Leggi le nostre FAQ sulla sicurezza informatica per conoscere le misure adottate da Siemens Digital Industries Software (DI SW) per la sicurezza dei propri sistemi.
Sì. Per impostazione predefinita, i dati nelle nostre soluzioni non hanno accesso. Gli amministratori del cliente concederanno o rimuoveranno l'accesso agli utenti. All'interno di SISW, esaminiamo trimestralmente gli account per l'accesso con privilegi minimi. Questo modello include la separazione dei compiti, il principio della "necessità di sapere" e un processo di richiesta e approvazione per tutte le richieste di accesso.
L'accesso all'ambiente di produzione è controllato attraverso un set designato di punti di accesso e limitato a specifici membri del team con privilegi. Gli utenti vengono autenticati ai punti di accesso utilizzando credenziali aziendali con autenticazione a più fattori hardware (MFA), a seconda di dove si trovano gli asset di produzione. Le password, insieme all'autenticazione a due fattori, vengono utilizzate per accedere ai dispositivi di rete. Questi sono limitati alle persone autorizzate e ai processi di sistema in base alle responsabilità lavorative e vengono modificati periodicamente.
I criteri di sicurezza delle informazioni SaaS di Siemens Industry Software (SISW) includono requisiti di controllo degli accessi, tra cui gestione dell'accesso degli utenti, accesso con privilegi, verifica dell'accesso, autenticazione a più fattori, scadenza delle password, lunghezza, blocco e complessità. Questa informativa descrive anche i requisiti per i processi di registrazione e annullamento della registrazione, la restrizione dell'accesso, le procedure consigliate per le credenziali e le revisioni dei diritti di accesso degli utenti.
Sì. Il reparto Strutture di SISW è responsabile della valutazione delle nostre sedi fisiche, dell'applicazione delle misure di sicurezza fisica e dell'adeguamento di tali misure su base continuativa. Negli edifici adibiti a uffici, nei data center e in altri luoghi sono implementati meccanismi fisici di controllo degli accessi (ad esempio, badge di identificazione, ricezione controllata, telecamere, registrazione degli accessi).
SISW mantiene varie certificazioni di sicurezza delle informazioni, tra cui ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA), STAR Level One, CAIQ e Cyber Essentials Plus.
Per ulteriori informazioni, vedere la pagina Certificati di sistema.
Ispirandoci a numerose policy di Siemens Industry Software (SISW), abbiamo implementato e continuiamo a monitorare un numero significativo di controlli in NIST SP 800-53 per garantire l'implementazione delle best practice di sicurezza. Inoltre, le nostre politiche sono in linea con i framework di conformità ISO 27001 e SOC 2.
Sì. SISW ha implementato misure tecniche e organizzative (TOM) basate sui principi di protezione dei dati per proteggere i propri sistemi, soddisfare i requisiti del GDPR e proteggere i diritti degli interessati.
Per i dettagli sui nostri TOM, consultare Allegato II dei nostri Termini sulla privacy dei dati.
Le procedure per il rispetto dei diritti degli interessati sono riportate nei nostri Termini sulla privacy dei dati, Sezione 10, che descrive come vengono gestiti i diritti degli interessati in conformità con il GDPR. SISW informerà il cliente senza ingiustificato ritardo qualora riceva una richiesta da parte di un interessato di esercitare i propri diritti (come il diritto di accesso, rettifica, cancellazione o limitazione del trattamento). SISW assisterà quindi il cliente con misure tecniche e organizzative per adempiere all'obbligo di rispondere a tali richieste e rispettare la legge applicabile in materia di protezione dei dati.
La tua azienda adotta un approccio strutturato di "protezione dei dati fin dalla progettazione/impostazione predefinita" nell'implementazione di nuove tecnologie? In che modo la protezione dei dati è una componente essenziale della funzionalità di base dei sistemi e dei servizi di elaborazione?
Sì. La Policy di conformità per la sicurezza delle informazioni SaaS di SISW garantisce che le nostre organizzazioni Legale, Privacy dei dati e Conformità esaminino i requisiti legislativi, statutari, normativi e contrattuali locali applicabili e documentino e pubblichino linee guida come richiesto dalla legge supportati dallo strumento e dal processo "Privacy by Design".
Per Siemens, Privacy by Design significa che la legalità, la trasparenza, l'autodeterminazione delle informazioni, l'economia e la sicurezza dei dati sono già considerate durante lo sviluppo dei nostri prodotti e servizi. Privacy by Design è saldamente integrata nei nostri processi di sviluppo dei prodotti. Durante lo sviluppo di prodotti e servizi, consideriamo la scelta e il consenso, la minimizzazione dei dati, l'accesso, la sicurezza, l'accuratezza e la qualità dei dati e l'accesso.
Sì. La politica di sviluppo sicuro SaaS di Siemens Industry Software (SISW) stabilisce linee guida e requisiti per lo sviluppo di software e repository di codice sorgente. Questa politica include linee guida per la sicurezza in tutte le fasi del ciclo di vita dello sviluppo di software e servizi, il mantenimento del codice sorgente in repository approvati (inclusi registrazione e monitoraggio), la formazione sicura per ingegneri del software e analisti programmatori e i requisiti per ambienti di sviluppo, test e operativi sicuri.
Gli standard Open Worldwide Application Security Project (OWASP) informano direttamente le nostre pratiche di codifica sicura. Una combinazione di test di sicurezza (come l'analisi di penetrazione, statica e dinamica) cerca i 10 principali rischi per la sicurezza delle applicazioni web di OWASP e identifica eventuali problemi. I problemi critici vengono risolti il prima possibile, mentre i problemi minori sono pianificati per le versioni future se non affrontati immediatamente.
Sì. I dati in transito e i dati inattivi (inclusi i backup) sono crittografati in base ai criteri di crittografia SaaS di Siemens Industry Software (SISW).
Sì. I dipendenti di SISW sono tenuti a seguire ogni anno corsi di sensibilizzazione sulla sicurezza, implementati sulla base della Policy di sensibilizzazione alla sicurezza SaaS di SISW. Gli argomenti includono l'uso sicuro di programmi e strumenti, i metodi di phishing, la sicurezza delle password e l'autenticazione a più fattori, la classificazione delle informazioni, la sicurezza del lavoro mobile e dell'home office, la comunicazione sicura e altro ancora.
Sì. La riservatezza è disciplinata dalle Direttive aziendali, che devono essere revisionate e firmate annualmente dal personale. I Partner e i subappaltatori sono tenuti a seguire lo stesso livello di sicurezza di Siemens e a rispettare l'Accordo di non divulgazione e le Regole per i partner commerciali, che definiscono la corretta gestione delle informazioni riservate. Per impostazione predefinita, tutti i dati dei clienti sono etichettati/trattati come riservati.
Sì. Il nostro Service Level Agreement (SLA) sui tempi di attività varia a seconda del livello di servizio selezionato dal cliente. Standard = 95%, Silver = 99.5%, Gold = 99.95%.
Per informazioni dettagliate, vedere Cloud Support and Service Level Framework ("Cloud SLA").
Sì, tramite il livello di servizio di supporto Gold.
Per i dettagli, consulta il nostro Cloud Support and Service Level Framework ("Cloud SLA").
Sì. Se non diversamente specificato nel Centro assistenza, i servizi cloud prevedono una finestra di manutenzione regolare settimanale per regione servita, come indicato di seguito:
SISW si riserva il diritto di estendere o modificare gli orari della finestra di manutenzione ordinaria. SISW compirà ogni sforzo commercialmente ragionevole per informare il cliente almeno sette giorni prima di tale modifica o manutenzione programmata.
Sì. Attraverso le nostre misure di supporto standard, viene mantenuto un backup giornaliero per due settimane e un backup mensile per tre mesi. Seguendo gli stessi processi di accesso e crittografia dei dati originali, viene eseguito il backup di tutti i dati degli oggetti in un account di sistema secondario/data center nella stessa area geografica dei dati originali.
Per ulteriori informazioni sulla conservazione dei dati e sulle nostre opzioni di livello Silver e Gold, consulta Cloud Support and Service Level Framework ("Cloud SLA").
Sì. La policy di gestione della continuità aziendale SaaS di SISW definisce le regole che consentono all'azienda di superare un evento che richiede backup e meccanismi di disaster recovery. Riguarda il recupero dell'azienda da incidenti gravi (disastri) per i suoi processi critici. La policy contiene i requisiti per i processi, i criteri e la proprietà della gestione della sicurezza delle informazioni per sostenere con successo l'azienda in situazioni avverse.
Le procedure per il ripristino dei dati dai backup vengono testate almeno una volta all'anno e revisionate nell'ambito di processi di audit interni ed esterni. Il ripristino dei backup viene testato in conformità con i criteri di backup e ripristino dei dati SaaS di SISW.