Preguntas frecuentes sobre ciberseguridad de Siemens

Sí. De forma predeterminada, los datos de nuestras soluciones no tienen acceso cero. Los administradores de clientes otorgarán o quitarán el acceso a los usuarios. En SISW, revisamos trimestralmente las cuentas de acceso con privilegios mínimos. Este modelo incluye la segregación de funciones, el principio de "necesidad de saber" y un proceso de solicitud y aprobación para todas las solicitudes de acceso.

El acceso al entorno de producción se controla mediante un conjunto designado de puntos de acceso y está restringido a miembros del equipo con permisos específicos. Los usuarios se autentican para acceder a los puntos de acceso mediante las credenciales de la empresa con autenticación multifactor de hardware (MFA), en función de dónde se encuentren los activos de producción. Las contraseñas, junto con la autenticación de dos factores, se utilizan para acceder a los dispositivos de red. Estos están restringidos a personas autorizadas y procesos del sistema basados en responsabilidades laborales y se cambian periódicamente.

La política de seguridad de la información de SaaS de Siemens Industry Software (SISW) incluye requisitos de control de acceso, incluida la gestión de acceso de usuarios, acceso privilegiado, revisión de acceso, autenticación multifactor, caducidad de contraseña, longitud, bloqueo y complejidad. Esta política también detalla los requisitos para los procesos de registro y cancelación de registro, la restricción de acceso, las mejores prácticas de credenciales y las revisiones de los derechos de acceso de los usuarios.

¿Tienen un plan de seguridad de instalaciones físicas?

Sí. El departamento de Instalaciones de SISW es responsable de evaluar nuestras ubicaciones físicas, aplicar medidas de seguridad física y ajustar esas medidas de forma continua. Los mecanismos físicos de control de acceso (por ejemplo, tarjetas de identificación, recepción controlada, cámaras, registro de acceso) se implementan en edificios de oficinas, centros de datos y otras ubicaciones.

SISW cuenta con varias certificaciones de seguridad de la información, como ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ y Cyber Essentials Plus.

Si desea obtener más información, consulte la página Certificados del sistema.

Guiados por numerosas políticas de Siemens Industry Software (SISW), hemos implementado y continuamos monitoreando un número significativo de los controles en NIST SP 800-53 para garantizar la implementación de las mejores prácticas de seguridad. Además, nuestras políticas están alineadas con los marcos de cumplimiento de ISO 27001 y SOC 2.

Sí. SISW ha implementado medidas técnicas y organizativas (TOM) basadas en principios de protección de datos para proteger nuestros sistemas, cumplir los requisitos del RGPD y proteger los derechos de los interesados.

Para obtener más información sobre nuestros TOM, consulte el Anexo II de nuestros Términos de privacidad de datos.

Los procedimientos para respetar los derechos de los interesados se encuentran en nuestra sección 10 de Términos de privacidad de datos, que describe cómo se manejan los derechos de los interesados de conformidad con el RGPD. SISW notificará al cliente sin demora indebida si SISW recibe una solicitud de un interesado para ejercer los derechos de su interesado (como el derecho de acceso, rectificación, supresión o limitación del tratamiento). A continuación, SISW asistirá al cliente con las medidas técnicas y organizativas necesarias para cumplir con su obligación de responder a dichas solicitudes y cumplir con la legislación aplicable en materia de protección de datos.

Consulte Términos de la privacidad de datos.

¿Tiene tu empresa un enfoque estructurado de protección de datos por diseño/predeterminado al implementar nuevas tecnologías? ¿Cómo puede hacer de la protección de datos un componente esencial de la funcionalidad principal de sus sistemas y servicios de tratamiento?

Sí. La Política de cumplimiento de seguridad de la información de SISW SaaS garantiza que nuestras organizaciones legales, de privacidad de datos y de cumplimiento revisen los requisitos legislativos, estatutarios, reglamentarios y contractuales locales aplicables, y documenten y emitan orientaciones según lo requerido por la ley respaldada por la herramienta y el proceso «Privacidad desde el diseño».

Para Siemens, la privacidad desde diseño significa que la legalidad, la transparencia, la autodeterminación de la información, la economía de los datos y la seguridad de los datos ya se tienen en cuenta al desarrollar nuestros productos y servicios. La privacidad por diseño está firmemente integrada en nuestros procesos de desarrollo de productos. Tenemos en cuenta la elección y el consentimiento, la minimización de datos, el acceso, la seguridad, la exactitud de los datos y la calidad y el acceso al desarrollar productos y servicios.

Sí. La política de desarrollo seguro de SaaS de Siemens Industry Software (SISW) establece directrices y requisitos para el desarrollo de software y los repositorios de código fuente. Esta política incluye directrices para la seguridad en todas las fases del ciclo de vida de desarrollo de software y servicios, el mantenimiento del código fuente en repositorios aprobados (incluido el registro y la supervisión), la formación de desarrollo seguro para ingenieros de software y analistas programadores, y los requisitos para entornos operativos, de pruebas y de desarrollo seguros.

Los estándares Open Worldwide Application Security Project (OWASP) informan directamente nuestras prácticas de codificación segura. Una combinación de pruebas de seguridad (como análisis de penetración, estático y dinámico) busca los "10" principales riesgos de seguridad de las aplicaciones web de OWASP e identifica cualquier problema potencial. Los problemas críticos se abordan lo antes posible, mientras que los problemas menores están previstos para futuras versiones si no se abordan inmediatamente.

Sí. Tanto los datos en tránsito como los datos en reposo (incluidas las copias de seguridad) se cifran según la política de criptografía SaaS de Siemens Industry Software (SISW).

Sí. Los empleados de SISW deben recibir anualmente formación en materia de concienciación en materia de seguridad, que se lleva a cabo sobre la base de la Política de concienciación sobre seguridad de SaaS de SISW. Los temas incluyen el uso seguro de programas y herramientas, métodos de phishing, seguridad de contraseñas y autenticación multifactor, clasificación de información, seguridad de trabajo móvil / oficina en casa, comunicación segura y más.

Sí. La confidencialidad se recoge en las Directrices de la empresa, que deben ser revisadas y firmadas anualmente por el personal. Los partners y subcontratistas deben seguir el mismo nivel de seguridad que Siemens y cumplir nuestro Acuerdo de confidencialidad y las Normas para socios comerciales, que definen el tratamiento adecuado de la información confidencial. Todos los datos del cliente se etiquetan o tratan automáticamente como confidenciales.

Sí. Nuestro Acuerdo de Nivel de Servicio (SLA) de tiempo de actividad varía según el nivel de servicio seleccionado por el cliente. Estándar = 95%, Plata = 99,5%, Oro = 99,95%.

Si desea obtener más información, consulte Cloud Support and Service Level Framework ("SLA en la nube").

Sí, a través de nuestro nivel de servicio de asistencia Gold.

Consulte nuestro Soporte en la nube y marco de nivel de servicio ("SLA en la nube") para obtener más detalles.

Sí. A menos que se especifique lo contrario en el Centro de Asistencia Técnica, los servicios en la nube tienen una ventana de mantenimiento periódico semanal por región servida de la siguiente manera:

• Unión Europea: 4:59 a.m. CET del sábado – 4:59 p.m. CET del sábado
• Estados Unidos: 11:59 p.m. EST Sábado – 11:59 a.m. EST Domingo
• Japón: 11:59 p.m. JST Sábado – 11:59 a.m. JST Domingo

SISW se reserva el derecho de ampliar o modificar los plazos del periodo de mantenimiento regular. SISW hará todos los esfuerzos comercialmente razonables para notificar al cliente como mínimo siete días antes de cualquier cambio o mantenimiento programado.

Sí. Mediante nuestras medidas de soporte estándar, se mantiene una copia de seguridad diaria durante dos semanas y una mensual durante tres meses. Siguiendo los mismos procesos de acceso y cifrado que los datos originales, se realiza una copia de seguridad de todos los datos de objeto en una cuenta de sistema o centro de datos secundario en la misma región geográfica que los datos originales.

Para obtener más información sobre la retención de datos y nuestras opciones de nivel Silver y Gold, consulte Cloud Support and Service Level Framework ("SLA en la nube").

Sí. La Política de Gestión de la Continuidad del Negocio de SISW SaaS define las reglas para que la empresa supere un evento que requiere copias de seguridad y mecanismos de recuperación ante desastres. Aborda la recuperación de la empresa de incidentes de alta gravedad (desastres) para sus procesos críticos. La política contiene requisitos para los procesos, los criterios y la propiedad de la gestión de la seguridad de la información para mantener con éxito el negocio en situaciones adversas.

Los procedimientos para restaurar los datos de las copias de seguridad se prueban al menos una vez al año y se revisan como parte de los procesos de auditoría internos y externos. La restauración de copias de seguridad se prueba de acuerdo con la política de recuperación y copia de seguridad de datos de SaaS de SISW.