Lisez notre FAQ sur la cybersécurité pour en savoir plus sur les mesures prises par Siemens Digital Industries Software (DI SW) pour assurer la sécurité de ses systèmes.
Oui. Par défaut, les données de nos solutions n’ont pas d’accès. Les administrateurs du client accorderont ou supprimeront l’accès aux utilisateurs. Au sein de SISW, nous examinons tous les trimestres les comptes relatifs à l’accès au moindre privilège. Ce modèle comprend la séparation des tâches, le principe du « besoin de savoir » et un processus de demande et d’approbation pour toutes les demandes d’accès.
L’accès à l’environnement de production est contrôlé par un ensemble désigné de points d’accès et limité à des membres d’équipe spécifiques disposant de droits. Les utilisateurs sont authentifiés aux points d’accès à l’aide des informations d’identification de l’entreprise avec authentification multifacteur matérielle (MFA), en fonction de l’endroit où se trouvent les actifs de production. Les mots de passe, ainsi que l’authentification à deux facteurs, sont utilisés pour accéder aux périphériques réseau. Ceux-ci sont réservés aux personnes autorisées et aux processus système basés sur les responsabilités professionnelles et sont modifiés périodiquement.
La politique SaaS de sécurité de l’information de Siemens Industry Software (SISW) comprend des exigences de contrôle d’accès, notamment la gestion de l’accès des utilisateurs, l’accès à privilèges, la révision de l’accès, l’authentification multifacteur, l’expiration du mot de passe, la longueur, le verrouillage et la complexité. Cette politique détaille également les exigences relatives aux processus d’inscription et de désinscription, la restriction d’accès, les meilleures pratiques en matière d’accréditation et les révisions des droits d’accès des utilisateurs.
Oui. Le service des installations du SISW est responsable de l’évaluation de nos sites physiques, de l’application des mesures de sécurité physique et de l’ajustement continu de ces mesures. Des mécanismes de contrôle d’accès physique (par exemple, badges d’identification, réception contrôlée, caméras, journalisation des accès) sont mis en œuvre dans les immeubles de bureaux, les centres de données et d’autres endroits.
SISW détient diverses certifications de sécurité de l’information, notamment ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA), STAR Level One CAIQ et Cyber Essentials Plus.
Pour plus d’informations, consultez la page Certificats système.
Guidés par de nombreuses politiques de Siemens Industry Software (SISW), nous avons mis en œuvre et continuons de surveiller un nombre important de contrôles de la norme NIST SP 800-53 afin de garantir la mise en œuvre des meilleures pratiques en matière de sécurité. De plus, nos politiques sont conformes aux cadres de conformité ISO 27001 et SOC 2.
Oui. SISW a mis en place des mesures techniques et organisationnelles (TOM) basées sur les principes de protection des données afin de protéger nos systèmes, de répondre aux exigences du RGPD et de protéger les droits des personnes concernées.
Pour plus d’informations sur nos TOM, consultez Annexe II de nos Conditions relatives à la confidentialité des données.
Les procédures de respect des droits des personnes concernées se trouvent dans nos Conditions de confidentialité des données, section 10, qui décrivent comment les droits des personnes concernées sont traités conformément au RGPD. SISW informera le client dans les plus brefs délais si elle reçoit une demande d’une personne concernée d’exercer ses droits (tels que le droit d’accès, de rectification, d’effacement ou de limitation du traitement). SISW assistera ensuite le client en mettant en œuvre les mesures techniques et organisationnelles nécessaires pour remplir son obligation de répondre à ces demandes et de se conformer à la législation applicable en matière de protection des données.
Votre organisation dispose-t-elle d’une approche structurée de « protection des données dès la conception/défaut » lors de la mise en œuvre de nouvelles technologies ? Comment faire de la protection des données une composante essentielle de la fonctionnalité essentielle de vos systèmes et services de traitement ?
Oui. La politique de conformité en matière de sécurité de l’information SaaS SISW garantit que nos organisations chargées du droit, de la confidentialité des données et de la conformité examinent les exigences législatives, légales, réglementaires et contractuelles locales applicables, et qu’elles documentent et émettent des directives comme l’exige la loi, en s’appuyant sur l’outil et le processus « Privacy by Design ».
Pour Siemens, le respect de la vie privée dès la conception signifie que la légalité, la transparence, l’autodétermination informationnelle, l’économie des données et la sécurité des données sont déjà prises en compte lors du développement de nos produits et services. Privacy by Design est étroitement intégré à nos processus de développement de produits. Nous tenons compte du choix et du consentement, de la minimisation des données, de l’accès, de la sécurité, de l’exactitude et de la qualité des données et de l’accès lors du développement de produits et de services.
Oui. La politique de développement sécurisé SaaS de Siemens Industry Software (SISW) établit des directives et des exigences pour le développement de logiciels et les référentiels de code source. Cette stratégie inclut des directives relatives à la sécurité dans toutes les phases du cycle de vie de développement de logiciels et de services, à la maintenance du code source dans des référentiels approuvés (y compris la journalisation et la surveillance), à la formation au développement sécurisé pour les ingénieurs logiciels et les analystes-programmeurs, ainsi qu’aux exigences relatives aux environnements opérationnels et de développement, de test et sécurisés.
Les normes Open Worldwide Application Security Project (OWASP) informent directement nos pratiques de codage sécurisé. Une combinaison de tests de sécurité (tels que l’analyse de pénétration, statique et dynamique) permet de rechercher les « 10 principaux » risques de sécurité des applications Web de l’OWASP et d’identifier tout problème potentiel. Les problèmes critiques sont traités dès que possible, tandis que les problèmes moins importants sont prévus pour les prochaines versions, s’ils ne sont pas traités immédiatement.
Oui. Les données en transit et les données au repos (y compris les sauvegardes) sont chiffrées conformément à la politique de cryptage SaaS de Siemens Industry Software (SISW).
Oui. Les employés du SISW sont tenus de suivre une formation annuelle de sensibilisation à la sécurité, mise en œuvre conformément à la politique de sensibilisation à la sécurité SaaS du SISW. Les sujets abordés comprennent l’utilisation sécurisée de programmes et d’outils, les méthodes d’hameçonnage, la sécurité des mots de passe et l’authentification multifacteur, la classification des informations, la sécurité du travail mobile et des bureaux à domicile, la communication sécurisée et plus encore.
Oui. La non-divulgation est abordée dans les directives d’entreprise, qui doivent être révisées et signées par le personnel chaque année. Les partenaires et les sous-traitants sont tenus de suivre le même niveau de sécurité que Siemens et d’adhérer à notre Accord de non-divulgation et à nos Règles pour les partenaires commerciaux, qui définissent le traitement approprié des informations confidentielles. Par défaut, toutes les données client sont étiquetées/traitées comme confidentielles.
Oui. Notre accord de niveau de service (SLA) de disponibilité varie en fonction du niveau de service sélectionné par un client. Standard = 95 %, Argent = 99,5 %, Or = 99,95 %.
Pour plus d’informations, consultez Cloud Support and Service Level Framework (« Cloud SLA ») .
Oui, via notre niveau de service d’assistance Gold.
Pour plus d’informations, consultez notre cadre de support et de niveau de service cloud
Oui. Sauf indication contraire dans le Centre d’assistance, les services cloud disposent d’une fenêtre de maintenance régulière hebdomadaire et par région desservie, comme suit :
SISW se réserve le droit de prolonger ou de modifier les durées de la période de maintenance régulière. SISW déploiera des efforts commercialement raisonnables pour avertir le client au moins sept jours avant une telle modification ou toute maintenance programmée.
Oui. Grâce à nos mesures d’assistance standard, une sauvegarde quotidienne est maintenue pendant deux semaines et une sauvegarde mensuelle est maintenue pendant trois mois. En suivant les mêmes processus d’accès et de cryptage que les données d’origine, toutes les données d’objet sont sauvegardées dans un compte système secondaire/centre de données dans la même région géographique que les données d’origine.
Pour plus d’informations sur la conservation des données et sur nos options de niveau Silver et Gold, consultez le cadre de niveau de support et de service Cloud (« Cloud SLA ») .
Oui. La stratégie de gestion de la continuité d’activité SaaS SISW définit les règles permettant à l’entreprise de faire face à un événement nécessitant des sauvegardes et des mécanismes de reprise après sinistre. Il vise à aider l’entreprise à se remettre d’incidents de haute gravité (sinistres) pour ses processus critiques. La stratégie contient des exigences relatives aux processus de gestion de la sécurité de l’information, aux critères et à la propriété pour soutenir l’entreprise dans des situations défavorables.
Les procédures de restauration des données à partir de sauvegardes sont testées au moins une fois par an et sont examinées dans le cadre de processus d’audit interne et externe. La restauration des sauvegardes est testée conformément à la politique de sauvegarde et de récupération des données SISW SaaS.