Perguntas frequentes sobre cibersegurança da Siemens

Sim Os dados em nossos serviços em nuvem, por padrão, não têm acesso. Os administradores do cliente concederão ou removerão o acesso aos usuários.

Na Siemens Digital Industry Software (Siemens), analisamos trimestralmente as contas de nuvem para obter acesso com menos privilégios. Esse modelo inclui a segregação de funções, o princípio da “necessidade de saber” e um processo de solicitação e aprovação para todas as solicitações de acesso.

O acesso ao ambiente de produção em nuvem é controlado por meio de um conjunto designado de pontos de acesso e restrito a membros específicos e privilegiados da equipe. Os usuários são autenticados nos pontos de acesso usando as credenciais da empresa com autenticação multifator (MFA) de hardware, dependendo de onde os ativos de produção estão localizados. As senhas, junto com a autenticação de dois fatores, são usadas para acessar dispositivos de rede. Eles são restritos a indivíduos autorizados e processos do sistema com base nas responsabilidades do trabalho e são alterados periodicamente.

Os requisitos de controle de acesso aplicáveis também incluem gerenciamento de acesso de usuários, acesso privilegiado, revisão de acesso, autenticação multifator e expiração, comprimento, bloqueio e complexidade da senha, além de requisitos para processos de registro e cancelamento de registro, restrição de acesso, melhores práticas de credenciais e análises dos direitos de acesso do usuário.

Sim. O departamento de instalações da Siemens é responsável por avaliar nossas localizações físicas, aplicar medidas de segurança física e ajustá-las periodicamente conforme necessário. Mecanismos físicos de controle de acesso (por exemplo, crachás de identificação, recepção controlada, câmeras, registro de acesso) são implementados em prédios de escritórios, data centers e outros locais da Siemens.

Mantemos várias certificações de segurança da informação, incluindo ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ e Cyber Essentials Plus.

Para obter mais informações, consulte o Página de certificados do sistema.

Implementamos e continuamos monitorando um número significativo de controles no NIST SP 800-53 e nossas diretrizes estão alinhadas com a ISO 27001 e as estruturas de conformidade do SOC 2.

Sim. Implementamos medidas técnicas e organizacionais (TOMs) com base nos princípios de proteção de dados para proteger nossos sistemas, atender aos requisitos do GDPR e proteger os direitos dos titulares dos dados.

Para obter detalhes sobre os TOMs da Siemens, consulte Anexo II aos nossos Termos de Privacidade de Dados.

Os procedimentos para abordar os direitos dos titulares de dados são encontrados em nossos Termos de Privacidade de Dados, Seção 10, que descreve como os direitos dos titulares de dados são tratados em conformidade com o GDPR. Geralmente, a Siemens notificará o cliente sem demora injustificada se a Siemens receber uma solicitação de um titular de dados para exercer os direitos do titular dos dados (como o direito de acesso, retificação, exclusão ou restrição de processamento). A Siemens então ajudará o cliente com medidas técnicas e organizacionais para o cumprimento de sua obrigação de responder a tais solicitações e cumprir a lei de proteção de dados aplicável.

Veja Termos de privacidade de dados.

Sua organização tem uma abordagem estruturada de “Proteção de dados por design/padrão” ao implementar novas tecnologias? Como você faz da proteção de dados um componente essencial da funcionalidade principal de seus sistemas e serviços de processamento?

Sim Para a Siemens, Privacy by Design significa que legalidade, transparência, autodeterminação informacional, economia de dados e segurança de dados já são levadas em consideração ao desenvolver nossos produtos e serviços. Os conceitos de Privacy by Design são, portanto, integrados aos nossos processos de desenvolvimento de produtos, quando aplicável.

Sim Estabelecemos diretrizes e requisitos para desenvolvimento de software e repositórios de código-fonte, que incluem diretrizes de segurança em todo o ciclo de vida de desenvolvimento de software e serviços. Essas diretrizes abrangem tópicos como manutenção do código-fonte em repositórios aprovados (incluindo registro e monitoramento), treinamento seguro de desenvolvimento para engenheiros de software e analistas programadores e requisitos para ambientes seguros de desenvolvimento, teste e operação.

Nossas práticas de codificação são informadas diretamente pelo Projeto Open Worldwide Application Security (OWASP) padrões. Uma combinação de testes de segurança (como análise de penetração, estática e/ou dinâmica) é implementada para identificar os “10 principais” riscos de segurança de aplicativos web da OWASP e problemas relacionados. Quaisquer problemas críticos encontrados são resolvidos assim que possível, enquanto problemas menores geralmente são resolvidos em versões futuras.

Sim Tanto os dados na nuvem em trânsito quanto os dados em repouso (incluindo backups) são criptografados.

Sim. Nossos funcionários devem passar por um treinamento de conscientização sobre segurança anualmente. Os tópicos abordados nesse treinamento incluem o uso seguro de programas e ferramentas, métodos de phishing, segurança de senhas e autenticação multifatorial, classificação de informações, segurança móvel para trabalho/escritório doméstico, comunicação segura e muito mais.

Sim A confidencialidade é abordada nas Diretrizes da Siemens Company, que todos os funcionários concordam em cumprir nos contratos de trabalho. Nossos acordos com nossos parceiros e fornecedores também incluem obrigações de confidencialidade e implementam as Regras da Siemens para Parceiros de Negócios, que definem o tratamento adequado de informações confidenciais.

Sim. Nosso SLA de tempo de atividade varia, dependendo do nível de serviço aplicável ao respectivo serviço de nuvem.

Padrão = 98%

Melhorado = 99,5%

Máximo = 99,95%

(A disponibilidade aprimorada e máxima pode não estar disponível para todos os serviços em nuvem)

Para obter detalhes, consulte o Estrutura de suporte e nível de serviço na nuvem (Cloud SLA).

sim, por meio do nosso nível de serviço de suporte Gold.

Veja nosso Estrutura de suporte e nível de serviço na nuvem (Cloud SLA) para obter detalhes.

Sim A menos que especificado de outra forma no Centro de Suporte, os Serviços em Nuvem têm uma Janela de Manutenção Regular semanal por região atendida, da seguinte forma:

• Américas: de sábado, da 1h à segunda-feira, às 3h do Leste dos EUA (GMT -4)
• Europa, Oriente Médio e África: de sábado, da 1h à segunda-feira, às 3h, horário da Europa Central (GMT +2)
• Ásia-Pacífico: sábado, da 1h à segunda-feira, às 3h, horário padrão do Japão (GMT +9)

Os clientes podem se inscrever para serem notificados automaticamente sobre os períodos de inatividade programados em nosso Centro de Suporte.

Sim, fazemos backup dos dados do cliente hospedados por meio de nossos serviços em nuvem. Todos os serviços em nuvem fornecidos sob nosso nível de serviço padrão realizam um backup diário que é mantido por duas semanas e um backup mensal que é mantido por três meses. Seguindo os mesmos processos de acesso e criptografia dos dados originais, todos os dados do objeto são copiados em uma conta/data center do sistema secundário na mesma região geográfica dos dados originais.

Para obter mais informações sobre retenção de dados e as opções de nível Avançado e Máximo da Siemens (a disponibilidade varia de acordo com o produto), consulte a Seção 3.1 na Estrutura de suporte e nível de serviço na nuvem (“Cloud SLA”).

Sim Implementamos requisitos para processos, critérios e propriedade de gerenciamento de segurança da informação para sustentar os negócios em situações adversas.

Os procedimentos para restaurar dados de backups são testados pelo menos uma vez por ano e revisados como parte dos processos de auditoria interna e externa.