Vanlige spørsmål om Siemens cybersikkerhet
Les våre vanlige spørsmål om cybersikkerhet for å lære om tiltakene Siemens Digital Industries Software (DI SW) tar med sikkerheten til systemene våre.
Adgangskontroll
Ja. Data i skytjenestene våre har som standard null tilgang. Kundeadministratorer vil gi eller fjerne tilgang til brukere.
Innenfor Siemens Digital Industry Software (Siemens) gjennomgår vi skykontoer for tilgang med minst privilegier kvartalsvis. Denne modellen inkluderer adskillelse av plikter, «behov for å vite» -prinsippet og en forespørsel og godkjenningsprosess for alle tilgangsforespørsler.
Tilgangen til produksjonsmiljøet styres gjennom et angitt sett med tilgangspunkter og er begrenset til bestemte, privilegerte teammedlemmer. Brukere godkjennes til tilgangspunkter ved hjelp av bedriftslegitimasjon med multifaktorautentisering (MFA) for maskinvare, avhengig av hvor produksjonsmidlene befinner seg. Passord, sammen med tofaktorautentisering, brukes til å få tilgang til nettverksenheter. Disse er begrenset til autoriserte personer og systemprosesser basert på jobbansvar og endres med jevne mellomrom.
Gjeldende tilgangskontrollkrav inkluderer også administrasjon av brukertilgang, privilegert tilgang, tilgangsgjennomgang, flerfaktorautentisering og passordutløp, lengde, lockout og kompleksitet, sammen med krav til registrerings- og avregistreringsprosesser, tilgangsbegrensning, beste praksis for legitimasjon, og gjennomgang av brukertilgangsrettigheter.
Ja. Siemens Facilities avdeling er ansvarlig for å vurdere våre fysiske lokasjoner, iverksette fysiske sikkerhetstiltak og periodisk justere disse tiltakene etter behov. Fysiske tilgangskontrollmekanismer (f.eks. identifikasjonsmerker, kontrollert mottak, kameraer, tilgangslogging) implementeres på kontorbygg, datasentre og andre Siemens-lokasjoner.
Sertifiseringer og standarder
Vi opprettholder ulike informasjonssikkerhetssertifiseringer, inkludert ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ og Cyber Essentials Plus.
For mer informasjon, se Systemsertifikat-siden.
Vi har implementert og fortsetter å overvåke et betydelig antall av kontrollene i NIST SP 800-53, og retningslinjene våre er i tråd med ISO 27001 og SOC 2-samsvarsrammene.
Personvern
Ja. Vi har implementert tekniske og organisatoriske tiltak (TOM) basert på databeskyttelsesprinsipper for å beskytte systemene våre, oppfylle GDPR-kravene og beskytte rettighetene til registrerte.
For detaljer om Siemens TOMs, se Vedlegg II til våre Data Privacy Terms.
Prosedyrer for å håndtere rettighetene til registrerte finnes i våre Data Privacy Terms, avsnitt 10, som beskriver hvordan registrertes rettigheter håndteres i samsvar med GDPR. Generelt vil Siemens varsle kunden uten unødig forsinkelse hvis Siemens mottar en forespørsel fra en registrert om å utøve sine registrertes rettigheter (for eksempel retten til tilgang, korrigering, sletting eller begrensning av behandling). Siemens vil deretter bistå kunden med tekniske og organisatoriske tiltak for å oppfylle sin forpliktelse til å svare på slike forespørsler og for å overholde gjeldende personvernlovgivning.
Utviklingspraksis
Har organisasjonen en strukturert «Data Protection by Design/Default» -tilnærming når de implementerer ny teknologi? Hvordan gjør du databeskyttelse til en viktig komponent i kjernefunksjonaliteten til behandlingssystemene og tjenestene dine?
-Ja. For Siemens betyr Privacy by Design at lovlighet, åpenhet, informasjonsmessig selvbestemmelse, dataøkonomi og datasikkerhet allerede er tatt i betraktning når vi utvikler våre produkter og tjenester. Privacy by Design-konsepter er derfor integrert i produktutviklingsprosessene våre der det er aktuelt.
-Ja. Vi har etablert retningslinjer og krav til programvareutvikling og kildekodelager, som inkluderer retningslinjer for sikkerhet gjennom hele programvare- og tjenesteutviklingslivssyklusen. Disse retningslinjene dekker emner som vedlikehold av kildekode i godkjente depoter (inkludert logging og overvåking), sikker utviklingsopplæring for programvareingeniører og programmereranalytikere, og krav til sikker utvikling, testing og driftsmiljøer.
Vår kodingspraksis er direkte informert av Åpent Worldwide Application Security Project (OWASP) standarder. En kombinasjon av sikkerhetstesting (for eksempel penetrasjon, statisk og/eller dynamisk analyse) implementeres for å identifisere OWASPs «Topp 10» sikkerhetsrisikoer for webapplikasjoner og relaterte problemer. Eventuelle kritiske problemer som er funnet, løses så snart det er mulig, mens mindre problemer vanligvis behandles i fremtidige utgivelser.
Databeskyttelse
Ja. Både skydata under overføring og data i hvile (inkludert sikkerhetskopier) er kryptert.
-Ja. Våre ansatte er pålagt å gjennomgå opplæring i sikkerhetsbevissthet på årlig basis. Temaene som dekkes i den opplæringen inkluderer sikker bruk av programmer og verktøy, phishing-metoder, passordsikkerhet og multifaktorautentisering, informasjonsklassifisering, mobilarbeid/hjemmekontorsikkerhet, sikker kommunikasjon og mer.
-Ja. Ikke-avsløring er adressert i Siemens selskapets direktiver, som hver ansatt samtykker i å overholde i ansettelsesavtalene. Våre avtaler med våre partnere og leverandører inkluderer også taushetsplikt og implementerer Siemens Rules for Business Partners, som definerer riktig håndtering av konfidensiell informasjon.
Forretningskontinuitet og katastrofegjenoppretting
Ja. Vår SLA for oppetid varierer, avhengig av tjenestenivånivået som gjelder for den respektive skytjenesten.
Standard = 98%
Forbedret = 99,5%
Maksimum = 99,95%
(Forbedret og maksimal tilgjengelighet er kanskje ikke tilgjengelig for alle skytjenester)
For detaljer, se Cloud Support og Service Level Framework (Cloud SLA).
Ja, via vårt Gold-støttetjenestenivå.
Se vår Cloud Support og Service Level Framework (Cloud SLA) for detaljer.
-Ja. Med mindre annet er spesifisert i støttesenteret, har skytjenester et regelmessig vedlikeholdsvindu ukentlig per servert region som følger:
- Amerika: Lørdag 01:00 til mandag 03:00 US Eastern (GMT -4)
- Europa, Midtøsten og Afrika: Lørdag 01:00 til mandag 03:00 sentraleuropeisk tid (GMT +2)
- Asia-Stillehavet: Lørdag 01:00 til mandag 03:00 Japansk standardtid (GMT +9)
Kunder kan abonnere på å bli varslet automatisk om planlagte nedetider i vårt kundestøttesenter.
Ja, vi sikkerhetskopierer kundedata via skytjenestene våre. Alle skytjenester som leveres under vårt standard servicenivå, utfører en daglig sikkerhetskopi som opprettholdes i to uker, og en månedlig sikkerhetskopi som opprettholdes i tre måneder. Etter de samme tilgangs- og krypteringsprosessene som de opprinnelige dataene, sikkerhetskopieres alle objektdata til en sekundær systemkonto/datasenter i samme geografiske område som de opprinnelige dataene.
For mer informasjon om datalagring og Siemens' forbedrede og maksimale nivåalternativer (tilgjengeligheten varierer fra produkt til produkt), se avsnitt 3.1 i Cloud Support og Service Level Framework («Cloud SLA»).
-Ja. Vi implementerer krav til informasjonssikkerhetsstyringsprosesser, kriterier og eierskap for å opprettholde virksomheten i ugunstige situasjoner.
Prosedyrer for å gjenopprette data fra sikkerhetskopier testes minst årlig og gjennomgås som en del av interne og eksterne revisjonsprosesser.