Pogosta vprašanja o kibernetski varnosti Siemens

Da. Podatki v naših storitvah v oblaku privzeto nimajo ničelnega dostopa. Skrbniki strank bodo uporabnikom omogočili ali odstranili dostop.

V okviru Siemens Digital Industry Software (Siemens) četrtletno pregledujemo račune v oblaku za dostop z najmanj privilegiji. Ta model vključuje ločevanje dolžnosti, načelo »potrebe po vedenju« ter postopek zahtevka in odobritve za vse zahteve za dostop.

Dostop do okolja v proizvodnem oblaku je nadzorovan prek določenega nabora dostopnih točk in omejen na posebne, privilegirane člane ekipe. Uporabniki so overjeni do dostopnih točk z uporabo poverilnic podjetja s strojno večfaktorsko preverjanjem pristnosti (MFA), odvisno od tega, kje se nahajajo proizvodna sredstva. Gesla se skupaj z dvofaktorsko preverjanjem pristnosti uporabljajo za dostop do omrežnih naprav. Ti so omejeni na pooblaščene posameznike in sistemske procese, ki temeljijo na delovnih obveznostih in se občasno spreminjajo.

Veljavne zahteve za nadzor dostopa vključujejo tudi upravljanje uporabniškega dostopa, privilegiran dostop, pregled dostopa, večfaktorsko preverjanje pristnosti in potek gesla, dolžino, blokiranje in zapletenost, skupaj z zahtevami za postopke registracije in odjave, omejitev dostopa, najboljše prakse poverilnic in preglede pravic do dostopa uporabnikov.

Da. Siemensov oddelek za objekte je odgovoren za ocenjevanje naših fizičnih lokacij, izvajanje fizičnih varnostnih ukrepov in redno prilagajanje teh ukrepov po potrebi. Mehanizmi fizičnega nadzora dostopa (npr. identifikacijske značke, nadzorovan sprejem, kamere, beleženje dostopa) se izvajajo v poslovnih stavbah, podatkovnih centrih in drugih Siemensovih lokacijah.

Vzdržujemo različne certifikate informacijske varnosti, vključno z ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ in Cyber Essentials Plus.

Za več informacij glejte Stran sistemskih certifikatov.

V NIST SP 800-53 smo izvedli in še naprej spremljali veliko število kontrol, naše smernice pa so v skladu z ISO 27001 in okviri za skladnost SOC 2.

Da. Izvedli smo tehnične in organizacijske ukrepe (TOM), ki temeljijo na načelih varstva podatkov, za zaščito naših sistemov, izpolnjevanje zahtev GDPR in zaščito pravic posameznikov, na katere se nanašajo osebni podatki.

Za podrobnosti o Siemensovih TOM-ih glej Priloga II k našim pogojem zasebnosti podatkov.

Postopke za obravnavanje pravic posameznikov, na katere se nanašajo osebni podatki, najdete v poglavju 10 naših pogojev zasebnosti podatkov, ki opisuje, kako se pravice posameznika, na katere se nanašajo osebni podatki, ravnajo v skladu z GDPR. Na splošno bo Siemens stranko brez nepotrebnega odlašanja obvestil, če Siemens prejme zahtevo posameznika, na katerega se nanašajo osebni podatki, za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki (na primer pravica do dostopa, popravka, izbrisa ali omejitev obdelave). Siemens bo stranki nato pomagal s tehničnimi in organizacijskimi ukrepi za izpolnitev njene obveznosti, da se odzove na take zahteve in spoštuje veljavno zakonodajo o varstvu podatkov.

Glej Terms zasebnosti podatkov.

Ali ima vaša organizacija strukturiran pristop »Varstvo podatkov po obliku/privzeto« pri uvajanju novih tehnologij? Kako lahko varstvo podatkov postane bistveni sestavni del osnovne funkcionalnosti vaših procesnih sistemov in storitev?

Da. Za Siemens Privacy by Design pomeni, da se pri razvoju naših izdelkov in storitev že upoštevajo zakonitost, preglednost, informacijska samoodločba, podatkovna ekonomija in varnost podatkov. Koncepti zasebnosti po oblikovanju so zato vključeni v naše procese razvoja izdelkov, kjer je to primerno.

Da. Vzpostavili smo smernice in zahteve za razvoj programske opreme in skladišča izvorne kode, ki vključujejo smernice za varnost v celotnem življenjskem ciklu razvoja programske opreme in storitev. Te smernice zajemajo teme, kot so vzdrževanje izvorne kode v odobrenih skladiščih (vključno z beleženjem in spremljanjem), usposabljanje za varno razvojno usposabljanje za programske inženirje in analitike programerjev ter zahteve za varno razvojno, testiranje in operativno okolje.

Naše prakse kodiranja neposredno obvešča Odprti svetovni projekt Security aplikacij (OWASP) standardov. Kombinacija varnostnega testiranja (kot so penetracija, statična in/ali dinamična analiza) je izvedena za prepoznavanje varnostnih tveganj spletnih aplikacij OWASP »Top 10« in s tem povezanih vprašanj. Vse najdene kritične težave se obravnavajo čim prej, manjša vprašanja pa se običajno obravnavajo v prihodnjih izdajah.

Da. Tako podatki v oblaku med prenosom kot podatki v mirovanju (vključno z varnostnimi kopijami) so šifrirani.

Da. Naši zaposleni morajo vsako leto opraviti usposabljanje za ozaveščanje o varnosti. Teme, zajete v tem usposabljanju, vključujejo varno uporabo programov in orodij, metode lažnega predstavljanja, varnost gesel in večfaktorsko preverjanje pristnosti, klasifikacijo informacij, varnost mobilne delovne/domače pisarne, varno komunikacijo in drugo.

Da. Nerazkritje je obravnavano v direktivah podjetja Siemens, ki se jih vsak zaposleni strinja, da se bo spoštoval v pogodbah o zaposlitvi. Naši sporazumi z našimi partnerji in prodajalci vključujejo tudi obveznosti zaupnosti in izvajajo Siemensova Rules za poslovne partnerje, ki določajo pravilno ravnanje z zaupnimi informacijami.

Da. Naša SLA za razpoložljivost se razlikuje glede na raven storitve, ki se uporablja za ustrezno storitev v oblaku.

Standardno = 98%

Izboljšano = 99,5%

Največ = 99,95%

(Izboljšana in največja razpoložljivost morda nista na voljo za vsako storitev v oblaku)

Za podrobnosti glejte Podpora v oblaku in okvir ravni storitev (SLA v oblaku).

Da, prek naše ravni podporne storitve Gold.

Oglejte si naše Podpora v oblaku in okvir ravni storitev (SLA v oblaku) za podrobnosti.

Da. Če v centru za podporo ni določeno drugače, imajo storitve v oblaku tedensko okno za redno vzdrževanje za vsako streženo regijo, kot sledi:

• Amerika: sobota od 1:00 do ponedeljka 3:00 vzhodne ZDA (GMT -4)
• Evropa, Bližnji vzhod in Afrika: sobota od 1:00 do ponedeljka 3:00 po srednjeevropskem času (GMT +2)
• Azijsko-pacifiški: sobota od 1:00 do ponedeljka 3:00 po japonskem standardnem času (GMT +9)

Stranke se lahko naročijo, da bodo samodejno obveščene o načrtovanih izpadih v našem centru za podporo.

Da, varnostno kopiramo podatke o strankah, ki jih gostujemo prek naših storitev v oblaku. Vse storitve v oblaku, ki so na voljo na naši standardni ravni storitve, izvajajo dnevno varnostno kopiranje, ki se vzdržuje dva tedna, in mesečno varnostno kopijo, ki se vzdržuje tri mesece. Po enakih postopkih dostopa in šifriranja kot prvotni podatki so vsi objektni podatki varnostno kopirani v sekundarni sistemski račun/podatkovni center v isti geografski regiji kot prvotni podatki.

Za več informacij o hrambi podatkov in možnostih Siemensovih izboljšanih in najvišjih ravni (razpoložljivost se razlikuje glede na izdelek) glejte poglavje 3.1 v razdelku Okvir podpore v oblaku in ravni storitev (»Cloud SLA«).

Da. Izvajamo zahteve za procese upravljanja informacijske varnosti, merila in lastništvo za vzdrževanje podjetja v neugodnih razmerah.

Postopki za obnovitev podatkov iz varnostnih kopij se testirajo vsaj enkrat letno in se pregledujejo kot del notranjih in zunanjih revizijskih postopkov.