Časté dotazy týkající se kybernetické bezpečnosti od společnosti Siemens

Ano. Přístup k datům v našich řešeních je ve výchozím nastavení nulový. Správci zákazníků povolí nebo odeberou uživatelům přístup. V rámci společnosti SISW čtvrtletně kontrolujeme účty pro přístup s nejnižšími oprávněními. Tento model zahrnuje oddělení povinností, princip "potřeby vědět" a proces žádosti a schválení pro všechny žádosti o přístup.

Přístup k výrobnímu prostředí je řízen pomocí určené sady přístupových bodů a je omezen na konkrétní privilegované členy týmu. Uživatelé se ověřují pro přístupové body pomocí přihlašovacích údajů společnosti s hardwarovým vícefaktorovým ověřováním (MFA) v závislosti na tom, kde se nacházejí produkční prostředky. Hesla spolu s dvoufaktorovým ověřováním se používají pro přístup k síťovým zařízením. Ty jsou omezeny na oprávněné osoby a systémové procesy na základě pracovních povinností a jsou pravidelně měněny.

Zásady zabezpečení informací typu SaaS společnosti Siemens Industry Software (SISW) zahrnují požadavky na řízení přístupu, včetně správy přístupu uživatelů, privilegovaného přístupu, kontroly přístupu, vícefaktorové autentizace, vypršení platnosti hesla, délky, uzamčení a složitosti. Tyto zásady také podrobně popisují požadavky na procesy registrace a zrušení registrace, omezení přístupu, osvědčené postupy v oblasti přihlašovacích údajů a recenze přístupových práv uživatelů.

Máte plán zabezpečení fyzických zařízení?

Ano. Oddělení zařízení společnosti SISW odpovídá za vyhodnocování našich fyzických umístění, uplatňování fyzických bezpečnostních opatření a jejich průběžnou úpravu. Mechanismy fyzické kontroly přístupu (např. identifikační karty, řízený příjem, kamery, protokolování přístupu) jsou implementovány v kancelářských budovách, datových centrech a dalších místech.

Společnost SISW je držitelem různých certifikací pro bezpečnost informací, včetně ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA), STAR Level One, CAIQ a Cyber Essentials Plus.

Další informace naleznete na stránce Systémové certifikáty.

Řídili jsme se řadou zásad společnosti Siemens Industry Software (SISW) a nadále sledujeme značný počet kontrolních mechanismů v NIST SP 800-53, abychom zajistili implementaci osvědčených postupů zabezpečení. Naše zásady jsou také v souladu s normami ISO 27001 a SOC 2.

Ano. Společnost SISW zavedla technická a organizační opatření (TOM) založená na zásadách ochrany osobních údajů s cílem chránit své systémy, plnit požadavky nařízení GDPR a chránit práva subjektů údajů.

Podrobnosti o našich TOM naleznete v Příloha II našich Podmínek ochrany osobních údajů.

Postupy pro respektování práv subjektů údajů jsou uvedeny v našich Podmínkách ochrany osobních údajů, oddíl 10, který popisuje, jak je s právy subjektů údajů nakládáno v souladu s GDPR. Společnost SISW bez zbytečného odkladu oznámí zákazníkovi, pokud obdrží od subjektu údajů žádost o uplatnění práv subjektu údajů (například práva na přístup, opravu, výmaz nebo omezení zpracování). Společnost SISW poté pomůže zákazníkovi s technickými a organizačními opatřeními, aby splnil svou povinnost reagovat na takové požadavky a dodržoval platné zákony na ochranu údajů.

Viz Podmínky ochrany osobních údajů.

Má vaše organizace strukturovaný přístup "ochrana dat již od návrhu/výchozího nastavení" při zavádění nových technologií? Jak zajistíte, aby se ochrana osobních údajů stala nezbytnou součástí základních funkcí vašich systémů zpracování dat a služeb?

Ano. Zásady dodržování předpisů SISW v oblasti zabezpečení informací typu SaaS zajišťují, že naše právní organizace, organizace pro ochranu osobních údajů a dodržování předpisů kontrolují platné místní legislativní, zákonné, regulační a smluvní požadavky a dokumentují a vydávají pokyny v souladu se zákonem podporovaným nástrojem a procesem "Ochrana soukromí již od návrhu".

Pro společnost Siemens znamená ochrana soukromí již od návrhu, že při vývoji našich produktů a služeb se bere v úvahu zákonnost, transparentnost, informační sebeurčení, úspora dat a bezpečnost dat. Ochrana osobních údajů již od návrhu je pevně integrována do našich procesů vývoje produktů. Při vývoji produktů a služeb zvažujeme možnost volby a souhlas, minimalizaci údajů, přístup, zabezpečení, přesnost a kvalitu údajů a přístup.

Ano. Zásady bezpečného vývoje SaaS společnosti Siemens Industry Software (SISW) stanovují pokyny a požadavky pro vývoj softwaru a úložiště zdrojového kódu. Tyto zásady zahrnují pokyny pro zabezpečení ve všech fázích životního cyklu vývoje softwaru a služeb, údržbu zdrojového kódu ve schválených úložištích (včetně protokolování a monitorování), školení bezpečného vývoje pro softwarové inženýry a programátory-analytiky a požadavky na bezpečné vývojové, testovací a provozní prostředí.

Standardy Open Worldwide Application Security Project (OWASP) přímo informují o našich postupech bezpečného kódování. Kombinace bezpečnostních testů (jako je penetrační, statická a dynamická analýza) hledá "Top 10" bezpečnostních rizik OWASP pro webové aplikace a identifikuje případné problémy. Kritické problémy jsou řešeny co nejdříve, zatímco méně závažné problémy jsou plánovány pro budoucí verze, pokud nejsou vyřešeny okamžitě.

Ano. Přenášená i neaktivní data (včetně záloh) jsou šifrována na základě zásad šifrování SaaS společnosti Siemens Industry Software (SISW).

Ano. Zaměstnanci společnosti SISW musí každoročně absolvovat školení zaměřené na zvyšování povědomí o bezpečnosti, které je realizováno na základě zásad společnosti SISW pro zvyšování povědomí o zabezpečení typu SaaS. Témata zahrnují bezpečné používání programů a nástrojů, metody phishingu, zabezpečení heslem a vícefaktorové ověřování, klasifikaci informací, zabezpečení mobilní práce/domácí kanceláře, bezpečnou komunikaci a další.

Ano. Mlčenlivost je řešena ve směrnicích společnosti, které musí být každoročně přezkoumány a podepsány zaměstnanci. Partneři a subdodavatelé jsou povinni dodržovat stejnou úroveň zabezpečení jako společnost Siemens a dodržovat naši Smlouvu o mlčenlivosti a Pravidla pro obchodní partnery, která definují správné nakládání s důvěrnými informacemi. Ve výchozím nastavení jsou všechna zákaznická data označena/nakládáno s nimi jako s důvěrnými.

Ano. Naše smlouva o úrovni služeb provozuschopnosti (SLA) se liší v závislosti na zvolené úrovni služeb zákazníka. Standardní = 95 %, stříbro = 99,5 %, zlato = 99,95 %.

Podrobnosti najdete v Cloud Support and Service Level Framework ("Cloud SLA").

Ano prostřednictvím naší úrovně služeb podpory Gold.

Podrobnosti najdete v našem Cloud Support and Service Level Framework ("Cloud SLA").

Ano. Pokud není v Centru podpory uvedeno jinak, Cloud Services mají pravidelné časové období údržby týdně pro každou obsluhovanou oblast, a to následujícím způsobem:

• Evropská unie: Sobota 4:59 SEČ – Sobota 16:59 SEČ
• Spojené státy americké: Sobota 23:59 EST – Neděle 11:59 EST
• Japonsko: Sobota 23:59 JST – Neděle 11:59 JST

Společnost SISW si vyhrazuje právo prodloužit nebo změnit dobu pravidelného časového období údržby. Společnost SISW vynaloží komerčně přiměřené úsilí, aby zákazníka informovala nejméně sedm dní před takovou změnou nebo plánovanou údržbou.

Ano. Prostřednictvím našich standardních opatření podpory se denní zálohování udržuje po dobu dvou týdnů a měsíční zálohování po dobu tří měsíců. Podle stejných přístupových a šifrovacích procesů jako původní data se všechna objektová data zálohují do sekundárního systémového účtu nebo datového centra ve stejné geografické oblasti jako původní data.

Další informace o uchovávání dat a našich možnostech na úrovni Stříbrná a Zlatá najdete v dokumentu Cloud Support and Service Level Framework ("Cloud SLA").

Ano. Zásady správy kontinuity podnikání SISW typu SaaS definují pravidla pro to, aby podnik překonal událost, která vyžaduje zálohování a mechanismy zotavení po havárii. Zabývá se zotavením společnosti z vysoce závažných incidentů (katastrof) pro její kritické procesy. Zásady obsahují požadavky na procesy správy bezpečnosti informací, kritéria a vlastnictví, aby se podnik úspěšně udržel v nepříznivých situacích.

Postupy obnovy dat ze záloh jsou nejméně jednou ročně testovány a přezkoumávány v rámci interních a externích auditních procesů. Obnovení zálohy je testováno podle zásad zálohování a obnovy dat SISW SaaS.