Întrebări frecvente Siemens privind securitatea cibernetică

Da. Datele din serviciile noastre cloud, în mod implicit, au acces zero. Administratorii de clienți vor acorda sau elimina accesul utilizatorilor.

În cadrul Siemens Digital Industry Software (Siemens), analizăm trimestrial conturile cloud pentru accesul cu cel mai mic privilegiu. Acest model include segregarea sarcinilor, principiul „nevoii de a cunoaște” și un proces de solicitare și aprobare pentru toate cererile de acces.

Accesul la mediul cloud de producție este controlat printr-un set desemnat de puncte de acces și limitat la anumiți membri ai echipei privilegiați. Utilizatorii sunt autentificați la punctele de acces utilizând acreditările companiei cu autentificare hardware multi-factor (MFA), în funcție de locul în care se află activele de producție. Parolele, împreună cu autentificarea cu doi factori, sunt utilizate pentru a accesa dispozitivele de rețea. Acestea sunt limitate la persoanele autorizate și procesele de sistem bazate pe responsabilitățile postului și sunt modificate periodic.

Cerințele aplicabile de control al accesului includ, de asemenea, gestionarea accesului utilizatorului, accesul privilegiat, revizuirea accesului, autentificarea cu mai mulți factori și expirarea parolei, durata, blocarea și complexitatea, împreună cu cerințele pentru procesele de înregistrare și dezînregistrare, restricționarea accesului, cele mai bune practici de acreditare și revizuiri ale drepturilor de acces ale utilizatorilor.

Da. Departamentul Siemens Facilities este responsabil pentru evaluarea locațiilor noastre fizice, aplicarea măsurilor de securitate fizică și ajustarea periodică a acestor măsuri, după cum este necesar. Mecanismele fizice de control al accesului (de exemplu, insigne de identificare, recepție controlată, camere, înregistrarea accesului) sunt implementate în clădirile de birouri, centrele de date și alte locații Siemens.

Menținem diverse certificări de securitate a informațiilor, inclusiv ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ și Cyber Essentials Plus.

Pentru mai multe informații, consultați Pagina Certificate de sistem.

Am implementat și continuăm să monitorizăm un număr semnificativ de controale din NIST SP 800-53, iar liniile directoare noastre sunt în aliniere cu ISO 27001 și cadrele de conformitate SOC 2.

Da. Am implementat măsuri tehnice și organizatorice (TOM) bazate pe principiile de protecție a datelor pentru a ne proteja sistemele, pentru a îndeplini cerințele GDPR și pentru a proteja drepturile persoanelor vizate.

Pentru detalii despre TOM-urile Siemens, consultați Anexa II la Termenii noștri privind confidențialitatea datelor.

Procedurile de abordare a drepturilor persoanelor vizate sunt găsite în Termenii privind confidențialitatea datelor, secțiunea 10, care descrie modul în care drepturile persoanelor vizate sunt tratate în conformitate cu GDPR. În general, Siemens va notifica clientul fără întârzieri nejustificate dacă Siemens primește o solicitare din partea unei persoane vizate de a-și exercita drepturile persoanei vizate (cum ar fi dreptul de acces, rectificare, ștergere sau restricționarea prelucrării). Siemens va asista apoi clientul cu măsuri tehnice și organizatorice pentru îndeplinirea obligației sale de a răspunde unor astfel de solicitări și de a se conforma legislației aplicabile privind protecția datelor.

Vezi Termeni privind confidențialitatea datelor.

Organizația dvs. are o abordare structurată „Protecția datelor prin design/implicit” atunci când implementează noi tehnologii? Cum faceți din protecția datelor o componentă esențială a funcționalității de bază a sistemelor și serviciilor dvs. de procesare?

Da. Pentru Siemens, Privacy by Design înseamnă că legalitatea, transparența, autodeterminarea informațională, economia datelor și securitatea datelor sunt deja luate în considerare la dezvoltarea produselor și serviciilor noastre. Conceptele de confidențialitate prin proiectare sunt, prin urmare, integrate în procesele noastre de dezvoltare a produselor, acolo unde este cazul.

Da. Am stabilit linii directoare și cerințe pentru dezvoltarea de software și depozitele de coduri sursă, care includ linii directoare pentru securitate pe tot parcursul ciclului de viață al dezvoltării software-ului și serviciilor. Aceste linii directoare acoperă subiecte precum întreținerea codului sursă în depozitele aprobate (inclusiv înregistrarea și monitorizarea), instruirea în dezvoltare sigură pentru inginerii de software și analiștii programatori și cerințele pentru dezvoltarea sigură, testare și medii operaționale.

Practicile noastre de codificare sunt direct informate de Open Worldwide Application Security Project (OWASP) standarde. O combinație de teste de securitate (cum ar fi penetrarea, analiza statică și/sau dinamică) este implementată pentru a identifica riscurile de securitate ale aplicațiilor web OWASP „Top 10” și problemele conexe. Orice probleme critice găsite sunt abordate cât mai curând posibil, în timp ce problemele mai mici sunt de obicei abordate în versiunile viitoare.

Da. Atât datele în cloud în tranzit, cât și datele în repaus (inclusiv copiile de rezervă) sunt criptate.

Da. Angajații noștri sunt obligați să urmeze anual cursuri de conștientizare a securității. Subiectele abordate în această instruire includ utilizarea sigură a programelor și instrumentelor, metodele de phishing, securitatea parolei și autentificarea multifactorială, clasificarea informațiilor, securitatea muncii mobile/biroului la domiciliu, comunicarea securizată și multe altele.

Da. Nondivulgarea este abordată în Directivele companiei Siemens, pe care fiecare angajat este de acord să le respecte în contractele de muncă. Acordurile noastre cu partenerii și furnizorii noștri includ, de asemenea, obligații de confidențialitate și implementează Rules for Business Partners de la Siemens, care definesc gestionarea corectă a informațiilor confidențiale.

Da. Timpul nostru de funcționare SLA variază, în funcție de nivelul de serviciu aplicabil serviciului cloud respectiv.

Standard = 98%

Îmbunătățit = 99,5%

Maxim = 99,95%

(Este posibil ca disponibilitatea îmbunătățită și maximă să nu fie disponibilă pentru fiecare serviciu cloud)

Pentru detalii, consultați Cadru de asistență în cloud și nivel de servicii (Cloud SLA).

da, prin nivelul nostru de asistență Gold.

Vezi al nostru Cadru de asistență în cloud și nivel de servicii (Cloud SLA) pentru detalii.

Da. Cu excepția cazului în care se specifică altfel în Centrul de asistență, serviciile cloud au o fereastră de întreținere regulată săptămânal pentru fiecare regiune deservită, după cum urmează:

• America: Sâmbătă 1:00 AM până luni 3:00 AM SUA Eastern (GMT -4)
• Europa, Orientul Mijlociu și Africa: sâmbătă 1:00 AM până luni 3:00 AM Ora Europei Centrale (GMT +2)
• Asia Pacific: Sâmbătă 1:00 AM până luni 3:00 AM Ora standard a Japoniei (GMT +9)

Clienții se pot abona pentru a fi notificați automat cu privire la perioadele de întrerupere programate în Centrul nostru de asistență.

Da, facem copii de rezervă ale datelor clienților găzduite prin serviciile noastre cloud. Toate serviciile cloud care sunt furnizate sub nivelul nostru standard de servicii, efectuează o copie de rezervă zilnică care este menținută timp de două săptămâni și o copie de rezervă lunară care este menținută timp de trei luni. Urmând aceleași procese de acces și criptare ca și datele originale, toate datele obiectului sunt salvate într-un cont de sistem/centru de date secundar în aceeași regiune geografică ca și datele originale.

Pentru mai multe informații despre păstrarea datelor și opțiunile de nivel îmbunătățit și maxim de la Siemens (disponibilitatea variază în funcție de produs), consultați Secțiunea 3.1 din Cadrul de asistență în cloud și nivel de servicii („Cloud SLA”).

Da. Implementăm cerințe pentru procesele de management al securității informațiilor, criterii și proprietate pentru a susține afacerea în situații adverse.

Procedurile de restaurare a datelor din copii de rezervă sunt testate cel puțin anual și sunt revizuite ca parte a proceselor de audit intern și extern.