Perguntas frequentes sobre segurança cibernética da Siemens

Sim. Os dados nos nossos serviços na nuvem, por defeito, têm acesso zero. Os administradores do cliente concederão ou removerão o acesso aos utilizadores.

Dentro da Siemens Digital Industry Software (Siemens), analisamos as contas na nuvem para obter acesso de privilégio mínimo trimestralmente. Este modelo inclui a segregação de funções, o princípio da “necessidade de saber” e um processo de pedido e aprovação para todos os pedidos de acesso.

O acesso ao ambiente da nuvem de produção é controlado através de um conjunto designado de pontos de acesso e restrito a membros específicos e privilegiados da equipa. Os utilizadores são autenticados nos pontos de acesso usando credenciais da empresa com autenticação multifator de hardware (MFA) dependendo de onde os ativos de produção estão localizados. As palavras-passe, juntamente com a autenticação de dois fatores, são utilizadas para aceder a dispositivos de rede. Estes são restritos a indivíduos autorizados e processos do sistema com base nas responsabilidades do trabalho e são alterados periodicamente.

Os requisitos de controlo de acesso aplicáveis também incluem gestão de acesso do utilizador, acesso privilegiado, revisão de acesso, autenticação multifator e expiração da palavra-passe, duração, bloqueio e complexidade, juntamente com requisitos para processos de registo e cancelamento de registo, restrição de acesso, melhores práticas de credenciais e revisões dos direitos de acesso do utilizador.

Sim. O departamento de Instalações da Siemens é responsável por avaliar as nossas localizações físicas, aplicar medidas de segurança física e ajustar periodicamente essas medidas conforme necessário. Mecanismos físicos de controlo de acesso (por exemplo, crachás de identificação, recepção controlada, câmaras, registo de acesso) são implementados em edifícios de escritórios, centros de dados e outros locais da Siemens.

Mantemos várias certificações de segurança da informação, incluindo ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ e Cyber Essentials Plus.

Para mais informações, consulte o Página Certificados do Sistema.

Implementamos e continuamos a monitorizar um número significativo de controlos no NIST SP 800-53 e as nossas orientações estão alinhadas com a ISO 27001 e as estruturas de conformidade SOC 2.

Sim. Implementámos medidas técnicas e organizacionais (TOMs) com base nos princípios de proteção de dados para proteger os nossos sistemas, cumprir os requisitos do RGPD e proteger os direitos dos titulares dos dados.

Para mais detalhes sobre os TOMs da Siemens, consulte Anexo II aos nossos Terms de Privacidade de Dados.

Os procedimentos para abordar os direitos dos titulares dos dados encontram-se nos nossos Terms de Privacidade de Dados, Secção 10, que descreve como os direitos dos titulares dos dados são tratados em conformidade com o RGPD. Geralmente, a Siemens notificará o cliente sem demora injustificada se a Siemens receber um pedido de um titular de dados para exercer os direitos do titular dos dados (como o direito de acesso, retificação, apagamento ou restrição de processamento). A Siemens irá então ajudar o cliente com medidas técnicas e organizacionais para o cumprimento da sua obrigação de responder a tais solicitações e cumprir a lei de proteção de dados aplicável.

Ver Terms de Privacidade de Dados.

A sua organização tem uma abordagem estruturada de “Data Protection by Design/Default” ao implementar novas tecnologias? Como faz da proteção de dados um componente essencial da funcionalidade principal dos seus sistemas e serviços de processamento?

Sim. Para a Siemens, Privacy by Design significa que a legalidade, a transparência, a autodeterminação informacional, a economia de dados e a segurança dos dados já são tidas em conta no desenvolvimento dos nossos produtos e serviços. Os conceitos de Privacy by Design estão, portanto, integrados nos nossos processos de desenvolvimento de produtos, quando aplicável.

Sim. Estabelecemos diretrizes e requisitos para o desenvolvimento de software e repositórios de código-fonte, que incluem diretrizes de segurança ao longo do ciclo de vida de desenvolvimento de software e serviços. Estas orientações abrangem tópicos como a manutenção do código-fonte em repositórios aprovados (incluindo registo e monitorização), formação de desenvolvimento seguro para engenheiros de software e analistas programadores e requisitos para ambientes seguros de desenvolvimento, teste e operacionais.

As nossas práticas de codificação são informadas diretamente pelo Open Worldwide Application Security Project (OWASP) padrões. Uma combinação de testes de segurança (como penetração, análise estática e/ou dinâmica) é implementada para identificar os “10 principais” riscos de segurança da aplicação web do OWASP e problemas relacionados. Quaisquer problemas críticos encontrados são resolvidos o mais rápido possível, enquanto problemas menores são normalmente abordados em versões futuras.

Sim. Tanto os dados na nuvem em trânsito como os dados em repouso (incluindo backups) são encriptados.

Sim. Os nossos funcionários são obrigados a passar por uma formação de sensibilização de segurança numa base anual. Os tópicos abordados nessa formação incluem o uso seguro de programas e ferramentas, métodos de phishing, segurança de palavra-passe e autenticação multifator, classificação de informações, segurança de trabalho móvel/home office, comunicação segura e muito mais.

Sim. A não divulgação é abordada nas Diretivas da Empresa Siemens, que todos os funcionários concordam em aderir nos contratos de trabalho. Os nossos acordos com os nossos parceiros e fornecedores também incluem obrigações de confidencialidade e implementam as Rules da Siemens para Parceiros de Negócios, que definem o tratamento adequado de informações confidenciais.

Sim. O nosso SLA de tempo de atividade varia, dependendo do nível de nível de serviço aplicável ao respectivo serviço na nuvem.

Padrão = 98%

Melhorado = 99,5%

Máximo = 99,95%

(A disponibilidade melhorada e máxima pode não estar disponível para todos os serviços na nuvem)

Para mais detalhes, consulte o Suporte na nuvem e estrutura de nível de serviço (Cloud SLA).

Sim, através do nosso nível de serviço de suporte Gold.

Veja o nosso Suporte Cloud e Estrutura de Nível de Serviço (Cloud SLA) para detalhes.

Sim. Salvo indicação em contrário no Centro de Suporte, os Serviços em Nuvem têm uma Janela de Manutenção Regular semanal por região servida, da seguinte forma:

• Américas: Sábado das 1h00 a Segunda-feira 3:00 AM Leste dos EUA (GMT -4)
• Europa, Médio Oriente e África: Sábado das 1h00 às 2h00 às 2h00 Horário da Europa Central (GMT +2)
• Ásia-Pacífico: Sábado das 1:00 às Segunda-feira 3:00 AM Hora Padrão do Japão (GMT +9)

Os clientes podem subscrever para serem notificados automaticamente de paragens programadas no nosso Centro de Suporte.

Sim, fazemos backup dos dados dos clientes alojados através dos nossos serviços na nuvem. Todos os serviços na nuvem que são fornecidos ao abrigo do nosso nível de serviço padrão, realizam um backup diário que é mantido durante duas semanas, e um backup mensal que é mantido durante três meses. Seguindo os mesmos processos de acesso e encriptação que os dados originais, todos os dados do objeto são copiados numa conta/centro de dados do sistema secundário na mesma região geográfica que os dados originais.

Para obter mais informações sobre a retenção de dados e as opções de nível avançado e máximo da Siemens (a disponibilidade varia de acordo com o produto), consulte a Secção 3.1 do Suporte Cloud e Estrutura de Nível de Serviço (“Cloud SLA”).

Sim. Implementamos requisitos para processos, critérios e propriedade de gestão da segurança da informação para sustentar o negócio em situações adversas.

Os procedimentos para restaurar dados de backups são testados pelo menos anualmente e são revistos como parte dos processos de auditoria interna e externa.