld van geplande uitvaltijden in ons ondersteuningscentrum.

Ja, we maken een back-up van klantgegevens die via onze clouddiensten worden gehost. Alle clouddiensten die onder ons standaard serviceniveau worden geleverd, voeren een dagelijkse back-up uit die gedurende twee weken wordt onderhouden, en een maandelijkse back-up die drie maanden wordt onderhouden. Na dezelfde toegangs- en coderingsprocessen als de oorspronkelijke gegevens wordt een back-up gemaakt van alle objectgegevens naar een tweede systeemaccount/datacenter in dezelfde geografische regio als de oorspronkelijke gegevens.

Voor meer informatie over gegevensbewaring en de opties voor verbeterd en maximaal niveau van Siemens (beschikbaarheid varieert per product), zie paragraaf 3.1 in de Cloudondersteuning en Service Level Framework („Cloud SLA”).

Ja. We implementeren vereisten voor beheerprocessen, criteria en eigendom van informatiebeveiliging om het bedrijf in ongunstige situaties in stand te houden.

Procedures voor het herstellen van gegevens uit back-ups worden minstens jaarlijks getest en worden beoordeeld als onderdeel van interne en externe auditprocessen.