Lesen Sie unsere FAQ zur Cybersicherheit, um mehr über die Maßnahmen zu erfahren, die Siemens Digital Industries Software (DI SW) zur Sicherheit unserer Systeme ergreift.
Ja. Daten in unseren Lösungen haben standardmäßig keinen Zugriff. Kundenadministratoren gewähren oder entfernen Zugriff für Benutzer. Innerhalb der SISW überprüfen wir vierteljährlich die Konten für den Zugriff mit den geringsten Rechten (Least Privilege). Dieses Modell umfasst eine Funktionstrennung, das "Need-to-know"-Prinzip und einen Anforderungs- und Genehmigungsprozess für alle Zugriffsanfragen.
Der Zugriff auf die Produktionsumgebung wird über bestimmte Zugriffspunkte gesteuert und ist auf bestimmte, berechtigte Teammitglieder beschränkt. Benutzer werden über Unternehmensanmeldeinformationen mit Hardware-Multifaktor-Authentifizierung (MFA) für Access Points authentifiziert, je nachdem, wo sich die Produktionsanlagen befinden. Kennwörter werden zusammen mit der Zwei-Faktor-Authentifizierung für den Zugriff auf Netzwerkgeräte verwendet. Diese sind auf autorisierte Personen und Systemprozesse basierend auf Aufgabenverantwortlichkeiten beschränkt und werden regelmäßig geändert.
Die SaaS-Informationssicherheitsrichtlinie von Siemens Industry Software (SISW) umfasst Anforderungen an die Zugriffskontrolle, einschließlich Anwenderzugriffsverwaltung, privilegierter Zugriff, Zugriffsüberprüfung, Multifaktor-Authentifizierung, Kennwortablauf, Dauer, Sperrung und Komplexität. Diese Richtlinie beschreibt auch die Anforderungen für Registrierungs- und Deregistrierungsprozesse, Zugriffsbeschränkungen, bewährte Vorgehensweisen für Anmeldeinformationen und Überprüfungen von Benutzerzugriffsrechten.
Ja. Die SISW-Abteilung Einrichtungen ist für die Bewertung unserer physischen Standorte, die Anwendung physischer Sicherheitsmassnahmen und die laufende Anpassung dieser Maßnahmen verantwortlich. Physische Zugangskontrollmechanismen (z. B. Ausweise, kontrollierter Empfang, Kameras, Zugangsprotokollierung) werden in Bürogebäuden, Rechenzentren und anderen Standorten implementiert.
SISW verfügt über verschiedene Zertifizierungen zur Informationssicherheit, darunter ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ und Cyber Essentials Plus.
Weitere Informationen finden Sie auf der Seite Systemzertifikate.
Geleitet von zahlreichen Richtlinien von Siemens Industry Software (SISW) haben wir eine beträchtliche Anzahl von Kontrollen in NIST SP 800-53 implementiert und überwachen dies auch weiterhin, um die Implementierung von Best Practices für die Sicherheit zu gewährleisten. Darüber hinaus stehen unsere Richtlinien im Einklang mit ISO 27001 und SOC 2 Compliance-Frameworks.
Ja. Die SISW hat technische und organisatorische Maßnahmen (TOMs) auf der Grundlage von Datenschutzgrundsätzen implementiert, um unsere Systeme zu schützen, die Anforderungen der DSGVO zu erfüllen und die Rechte der betroffenen Personen zu wahren.
Einzelheiten zu unseren TOMs finden Sie in Anhang II unserer Datenschutzbestimmungen.
Verfahren zur Achtung der Rechte der betroffenen Personen finden Sie in unseren Datenschutzbestimmungen, Abschnitt 10, in denen beschrieben wird, wie die Rechte der betroffenen Personen in Übereinstimmung mit der DSGVO behandelt werden. Die SISW wird den Kunden unverzüglich informieren, wenn die SISW einen Antrag einer betroffenen Person erhält, um die Rechte ihrer betroffenen Person auszuüben (z. B. das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung). Die SISW wird den Kunden dann mit technischen und organisatorischen Maßnahmen unterstützen, um seiner Verpflichtung zur Beantwortung solcher Anfragen und zur Einhaltung des geltenden Datenschutzrechts nachzukommen.
Siehe Datenschutzbestimmungen.
Verfolgt Ihr Unternehmen bei der Implementierung neuer Technologien einen strukturierten "Datenschutz durch Technikgestaltung/Voreinstellungen"? Wie machen Sie den Datenschutz zu einem wesentlichen Bestandteil der Kernfunktionalität Ihrer Verarbeitungssysteme und -dienste?
Ja. Die SISW-Richtlinie zur Einhaltung der SaaS-Informationssicherheit stellt sicher, dass unsere Rechts-, Datenschutz- und Compliance-Organisationen die geltenden lokalen gesetzlichen, gesetzlichen, behördlichen und vertraglichen Anforderungen überprüfen und Leitlinien gemäß den gesetzlichen Anforderungen dokumentieren und herausgeben, die durch das "Privacy by Design"-Tool und -Prozess unterstützt werden.
Privacy by Design bedeutet für Siemens, dass Rechtmäßigkeit, Transparenz, informationelle Selbstbestimmung, Datensparsamkeit und Datensicherheit bereits bei der Entwicklung unserer Produkte und Dienstleistungen berücksichtigt werden. Privacy by Design ist fest in unsere Produktentwicklungsprozesse integriert. Bei der Entwicklung von Produkten und Dienstleistungen berücksichtigen wir Wahlmöglichkeiten und Einwilligung, Datenminimierung, Zugriff, Sicherheit, Datengenauigkeit und -qualität sowie Zugang.
Ja. Die Siemens Industry Software (SISW) SaaS Secure Development Policy legt Richtlinien und Anforderungen für die Softwareentwicklung und Quellcode-Repositories fest. Diese Richtlinie enthält Richtlinien für die Sicherheit in allen Phasen des Software- und Service-Entwicklungslebenszyklus, die Wartung von Quellcode in genehmigten Repositories (einschließlich Protokollierung und Überwachung), Schulungen zur sicheren Entwicklung für Softwareingenieure und Programmierer-Analysten sowie Anforderungen an sichere Entwicklungs-, Test- und Betriebsumgebungen.
Die Standards des Open Worldwide Application Security Project (OWASP) fließen direkt in unsere sicheren Codierungspraktiken ein. Eine Kombination aus Sicherheitstests (z. B. Durchdringungs-, statische und dynamische Analysen) sucht nach den "Top 10" der Sicherheitsrisiken für Webanwendungen von OWASP und identifiziert potenzielle Probleme. Kritische Probleme werden so bald wie möglich behoben, während weniger schwerwiegende Probleme für zukünftige Versionen geplant sind, wenn sie nicht sofort behoben werden.
Ja. Sowohl Daten während der Übertragung als auch Daten im Ruhezustand (einschließlich Backups) werden auf der Grundlage der SaaS-Kryptografierichtlinie von Siemens Industry Software (SISW) verschlüsselt.
Ja. SISW-Mitarbeiter sind verpflichtet, sich jährlich einer Schulung zum Sicherheitsbewusstsein zu unterziehen, die auf der Grundlage der SISW-Richtlinie für SaaS-Sicherheitsbewusstsein durchgeführt wird. Themen sind u.a. sichere Nutzung von Programmen und Tools, Phishing-Methoden, Passwortsicherheit und Multifaktor-Authentifizierung, Informationsklassifizierung, Sicherheit mobiles Arbeiten/Homeoffice, sichere Kommunikation und mehr.
Ja. Die Geheimhaltung wird in den Unternehmensverhaltensregeln geregelt, die jährlich von den Mitarbeitern geprüft und unterzeichnet werden müssen. Partner und Subunternehmer sind verpflichtet, das gleiche Sicherheitsniveau wie Siemens zu befolgen und sich an unsere Geheimhaltungsvereinbarung und die Regeln für Geschäftspartner zu halten, die den ordnungsgemäßen Umgang mit vertraulichen Informationen definieren. Standardmäßig werden alle Kundendaten als vertraulich gekennzeichnet/behandelt.
Ja. Unsere Service-Level-Vereinbarung (SLA) für die Betriebszeit variiert je nach ausgewähltem Service-Level eines Kunden. Standard = 95 %, Silber = 99,5 %, Gold = 99,95 %.
Weitere Informationen finden Sie im Cloud Support and Service Level Framework ("Cloud SLA").
Ja, über unseren Gold-Support.
Weitere Informationen finden Sie in unserem Cloud Support and Service Level Framework ("Cloud SLA").
Ja. Sofern im Support Center nicht anders angegeben, gilt für Cloud-Services ein regelmäßiges Wartungsfenster wöchentlich pro bereitgestellter Region wie folgt:
Die SISW behält sich das Recht vor, die Zeiten des regulären Wartungsfensters zu verlängern oder zu ändern. SISW unternimmt wirtschaftlich vertretbare Anstrengungen, um den Kunden mindestens sieben Tage vor einer solchen Änderung oder einer geplanten Wartung zu informieren.
Ja. Durch unsere Standard-Supportmaßnahmen wird ein tägliches Backup für zwei Wochen und ein monatliches Backup für drei Monate aufrechterhalten. Nach den gleichen Zugriffs- und Verschlüsselungsprozessen wie bei den Originaldaten werden alle Objektdaten in einem sekundären Systemkonto/Rechenzentrum in derselben geografischen Region wie die Originaldaten gesichert.
Weitere Informationen zur Datenspeicherung und unseren Silber- und Gold-Optionen finden Sie im Cloud Support and Service Level Framework ("Cloud SLA").
Ja. Die SISW-Richtlinie für das SaaS-Business Continuity Management definiert die Regeln für das Unternehmen, um ein Ereignis zu überwinden, das Backups und Notfallwiederherstellungsmechanismen erfordert. Sie befasst sich mit der Wiederherstellung des Unternehmens nach Vorfällen mit hohem Schweregrad (Katastrophen) für seine kritischen Prozesse. Die Richtlinie enthält Anforderungen an Prozesse, Kriterien und Eigenverantwortung für das Informationssicherheitsmanagement, um das Unternehmen in widrigen Situationen erfolgreich aufrechtzuerhalten.
Die Verfahren zur Wiederherstellung von Daten aus Backups werden mindestens einmal jährlich überprüft und im Rahmen von internen und externen Auditprozessen überprüft. Die Wiederherstellung von Sicherungen wird gemäß der SISW-Richtlinie für SaaS-Datensicherung und -wiederherstellung getestet.