Przeczytaj często zadawane pytania dotyczące cyberbezpieczeństwa, aby dowiedzieć się więcej o działaniach podejmowanych przez firmę Siemens Digital Industries Software (DI SW) w celu zapewnienia bezpieczeństwa naszych systemów.
Tak. Dostęp do danych w naszych rozwiązaniach jest domyślnie zerowy. Administratorzy klienta przyznają lub usuwają dostęp użytkownikom. W ramach SISW co kwartał sprawdzamy konta pod kątem najmniejszych uprawnień. Model ten obejmuje podział obowiązków, zasadę ograniczonego dostępu oraz proces składania wniosków i zatwierdzania wszystkich wniosków o dostęp.
Dostęp do środowiska produkcyjnego jest kontrolowany za pomocą wyznaczonego zestawu punktów dostępu i zastrzeżony dla określonych, uprzywilejowanych członków zespołu. Użytkownicy są uwierzytelniani w punktach dostępu przy użyciu poświadczeń firmy ze sprzętowym uwierzytelnianiem wieloskładnikowym (MFA), w zależności od lokalizacji zasobów produkcyjnych. Hasła wraz z uwierzytelnianiem dwuskładnikowym służą do uzyskiwania dostępu do urządzeń sieciowych. Są one ograniczone do uprawnionych osób i procesów systemowych na podstawie zakresu obowiązków i są okresowo zmieniane.
Polityka bezpieczeństwa informacji w modelu SaaS firmy Siemens Industry Software (SISW) obejmuje wymagania dotyczące kontroli dostępu, w tym zarządzanie dostępem użytkowników, dostęp uprzywilejowany, przegląd dostępu, uwierzytelnianie wieloskładnikowe, wygaśnięcie hasła, długość, blokadę i złożoność. Niniejsze zasady szczegółowo opisują również wymagania dotyczące procesów rejestracji i wyrejestrowywania, ograniczania dostępu, najlepszych praktyk w zakresie poświadczeń oraz przeglądów praw dostępu użytkowników.
Tak. Dział SISW Facilities jest odpowiedzialny za ocenę naszych fizycznych lokalizacji, stosowanie i dostosowywanie tych środków na bieżąco. Mechanizmy fizycznej kontroli dostępu (np. identyfikatory, kontrolowany odbiór, kamery, rejestracja dostępu) są wdrażane w budynkach biurowych, centrach danych i innych lokalizacjach.
SISW posiada różne certyfikaty bezpieczeństwa informacji, w tym ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA), STAR Level One CAIQ i Cyber Essentials Plus.
Aby uzyskać więcej informacji, zobacz Strona certyfikatów systemowych.
Kierując się licznymi zasadami firmy Siemens Industry Software (SISW), wdrożyliśmy i nadal monitorujemy znaczną liczbę mechanizmów kontroli w NIST SP 800-53, aby zapewnić wdrożenie najlepszych praktyk w zakresie bezpieczeństwa. Ponadto nasze zasady są zgodne z ramami zgodności z normami ISO 27001 i SOC 2.
Tak. W celu ochrony naszych systemów, spełnienia wymogów rozporządzenia RODO oraz ochrony praw osób, których dane dotyczą, firma SISW wdrożyła środki techniczne i organizacyjne oparte na zasadach ochrony danych.
Szczegółowe informacje na temat naszych TOM można znaleźć w Załączniku II do naszych Warunków ochrony danych.
Procedury dotyczące przestrzegania praw osób, których dane dotyczą, znajdują się w sekcji 10 Warunków ochrony danych, która opisuje, w jaki sposób prawa osób, których dane dotyczą, są realizowane zgodnie z RODO. SISW bez zbędnej zwłoki powiadomi klienta, jeżeli otrzyma od osoby, której dane dotyczą, żądanie skorzystania z przysługujących jej praw (takich jak prawo dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania). SISW pomoże klientowi w zakresie środków technicznych i organizacyjnych w celu wypełnienia obowiązku udzielenia odpowiedzi na takie żądania i zapewnienia zgodności z obowiązującymi przepisami dotyczącymi ochrony danych.
Zobacz Warunki ochrony danych.
Czy Twoja organizacja stosuje ustrukturyzowane podejście "Ochrona danych w fazie projektu/domyślnie" podczas wdrażania nowych technologii? Jak sprawić, by ochrona danych stała się istotnym elementem podstawowej funkcjonalności systemów i usług przetwarzania danych?
Tak. Polityka zgodności bezpieczeństwa informacji SaaS firmy SISW gwarantuje, że nasze organizacje prawne, ds. prywatności danych i zgodności z przepisami dokonują przeglądu obowiązujących lokalnych wymogów prawnych, ustawowych, regulacyjnych i umownych oraz dokumentują i wydają wytyczne wymagane przez prawo obsługiwane przez narzędzie i proces ochrony prywatności w fazie projektowania.
Dla firmy Siemens zasada "Privacy by Design" oznacza, że zgodność z prawem, przejrzystość, samostanowienie informacyjne, oszczędność danych i bezpieczeństwo danych są brane pod uwagę już podczas opracowywania naszych produktów i usług. Prywatność w fazie projektowania jest ściśle zintegrowana z naszymi procesami rozwoju produktów. Podczas opracowywania produktów i usług bierzemy pod uwagę wybór i zgodę, minimalizację danych, dostęp, bezpieczeństwo, dokładność i jakość danych oraz dostęp.
Tak. Zasady bezpiecznego rozwoju w modelu SaaS firmy Siemens Industry Software (SISW) ustanawiają wytyczne i wymagania dotyczące tworzenia oprogramowania i repozytoriów kodu źródłowego. Te zasady obejmują wytyczne dotyczące bezpieczeństwa na wszystkich etapach cyklu życia tworzenia oprogramowania i usług, konserwacji kodu źródłowego w zatwierdzonych repozytoriach (w tym rejestrowania i monitorowania), bezpiecznych szkoleń programistycznych dla inżynierów oprogramowania i analityków oraz wymagań dotyczących bezpiecznych środowisk programistycznych, testowych i operacyjnych.
Standardy Open Worldwide Application Security Project (OWASP) bezpośrednio wpływają na nasze bezpieczne praktyki kodowania. Kombinacja testów bezpieczeństwa (takich jak analiza penetracji, statyczna i dynamiczna) szuka "10 najważniejszych" zagrożeń bezpieczeństwa aplikacji internetowych OWASP i identyfikuje wszelkie potencjalne problemy. Krytyczne problemy są rozwiązywane tak szybko, jak to możliwe, natomiast mniejsze problemy są planowane w przyszłych wydaniach, jeśli nie zostaną rozwiązane natychmiast.
Tak. Zarówno dane przesyłane, jak i dane magazynowane (w tym kopie zapasowe) są szyfrowane zgodnie z zasadami kryptograficznymi firmy Siemens Industry Software (SISW) w modelu SaaS.
Tak. Pracownicy SISW są zobowiązani do odbycia corocznego szkolenia z zakresu świadomości bezpieczeństwa, realizowanego w oparciu o politykę świadomości bezpieczeństwa SaaS firmy SISW. Tematy obejmują bezpieczne korzystanie z programów i narzędzi, metody phishingu, bezpieczeństwo haseł i uwierzytelnianie wieloskładnikowe, klasyfikację informacji, bezpieczeństwo pracy mobilnej/biura domowego, bezpieczną komunikację i wiele innych.
Tak. Zasada nieujawniania informacji jest uregulowana w Dyrektywach Spółki, które muszą być weryfikowane i podpisywane przez pracowników co roku. Partnerzy i podwykonawcy są zobowiązani do takiego samego poziomu bezpieczeństwa jak firma Siemens i przestrzegania naszej Umowy o zachowaniu poufności oraz Zasad dla partnerów biznesowych, które określają właściwe postępowanie z informacjami poufnymi. Domyślnie wszystkie dane klientów są oznaczone/traktowane jako poufne.
Tak. Nasza Umowa o gwarantowanym poziomie usług (SLA) czasu pracy bez przestojów różni się w zależności od wybranego przez klienta poziomu usług. Standard = 95%, Srebro = 99,5%, Złoto = 99,95%.
Szczegółowe informacje można znaleźć w dokumencie Warunki ramowe dotyczące pomocy technicznej i poziomu usług w chmurze ("Umowa SLA dotycząca chmury").
Tak, za pośrednictwem pomocy technicznej na poziomie Gold.
Szczegółowe informacje można znaleźć w dokumencie Warunki ramowe dotyczące pomocy technicznej i poziomu usług w chmurze ("Umowa SLA dla usług w chmurze")
Tak. Jeśli nie określono inaczej w Centrum pomocy technicznej, usługi w chmurze mają regularne okno obsługi co tydzień dla każdego obsługiwanego regionu w następujący sposób:
Firma SISW zastrzega sobie prawo do wydłużenia lub zmiany czasu realizacji regularnych przeglądów serwisowych. SISW dołoży uzasadnionych ekonomicznie starań, aby powiadomić klienta o takiej zmianie lub planowanych pracach konserwacyjnych co najmniej siedem dni.
Tak. Dzięki naszym standardowym środkom pomocy technicznej codzienna kopia zapasowa jest utrzymywana przez dwa tygodnie, a comiesięczna kopia zapasowa jest przechowywana przez trzy miesiące. Zgodnie z tymi samymi procesami dostępu i szyfrowania, co oryginalne dane, wszystkie dane obiektu są archiwizowane na pomocniczym koncie systemowym/centrum danych w tym samym regionie geograficznym co oryginalne dane.
Aby uzyskać więcej informacji na temat przechowywania danych oraz opcji na poziomie Silver i Gold, zobacz warunki ramowe dotyczące pomocy technicznej i poziomu usług w chmurze ("Umowa SLA dotycząca usług w chmurze").
Tak. Zasady zarządzania ciągłością działania SaaS firmy SISW określają reguły na wypadek zdarzenia wymagającego tworzenia kopii zapasowych i mechanizmów odzyskiwania po awarii. Dotyczy odzyskiwania krytycznych procesów w firmie po incydentach o wysokiej wadze (katastrof). Polityka zawiera wymagania dotyczące procesów, kryteriów i własności zarządzania bezpieczeństwem informacji w celu skutecznego utrzymania firmy w niekorzystnych sytuacjach.
Procedury przywracania danych z kopii zapasowych są testowane co najmniej raz w roku i poddawane przeglądowi w ramach wewnętrznych i zewnętrznych procesów audytowych. Przywracanie kopii zapasowej jest testowane zgodnie z zasadami tworzenia kopii zapasowych i odzyskiwania danych SaaS firmy SISW.