Często zadawane pytania dotyczące cyberbezpieczeństwa firmy Siemens

Tak. Dane w naszych usługach chmurowych domyślnie mają zerowego dostępu. Administratorzy klientów przyznają lub usuwają dostęp użytkownikom.

W ramach Siemens Digital Industry Software (Siemens) co kwartał sprawdzamy konta w chmurze pod kątem dostępu o najmniejszych uprawnieniach. Model ten obejmuje segregację obowiązków, zasadę „trzeba wiedzieć” oraz proces żądania i zatwierdzania wszystkich wniosków o dostęp.

Dostęp do środowiska chmury produkcyjnej jest kontrolowany przez wyznaczony zestaw punktów dostępu i ograniczony do określonych, uprzywilejowanych członków zespołu. Użytkownicy są uwierzytelniani do punktów dostępu przy użyciu danych uwierzytelniających firmy z uwierzytelnianiem sprzętowym wieloskładnikowym (MFA), w zależności od tego, gdzie znajdują się zasoby produkcyjne. Hasła, wraz z uwierzytelnianiem dwuskładnikowym, służą do uzyskiwania dostępu do urządzeń sieciowych. Są one ograniczone do upoważnionych osób i procesów systemowych opartych na obowiązkach zawodowych i są okresowo zmieniane.

Obowiązujące wymagania dotyczące kontroli dostępu obejmują również zarządzanie dostępem użytkowników, dostęp uprzywilejowany, weryfikację dostępu, uwierzytelnianie wieloskładnikowe oraz wygaśnięcie hasła, długość, blokadę i złożoność, a także wymagania dotyczące procesów rejestracji i wyrejestrowania, ograniczenia dostępu, najlepsze praktyki uwierzytelniania i przeglądy praw dostępu użytkowników.

Tak. Dział Siemens Facilities jest odpowiedzialny za ocenę naszych fizycznych lokalizacji, stosowanie fizycznych środków bezpieczeństwa i okresowe dostosowywanie tych środków w razie potrzeby. Fizyczne mechanizmy kontroli dostępu (np. identyfikatory, kontrolowany odbiór, kamery, rejestrowanie dostępu) są wdrażane w budynkach biurowych, centrach danych i innych lokalizacjach firmy Siemens.

Posiadamy różne certyfikaty bezpieczeństwa informacji, w tym ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ i Cyber Essentials Plus.

Aby uzyskać więcej informacji, zobacz Strona Certyfikaty systemowe.

Wdrożyliśmy i nadal monitorujemy znaczną liczbę kontroli w NIST SP 800-53, a nasze wytyczne są zgodne z normą ISO 27001 i ramami zgodności SOC 2.

Tak. Wdrożyliśmy środki techniczne i organizacyjne (TOM) oparte na zasadach ochrony danych, aby chronić nasze systemy, spełnić wymagania RODO i chronić prawa osób, których dane dotyczą.

Aby uzyskać szczegółowe informacje na temat TOMów firmy Siemens, zobacz Załącznik II do naszych Warunków ochrony danych.

Procedury odnoszące się do praw osób, których dane dotyczą, znajdują się w naszych Warunkach ochrony danych, sekcja 10, która opisuje, w jaki sposób prawa osób, których dane dotyczą, są traktowane zgodnie z RODO. Zasadniczo Siemens powiadomi klienta bez zbędnej zwłoki, jeśli Siemens otrzyma od osoby, której dane dotyczą, żądanie skorzystania z praw jej osoby, której dane dotyczą (takich jak prawo dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania). Siemens będzie następnie pomagał klientowi w zakresie środków technicznych i organizacyjnych w celu wypełnienia jego obowiązku odpowiadania na takie żądania i przestrzegania obowiązujących przepisów o ochronie danych.

Patrz Terms ochrony danych.

Czy Twoja organizacja ma ustrukturyzowane podejście „Ochrona danych przez projekt/domyślną” przy wdrażaniu nowych technologii? Jak sprawić, by ochrona danych stała się istotnym elementem podstawowej funkcjonalności systemów i usług przetwarzania danych?

Tak. Dla firmy Siemens Privacy by Design oznacza, że legalność, przejrzystość, samookreślenie informacji, oszczędność danych i bezpieczeństwo danych są już brane pod uwagę przy opracowywaniu naszych produktów i usług. Koncepcje Privacy by Design są zatem w stosownych przypadkach zintegrowane z procesami rozwoju naszych produktów.

Tak. Opracowaliśmy wytyczne i wymagania dotyczące tworzenia oprogramowania i repozytoriów kodu źródłowego, które zawierają wytyczne dotyczące bezpieczeństwa w całym cyklu życia oprogramowania i usług. Wytyczne te obejmują takie tematy, jak utrzymanie kodu źródłowego w zatwierdzonych repozytoriach (w tym rejestrowanie i monitorowanie), szkolenie w zakresie bezpiecznego rozwoju dla inżynierów oprogramowania i analityków programistów oraz wymagania dotyczące bezpiecznego rozwoju, testowania i środowisk operacyjnych.

Nasze praktyki kodowania są bezpośrednio informowane przez Otwórz ogólnoświatowy projekt bezpieczeństwa aplikacji (OWASP) standardów. Kombinacja testów bezpieczeństwa (takich jak penetracja, analiza statyczna i/lub dynamiczna) jest wdrażana w celu zidentyfikowania zagrożeń bezpieczeństwa aplikacji internetowych OWASP „Top 10” i powiązanych problemów. Wszelkie znalezione krytyczne problemy są rozwiązywane tak szybko, jak to możliwe, podczas gdy mniejsze problemy są zwykle rozwiązywane w przyszłych wydaniach.

Tak. Zarówno dane w chmurze podczas transportu, jak i dane w spoczynku (w tym kopie zapasowe) są szyfrowane.

Tak. Nasi pracownicy są zobowiązani do corocznego szkolenia w zakresie świadomości bezpieczeństwa. Tematy poruszane w tym szkoleniu obejmują bezpieczne korzystanie z programów i narzędzi, metody phishingu, bezpieczeństwo haseł i uwierzytelnianie wieloskładnikowe, klasyfikację informacji, bezpieczeństwo mobilnego biura pracy/domu, bezpieczną komunikację i inne.

Tak. Nieujawnianie informacji jest omówione w dyrektywach firmy Siemens, których każdy pracownik zgadza się przestrzegać w umowach o pracę. Nasze umowy z naszymi partnerami i dostawcami obejmują również obowiązki poufności i wdrażają Rules Siemens dla Partnerów Biznesowych, które określają prawidłowe obchodzenie się z informacjami poufnymi.

Tak. Nasza usługa SLA na czas pracy jest różna, w zależności od poziomu usług stosowanego do danej usługi w chmurze.

Standard = 98%

Ulepszony = 99,5%

Maksymalnie = 99,95%

(Ulepszona i maksymalna dostępność może nie być dostępna dla każdej usługi w chmurze)

Aby uzyskać szczegółowe informacje, zobacz Wsparcie w chmurze i poziom usług (Cloud SLA).

tak, poprzez nasz poziom usług wsparcia Gold.

Zobacz nasze Wsparcie w chmurze i poziom usług (Cloud SLA) dla szczegółów.

Tak. O ile w Centrum pomocy technicznej nie określono inaczej, usługi w chmurze mają co tydzień okno regularnej konserwacji dla każdego obsługiwanego regionu, w następujący sposób:

• Ameryka: sobota od 1:00 do poniedziałku 3:00 US Eastern (GMT -4)
• Europa, Bliski Wschód i Afryka: sobota od 1:00 do poniedziałku 3:00 czasu środkowoeuropejskiego (GMT +2)
• Azja i Pacyfik: sobota od 1:00 do poniedziałku 3:00 czasu japońskiego standardowego (GMT +9)

Klienci mogą subskrybować, aby otrzymywać automatyczne powiadomienia o zaplanowanych przestojach w naszym Centrum Pomocy.

Tak, tworzymy kopie zapasowe danych klientów hostowanych za pośrednictwem naszych usług w chmurze. Wszystkie usługi w chmurze, które są świadczone na naszym standardowym poziomie usług, wykonują codzienną kopię zapasową, która jest utrzymywana przez dwa tygodnie, oraz miesięczną kopię zapasową, która jest utrzymywana przez trzy miesiące. Zgodnie z tymi samymi procesami dostępu i szyfrowania, co oryginalne dane, kopie zapasowe wszystkich danych obiektowych są tworzone na drugorzędnym koncie systemowym lub centrum danych w tym samym regionie geograficznym, co oryginalne dane.

Aby uzyskać więcej informacji na temat przechowywania danych oraz opcji rozszerzonego i maksymalnego poziomu Siemens (dostępność różni się w zależności od produktu), zobacz sekcję 3.1 w sekcji Wsparcie w chmurze i poziom usług („Cloud SLA”).

Tak. Wdrażamy wymagania dotyczące procesów zarządzania bezpieczeństwem informacji, kryteriów i własności, aby utrzymać firmę w niekorzystnych sytuacjach.

Procedury przywracania danych z kopii zapasowych są testowane co najmniej raz w roku i są poddawane przeglądowi w ramach wewnętrznych i zewnętrznych procesów audytu.