Česta pitanja o sajber bezbednosti kompanije Siemens
Pročitajte naša česta pitanja o sajber bezbednosti da biste saznali više o merama koje Siemens Digital Industries Softvare (DI SV) preduzima u vezi sa bezbednošću naših sistema.
Kontrola pristupa
Da. Podaci u našim uslugama u oblaku, podrazumevano, nemaju pristup. Administratori korisnika će odobriti ili ukloniti pristup korisnicima.
U okviru Siemensovog Software za digitalnu industriju (Siemens), kvartalno pregledavamo račune u oblaku za pristup sa najmanje privilegija. Ovaj model uključuje segregaciju dužnosti, princip „potreba za znanjem“ i postupak zahteva i odobrenja za sve zahteve za pristup.
Pristup okruženju proizvodnog oblaka kontroliše se preko određenog skupa pristupnih tačaka i ograničen je na određene, privilegovane članove tima. Korisnici se autentifikuju pristupnim tačkama koristeći akreditive kompanije sa hardverskom višefaktorskom autentifikacijom (MFA) u zavisnosti od toga gde se nalaze proizvodna sredstva. Lozinke, zajedno sa dvofaktorskom autentifikacijom, koriste se za pristup mrežnim uređajima. Oni su ograničeni na ovlašćene pojedince i sistemske procese zasnovane na radnim odgovornostima i periodično se menjaju.
Primenljivi zahtevi za kontrolu pristupa takođe uključuju upravljanje pristupom korisnika, privilegovani pristup, pregled pristupa, višefaktorsku autentifikaciju i istek lozinke, dužinu, zaključavanje i složenost, zajedno sa zahtevima za procese registracije i deregistracije, ograničenje pristupa, najbolje prakse akreditiva i preglede prava pristupa korisnika.
Da. Odeljenje Siemensovih objekata odgovorno je za procenu naših fizičkih lokacija, primenu fizičkih mera bezbednosti i periodično prilagođavanje tih mera po potrebi. Mehanizmi fizičke kontrole pristupa (npr. Identifikacione značke, kontrolisani prijem, kamere, evidencija pristupa) implementiraju se u poslovnim zgradama, data centrima i drugim Siemensovim lokacijama.
Sertifikati i standardi
Održavamo razne sertifikate o Security informacija, uključujući ISO 27001/17/18, SOC2, TISAKS, Cloud Securiti Alliance (CSA) STAR Level One CAIK i Ciber Essentials Plus.
Za više informacija pogledajte Stranica sistemskih sertifikata.
Implementirali smo i nastavljamo da nadgledamo značajan broj kontrola u NIST SP 800-53i naše smernice su u skladu sa ISO 27001 i okvirima usklađenosti SOC 2.
Privatnost podataka
Da. Implementirali smo tehničke i organizacione mere (TOM) zasnovane na principima zaštite podataka kako bismo zaštitili naše sisteme, ispunili GDPR zahteve i zaštitili prava subjekata podataka.
Za detalje o Siemensovim TOM-ovima pogledajte Aneks II našim Uslovima privatnosti Terms.
Postupci za rešavanje prava subjekata podataka nalaze se u našim Uslovima privatnosti podataka Terms odeljak 10, koji opisuje kako se prema pravima subjekta podataka postupa u skladu sa GDPR-om. Generalno, Siemens će bez nepotrebnog odlaganja obavestiti kupca ako Siemens primi zahtev od subjekta podataka da ostvari prava subjekta podataka (kao što su pravo na pristup, ispravljanje, brisanje ili ograničenje obrade). Siemens će tada pomoći kupcu u tehničkim i organizacionim merama za ispunjenje svoje obaveze da odgovori na takve zahteve i da se pridržava važećeg zakona o zaštiti podataka.
Razvojne prakse
Da li vaša organizacija ima strukturirani pristup „Zaštita podataka po dizajnu/podrazumevano“ prilikom implementacije novih tehnologija? Kako zaštita podataka čini suštinskom komponentom osnovne funkcionalnosti vaših sistema i usluga za obradu?
Da. Za Siemens, Privatnost dizajnom znači da se zakonitost, transparentnost, informaciono samoopredeljenje, ekonomija podataka i sigurnost podataka već uzimaju u obzir prilikom razvoja naših proizvoda i usluga. Koncepti privatnosti prema dizajnu su stoga integrisani u naše procese razvoja proizvoda gde je primenljivo.
Da. Uspostavili smo smernice i zahteve za razvoj softvera i spremišta izvornog koda, koji uključuju smernice za bezbednost tokom životnog ciklusa razvoja softvera i usluga. Ove smernice pokrivaju teme kao što su održavanje izvornog koda u odobrenim spremištima (uključujući evidentiranje i nadzor), obuka za bezbedan razvoj za softverske inženjere i analitičare programera i zahtevi za bezbedno razvojno, testiranje i operativno okruženje.
Naše prakse kodiranja su direktno informisane od strane Otvoreni svetski projekat bezbednosti aplikacija (OVASP) standardi. Kombinacija bezbednosnog testiranja (kao što su penetracija, statička i/ili dinamička analiza) je implementirana kako bi se identifikovali bezbednosni rizici „Top 10“ veb aplikacija OVASP i srodna pitanja. Svi pronađeni kritični problemi rešavaju se što je pre moguće, dok se manja pitanja obično rešavaju u budućim izdanjima.
Zaštita podataka
Da. I podaci u oblaku u tranzitu i podaci u mirovanju (uključujući rezervne kopije) su šifrovani.
Da. Naši zaposleni moraju da prolaze obuku o bezbednosnoj svesti na godišnjoj osnovi. Teme obuhvaćene tom obukom uključuju bezbednu upotrebu programa i alata, metode krađe identiteta, sigurnost lozinke i višefaktorsku autentifikaciju, klasifikaciju informacija, bezbednost mobilne radne/kućne kancelarije, sigurnu komunikaciju i još mnogo toga.
Da. Neotkrivanje je obrađeno u direktivama kompanije Siemens, kojih se svaki zaposleni slaže da se pridržava u ugovorima o radu. Naši ugovori sa našim partnerima i dobavljačima takođe uključuju obaveze poverljivosti i primenjuju Siemensova Rules za poslovne partnere, koja definišu pravilno rukovanje poverljivim informacijama.
Kontinuitet poslovanja i oporavak od katastrofe
Da. Naš SLA za neprekidno funkcionisanje varira, u zavisnosti od nivoa nivoa usluge koji se primenjuje na odgovarajuću uslugu u oblaku.
Standard = 98%
Poboljšano = 99,5%
Maksimalno = 99,95%
(Poboljšana i maksimalna dostupnost možda neće biti dostupna za svaku uslugu u oblaku)
Za detalje pogledajte Okvir podrške u oblaku i nivoa usluge (Cloud SLA).
da, preko našeg nivoa usluge podrške Gold.
Pogledajte naše Okvir podrške u oblaku i nivoa usluge (Cloud SLA) za detalje.
Da. Osim ako nije drugačije određeno u Centru za podršku, usluge u oblaku imaju prozor redovnog održavanja nedeljno po opsluženom regionu kako sledi:
- Amerika: Subota od 1:00 do ponedeljka 3:00 istočno SAD (GMT -4)
- Evropa, Bliski Istok i Afrika: Subota od 1:00 do ponedeljka 3:00 po srednjoevropskom vremenu (GMT +2)
- Azijsko-pacifički region: od subote od 1:00 do ponedeljka 3:00 po japanskom standardnom vremenu (GMT +9)
Kupci se mogu pretplatiti da budu automatski obavešteni o zakazanim zastojima u našem Centru za podršku.
Da, pravimo rezervne kopije podataka o klijentima koji se hostuju putem naših usluga u oblaku. Sve usluge u oblaku koje se pružaju pod našim standardnim nivoom usluge vrše dnevnu rezervnu kopiju koja se održava dve nedelje i mesečnu rezervnu kopiju koja se održava tri meseca. Nakon istih procesa pristupa i šifrovanja kao i originalni podaci, svi podaci o objektu se rezerviraju u sekundarni sistemski nalog/centar podataka u istom geografskom regionu kao i originalni podaci.
Za više informacija o zadržavanju podataka i Siemensovim opcijama poboljšanog i maksimalnog nivoa (dostupnost varira u zavisnosti od proizvoda), pogledajte odeljak 3.1 u Okvir podrške u oblaku i nivoa usluge („Cloud SLA“).
Da. Implementiramo zahteve za procese upravljanja bezbednošću informacija, kriterijume i vlasništvo kako bismo održali poslovanje u nepovoljnim situacijama.
Postupci za vraćanje podataka iz rezervnih kopija testiraju se najmanje jednom godišnje i pregledavaju se kao deo procesa interne i eksterne revizije.