シーメンスのサイバーセキュリティに関するよくある質問

SISWは、ISO 27001/17/18、SOC2、TISAX、Cloud Security Alliance (CSA) STAR Level One CAIQ、Cyber Essentials Plusなど、さまざまな情報セキュリティ認証を維持しています。

詳細については、システム証明書ページを参照してください。

シーメンスインダストリーソフトウェア (SISW) の多数のポリシーに基づき、セキュリティのベストプラクティスを確実に実装するために、NIST SP 800-53のかなりの数の制御を実装し、監視を継続しています。また、当社のポリシーは、ISO 27001およびSOC 2コンプライアンスフレームワークに沿っています。

答えは「はい」です。SISWは、システムを保護し、GDPRの要件を満たし、データ主体の権利を保護するため、データ保護の原則に基づいた技術的および組織的対策 (TOM) を実施しています。

TOMの詳細については、データプライバシー規約の付属書IIをご覧ください。

データ主体の権利を尊重するための手順は、GDPRに準拠してデータ主体の権利がどのように取り扱われるかを説明した、データプライバシー規約の第10条に記載されています。SISWは、データ主体からデータ主体の権利 (アクセス権、修正、消去、処理制限など) の行使を求められた場合、遅滞なくお客様に通知します。その後、SISWは、そのような要求に対応し、適用されるデータ保護法を遵守する義務を果たすために、技術的および組織的対策についてお客様を支援します。

データプライバシー条項を参照してください。

貴社では、新しいテクノロジーを導入する際に、構造化された「Data Protection by Design/Default」アプローチを採用していますか? データ保護を処理システムとサービスのコア機能の必須コンポーネントにするにはどうすればよいでしょうか?

はい。SISWのSaaS情報セキュリティ・コンプライアンス・ポリシーは、当社の法務、データ・プライバシー、コンプライアンス部門が、「プライバシー・バイ・デザイン」ツールおよびプロセスに支えられた法律の要求に従い、適用される現地の法律、法定、規制、契約上の要件、文書および発行ガイダンスをレビューすることを保証します。

シーメンスにとって「プライバシー・バイ・デザイン」とは、シーメンスの製品やサービスを開発する際に、合法性、透明性、情報の自己決定、データ経済性、データ・セキュリティがすでに考慮されていることを意味します。プライバシー・バイ・デザインは、当社の製品開発プロセスにしっかりと統合されています。当社は、製品およびサービスを開発する際に、選択と同意、データの最小化、アクセス、セキュリティ、データの正確性と品質、およびアクセスを考慮します。

答えは「はい」です。Siemens Industry Software (SISW) SaaS Secure Development Policyは、ソフトウェア開発およびソースコードリポジトリのガイドラインと要件を定めています。このポリシーには、ソフトウェアとサービスの開発ライフサイクルのすべてのフェーズを通じたセキュリティ、承認されたリポジトリでのソースコードのメンテナンス(ログ記録と監視を含む)、ソフトウェアエンジニアとプログラマアナリスト向けの安全な開発トレーニング、および安全な開発、テスト、および運用環境の要件に関するガイドラインが含まれます。

Open Worldwide Application Security Project(OWASP)標準は、安全なコーディングプラクティスを直接通知します。セキュリティテスト(侵入分析、静的分析、動的分析など)を組み合わせて、OWASPの「トップ10」のWebアプリケーションセキュリティリスクを探し、潜在的な問題を特定します。重大な問題はできるだけ早く対処されますが、すぐに対処しない場合は、将来のリリースでより小さな問題が計画されています。

答えは「はい」です。転送中データと保存中データ (バックアップを含む) は、シーメンスデジタルインダストリーズソフトウェア (SISW) のSaaS暗号化ポリシーに基づいて暗号化されます。

答えは「はい」です。SISWの従業員は、SISWのSaaSセキュリティ意識向上ポリシーに基づいて実施されるセキュリティ意識向上トレーニングを毎年受けることが義務付けられています。トピックには、プログラムとツールの安全な使用、フィッシング方法、パスワードセキュリティと多要素認証、情報分類、モバイルワーク/ホームオフィスのセキュリティ、安全な通信などが含まれます。

答えは「はい」です。 非開示については、会社指示で定められており、毎年、従業員によるレビューと署名が義務付けられています。パートナーや委託先は、シーメンスと同レベルのセキュリティを確保し、機密情報の適切な取り扱いを定めた秘密保持契約およびビジネスパートナー向け規則を遵守することが求められます。既定では、すべての顧客データにラベルが付けられ、機密として扱われます。

答えは「はい」です。稼働時間のサービスレベルアグリーメント(SLA)は、お客様が選択したサービスレベルによって異なります。標準 = 95%、シルバー = 99.5%、ゴールド = 99.95%。

詳細については、クラウドサポートおよびサービスレベルフレームワーク(「クラウドSLA」)を参照してください。

はいゴールド・サポート・サービスレベルでご利用いただけます。

詳細については、クラウドサポートおよびサービスレベルフレームワーク(以下「クラウドSLA」といいます)をご覧ください。

答えは「はい」です。サポートセンターで特に指定されていない限り、クラウドサービスには、サービス提供地域ごとに毎週以下の定期メンテナンス期間があります。

• 欧州連合：土曜日の午前4時59分(中央ヨーロッパ時間)–土曜日の午後4時59分(中央ヨーロッパ時間)
• 米国：土曜日午後11時59分(東部標準時)–午前11時59分(東部標準時日曜日)
• 日本：土曜日 11:59pm JST – 日曜日 11:59am JST

SISWは定期メンテナンス期間を延長または変更する権利を留保します。SISWは、かかる変更または定期メンテナンスの少なくとも7日前までにお客様に通知するよう、商業的に合理的な努力を払います。

答えは「はい」です。標準的なサポート手段では、毎日のバックアップは 2 週間、毎月のバックアップは 3 か月間維持されます。元のデータと同じアクセスおよび暗号化プロセスに従って、すべてのオブジェクトデータは、元のデータと同じ地理的リージョンにあるセカンダリシステムアカウント/データセンターにバックアップされます。

データ保持とシルバーおよびゴールドレベルのオプションの詳細については、クラウドサポートおよびサービスレベルフレームワーク(「クラウドSLA」)を参照してください。

答えは「はい」です。SISWのSaaSビジネス継続性管理ポリシーは、バックアップとディザスタリカバリのメカニズムを必要とするイベントをビジネスが克服するためのルールを定義しています。これは、企業の重要プロセスの重大度の高いインシデント (災害) からの回復に対処します。このポリシーには、不利な状況下でビジネスを正常に維持するための情報セキュリティ管理プロセス、基準、および所有権の要件が含まれています。

バックアップからデータを復元する手順は、少なくとも年に一度テストされ、内部および外部の監査プロセスの一環として見直されます。バックアップ復元は、SISW SaaS Data Backup and Recovery Policyに従ってテストされます。