西門子網路安全常見問題
閱讀我們的網路安全常見問題,了解西門子 Digital Industries Software (DI SW) 對我們系統的安全性採取的措施。
門禁控制
是的 根據預設,我們雲服務中的數據無存取權限。客戶管理員將授與或移除使用者的存取權。
在西門子數位工業軟體 (西門子) 中,我們每季度審查雲端帳戶的最低權限存取權限。此模型包括職責分隔、「需要知道」原則,以及所有存取要求的請求和核准程序。
對生產雲端環境的存取是透過指定的一組存取點控制,並限制給特定的專屬團隊成員。根據生產資產的位置,使用具有硬體多重驗證 (MFA) 的公司認證來驗證存取點的使用者。密碼以及雙因素身份驗證用於訪問網絡設備。這些僅限於根據工作職責的授權個人和系統流程,並定期更改。
適用的存取控制要求還包括使用者存取管理、特權存取、存取審核、多因素驗證以及密碼到期、長度、鎖定和複雜性,以及註冊和取消註冊程序的要求、存取限制、認證最佳做法以及使用者存取權限審查的要求。
是的 西門子設施部門負責評估我們的實體位置,採用實體安全措施,並根據需要定期調整這些措施。實體存取控制機制(例如識別徽章、受控接收、攝像機、訪問記錄)在辦公大樓、數據中心和其他西門子位置實施。
認證與標準
我們持有各種資訊安全認證,包括 ISO 27001/17/18、SOC2、TISAX、雲端安全聯盟(CSA)星級一級 CAIQ 和網絡基本 +。
如需詳細資訊,請參閱 系統憑證頁面。
我們已實施並繼續監控 NIST SP 800-53 中的大量控制項,而我們的指引與 ISO 27001 和 SOC 2 合規架構一致。
資料隱私
是的 我們根據數據保護原則實施了技術和組織措施(TOM),以保護我們的系統,符合 GDPR 要求,並保護數據主體的權利。
有關西門子 TOMS 的詳細信息,請參閱 我們的資料隱私條款附件 II。
處理資料當事人權利的程序可在我們的資料隱私條款第 10 節中找到,該條款描述了如何遵守 GDPR 的處理資料主體權利。一般而言,如西門子收到資料當事人的要求行使其資料當事人的權利(例如存取、更正、刪除或限制處理的權利),西門子將不超遲通知客戶。然後,西門子將協助客戶採取技術和組織措施,以履行其回應該等要求的義務並遵守適用的數據保護法。
請參閱 資料隱私條款。
開發實踐
您的組織在實施新技術時,是否採用結構化的「設計/默認數據保護」方法?您如何將資料保護成為處理系統和服務核心功能的重要組成部分?
是的 對於西門子而言,「設計隱私權」意味著在開發我們的產品和服務時,已考慮合法性、透明度、資訊自主權、資料經濟性和資料安全性。因此,設計隱私概念在適用的情況下將集成到我們的產品開發流程中。
是的 我們為軟體開發和原始碼儲存庫制定了準則和要求,其中包括整個軟體和服務開發生命週期的安全性指南。這些指引涵蓋各項主題,例如在核准的儲存庫中維護原始碼(包括記錄和監控)、軟體工程師和程序員分析師的安全開發培訓,以及安全開發、測試和操作環境的要求。
我們的編碼實踐直接通知 開放的全球應用程序安全項目(OWASP) 標準。實施安全性測試(例如滲透性、靜態和/或動態分析)的組合,以識別 OWASP 的「前 10」Web 應用程序安全風險和相關問題。發現的任何重要問題都會盡快解決,而較少的問題通常會在未來的版本中解決。
資料保護
是的 雲端傳輸中的資料和靜態資料(包括備份)都經過加密。
是的 我們的員工必須每年接受安全意識培訓。訓練所涵蓋的主題包括安全使用程式和工具、網路釣魚方法、密碼安全和多因素身份驗證、資訊分類、行動工作/家庭辦公室安全、安全通訊等。
是的。 《西門子公司指令》涵蓋隱私權,每位員工同意在僱傭協議中遵守該指令。我們與合作夥伴和供應商的協議還包括保密義務,並實施西門子的商業合作夥伴規則,該規則定義了機密信息的正確處理。
業務連續性和災難復原
是的。 我們的正常運作時間 SLA 會根據適用於各個雲服務的服務層級而有所不同。
標準 = 98%
增強 = 99.5%
最大值 = 99.95%
(可能不適用於所有雲服務的增強和最大可用性)
有關詳細信息,請參閱 雲端支援與服務層級架構 (雲端 SLA)。
是,通過我們的黃金支持服務等級。
查看我們的 雲端支援與服務層級架構 (雲端 SLA) 有關詳細信息。
是的 除非支援中心另有指明,否則雲端服務每個服務區域每週都有定期維護時段,如下所示:
- 美洲:星期六上午 1:00 至星期一上午 3:00 美國東部(格林威治標準時間 -4)
- 歐洲、中東和非洲:星期六上午 1:00 至星期一上午 3:00 中歐時間(GMT +2)
- 亞太地區:星期六上午 1:00 至星期一上午 3:00 日本標準時間(格林威治標準時間 +9)
客戶可以訂閱,以在我們的支援中心自動收到預定停機時間的通知。
是的,我們會備份透過雲端服務託管的客戶資料。 所有在我們標準服務等級下提供的雲端服務都會執行每日備份,維護兩週,每月備份維護三個月。依照與原始資料相同的存取和加密程序後,所有物件資料都會備份到與原始資料相同地理區域的次要系統帳戶/資料中心中。
如需有關資料保留以及西門子的增強和最高等級選項的詳細資訊(可用性因產品而異),請參閱第 3.1 節 雲端支援與服務層級架構 (「雲端 SLA」)。
是的 我們實施資訊安全管理流程、標準和所有權的要求,以在不利情況下維持業務。
從備份還原資料的程序至少每年都會進行測試,並作為內部和外部稽核程序的一部分進行審核。