Безопасность

Защита приложения

Безопасность клиентских данных — главный приоритет Schneider Electric. Мы постоянно разрабатываем средства для защиты от возможных атак, а также тестируем платформу EcoScruxure IT на проникновение, прибегая к услугам сертифицированных этичных хакеров.

Защита продуктов

Чтобы обеспечить безопасность платформы EcoStruxure IT, мы используем высокоуровневое шифрование и обязательную двухэтапную аутентификацию. Для передачи данных между шлюзом и платформой EcoStruxure IT устанавливается исходящее соединение, которое исключает возможность взлома.

Защита данных

Компания Schneider Electric обеспечивает сохранность и конфиденциальность пользовательских данных в соответствии с требованиями Общего регламента по защите данных (GDPR). Мы используем только машинные данные при оптимизации вашей работы с платформой EcoStruxure IT.

Защита приложения

БЕЗОПАСНАЯ РАЗРАБОТКА

Тренинг по безопасности

Все разработчики EcoStruxure IT проходят обязательные тренинги по безопасности при найме и далее ежегодно. Кроме того, им предоставляется возможность пройти обучение и получить сертификат этичного хакера.

Взаимный контроль

Для обеспечения качества, безопасности и бесперебойной работы все изменения кода и инфраструктуры на платформе EcoStruxure IT проверяет как минимум один дополнительный инженер.

Чтобы изменения было удобно отслеживать, мы используем распределенную систему управления версиями (GIT).

Выделенная среда тестирования

Среда тестирования EcoStruxure IT физически изолирована от эксплуатационной среды.

УЯЗВИМОСТИ ПРИЛОЖЕНИЙ

Динамическое сканирование на уязвимости

Schneider Electric регулярно сканирует платформу EcoStruxure IT на наличие уязвимостей, используя сторонние инструменты безопасности. При обнаружении проблем наши специалисты подключают к их решению инженеров.

Статический анализ кода

Мы постоянно сканируем исходный код на предмет ошибок, уязвимостей и проблем с лицензированием. Все изменения кода, которые нарушают стандарты EcoStruxure IT, отправляются на доработку.

Внешнее тестирование

В Schneider Electric постоянно работает множество сторонних сертифицированных хакеров для проведения подробных тестов на проникновение всех компонентов EcoStruxure IT (шлюз, мобильное приложение и веб-приложение). Когда новые функции выпущены, заявления о миссии передаются экспертам по безопасности для проверки безопасности функций. Узнайте больше о нашей политике обмена отчетами о тестировании безопасности.

Реагирование на инциденты

Корпоративная группа по реагированию на чрезвычайные ситуации по продуктам Schneider Electric (CPCERT) определила процессы управления уязвимостями для обеспечения эффективного реагирования на инциденты.

Чтобы сообщить об инциденте, пожалуйста, напишите cybersecurity@schneider-electric.com.

О всех раскрытиях уязвимостей сообщается на портале поддержки кибербезопасности Schneider Electric.

Защита от XSS-атак

Мы тщательно проверяем достоверность вводимых данных, используя статический анализ кода и лучшие сторонние фреймворки.

Средства защиты продуктов

ИНСТРУМЕНТЫ АУТЕНТИФИКАЦИИ

Пароль

Пароль на платформе EcoStruxure IT должен включать:

  • Как минимум 8 символов.
  • Символы как минимум трех видов из приведенных ниже:
    • строчные буквы (a–z);
    • прописные буквы (A–Z);
    • цифры (0–9);
    • специальные символы (!@#$%^&*).

Пароль не должен повторять начальную часть вашего адреса электронной почты и входить в число 10 000 самых популярных паролей.

В соответствии с рекомендациями Национального института стандартизации и технологий (США) и Национального центра по кибербезопасности (Великобритания) срок действия пароля не ограничен.

Многофакторная аутентификация

Многофакторная аутентификация обеспечивает дополнительную защиту вашего аккаунта EcoStruxure IT. Она включена для всех пользователей: будь то клиенты, партнеры или сотрудники Schneider Electric. Мы рекомендуем использовать приложение EcoStruxure IT или сторонний сервис для двухэтапной аутентификации. К одноразовым SMS-токенам прибегать нежелательно.

Безопасное хранение учетных данных

Schneider Electric не хранит пароли в виде читаемого текста. Вместо этого используется надежная хеш-функция bcrypt. Пароли не привязаны к внутренней платформе и сохраняются с помощью сервиса Auth0, которым пользуются многие эксперты в области аутентификации.

Неудачные попытки входа

На платформе EcoStruxure IT используется защита от брутфорс-атак. Если вы введете неверный пароль с одного и того же IP-адреса более десяти раз, мы заблокируем вам вход в аккаунт и отправим письмо с дальнейшими инструкциями.

Кроме того, есть ограничение по частоте входов. Оно сработает, если один и тот же пользователь попробует войти в аккаунт более 20 раз за минуту из одного и того же места (пусть даже и с правильными учетными данными). После этого он сможет выполнять не более десяти попыток входа в минуту.

ЗАЩИТА ШЛЮЗА

Исходящее соединение

Schneider Electric обязуется обеспечивать безопасность и конфиденциальность ваших данных даже до того, как они покинут ваш сайт. Все соединения от ИТ-шлюза EcoStruxure до нашего облака проверяются с использованием 2048-битного сертификата RSA промышленного стандарта, а данные шифруются при передаче с использованием 256-битного шифрования AES. Чтобы не подвергать риску безопасность вашего сайта, ИТ-шлюз EcoStruxure использует исходящее соединение через порт 443 и связывается только с ИТ-облаком EcoStruxure с использованием 40.84.62.190, 23.99.90.28 и 52.230.227.202.

Узнайте больше о том, как EcoStruxure IT применяет обновления в вашей инфраструктуре через исходящее соединение (односторонняя связь)

Аутентификация

Все запросы со стороны шлюза подписываются уникальным закрытым ключом, который создается при установке и хранится в системе шлюза. Таким образом, посторонние лица не могут получить доступ к нему.

Автоматические обновления

ПО шлюза EcoStruxure IT обновляется автоматически. При этом сигналы тревоги и данные датчиков передаются в облако даже во время установки обновлений.

Защита данных

GDPR

Общее положение о защите данных («GDPR») касается обработки персональных данных и свободного перемещения этих данных. Его целью является укрепление безопасности и защиты персональных данных в ЕС и гармонизация законодательства ЕС о защите данных. Этот регламент устанавливает ряд принципов и требований защиты данных, которые необходимо соблюдать при обработке персональных данных.

Schneider Electric обязуется соблюдать свои обязательства по GDPR. Schneider Electric делится персональной информацией со сторонними процессорами данных по мере необходимости. Узнайте больше о том, какие личные данные передаются субпроцессорам и субподрядчикам.

Обработка и хранение персональных данных

Schneider Electric собирает данные датчиков и сигналы тревоги основных устройств, к которым вы открыли доступ. Это сведения о работе оборудования, а также метаданные (информация о расположении и сроке эксплуатации устройств).

Чтобы мы могли знать, что это именно ваши данные, им присваивается уникальный идентификатор. Кроме того, мы ведем контрольный журнал, в котором содержатся сведения обо всех данных, поступающих на облачный сервер. Поэтому всегда можно отследить, где именно находилась ваша информация и для чего она использовалась.

У EcoStruxure IT нет доступа к данным в вашем хранилище и на ваших серверах. Кроме того, мы не отслеживаем трафик в вашей сети. Данные хранятся в США на платформе Microsoft Azure, соответствующей требованиям соглашения о правилах обмена конфиденциальной информацией между ЕС и США.

Использование персональных данных

Мы обрабатываем и храним ваши данные, чтобы вы могли ими пользоваться в любой точке мира в приложении EcoStruxure IT. Кроме того, они помогают улучшать наши сервисы и создавать центр обработки данных, которому позавидуют все ваши коллеги.

Автоматическое удаление персональных данных

Если вы деактивируете аккаунт EcoStruxure IT, ваши персональные данные будут автоматически удалены из системы.

Центр обработки данных и сетевая безопасность

ФИЗИЧЕСКАЯ ЗАЩИТА

Материально-технические средства

ИТ-серверы EcoStruxure размещаются в Соединенных Штатах в облаке Microsoft Azure, которое сертифицировано по стандарту ISO 27001, HIPAA, FedRAMP, SOC 1 и SOC 2. Узнайте больше о возможностях Microsoft Azure, помещениях и физической безопасности

СЕТЕВАЯ БЕЗОПАСНОСТЬ

Логический доступ

При предоставлении доступа к производственной сети EcoStruxure IT наша эксплуатационная группа использует принципы необходимого знания и наименьших привилегий. Все сотрудники, которым разрешен доступ, проходят многофакторную аутентификацию.

DDoS

Так как приложение EcoStruxure IT размещено на платформе Microsoft Azure, Schneider Electric использует стандартные средства защиты для онлайн-сервисов Microsoft, например текущий контроль трафика и устранение последствий основных атак на уровне сети в режиме реального времени.

Внешнее тестирование

В Schneider Electric постоянно работает множество сторонних сертифицированных хакеров для проведения подробных тестов на проникновение всей ИТ-платформы EcoStruxure. Узнайте больше о нашей политике обмена отчетами о тестировании безопасности.

Мониторинг

Работу EcoStruxure IT контролирует основная группа DevOps. Мы используем очень строгие стандарты в области кибербезопасности и конфиденциальности данных и регулярно проверяем систему на наличие уязвимостей. Команда DevOps готова в любой момент устранить возможные неполадки.

ШИФРОВАНИЕ

Шифрование при передаче данных

Все подключения к облаку EcoStruxure IT подтверждаются с помощью стандартного 2048-битного RSA-ключа, а при передаче данных используется алгоритм шифрования AES-256 (в более ранних версиях, чем Android 7.0 — алгоритм AES-128).

Шифрование хранимых данных

Для шифрования данных на платформе EcoStruxure IT используется алгоритм AES-256.

ДОСТУПНОСТЬ И СТАБИЛЬНАЯ РАБОТА СИСТЕМЫ

Время бесперебойной работы

У EcoStruxure IT есть общедоступная веб-страница, на которой публикуются сведения о техническом состоянии системы, в том числе график технического обслуживания, история инцидентов и прочие мероприятия, связанные с безопасностью.

Резервирование

Чтобы исключить отказ системы из-за неисправности одного элемента, мы используем конфигурацию с высокой доступностью. Кроме того, мы сохраняем резервные копии всех данных в отдельное хранилище.

Субобработчики и субподрядчики