安全性

應用程式安全

Schneider Electric 致力於嚴密開發與測試,以抵禦安全威脅,進而保障客戶的資料安全。此外,Schneider Electric 持續聘請經認證的第三方駭客,輪番對 EcoStruxure IT 平台執行深入的滲透測試。

產品安全

EcoStruxure IT 平台強制使用雙因素驗證,並採用嚴密的加密標準,以強化平台安全。EcoStruxure IT Gateway 透過傳出連線確保沒人可以破壞您的環境,換句話說,使用 EcoStruxure IT Gateway 即可將您的資料安全地傳輸至 EcoStruxure IT 平台。

資料隱私

Schneider Electric 隨時確保您資料的隱私與完整。我們全力遵循 GDPR 規定,善盡義務。EcoStruxure IT 僅會使用電腦資料將平台的使用體驗調整至最佳狀態,因此能保證您的個人資料維持保密狀態。

應用程式安全

安全開發

安全培訓

所有新進 EcoStruxure IT 軟體開發人員都會在到職時強制參加安全培訓課程,之後每年也會定期參加培訓。此外,他們可以選擇參加白帽駭客培訓,以取得道德駭客 (Ethical Hacker) 認證。

同儕審查

任何對 EcoStruxure IT 平台所做的變更都會強制接受同儕審查,亦即由其他至少一名工程師檢查,以驗證程式碼品質,確保安全與效能。

我們使用版本控制系統 (GIT) 追蹤所有變更,以落實詳實的歷史記錄、維護追蹤能力及履行稽核追蹤作業。

獨立環境

EcoStruxure IT 測試環境與生產環境之間採取實體隔離。

應用程式弱點

動態弱點掃描

Schneider Electric 使用多種第三方安全性工具,不間斷地動態掃描 EcoStruxure IT 平台的弱點。Schneider Electric 成立一支專門的安全團隊,負責處理結果,並與工程團隊合作來修復問題。

靜態程式碼分析

原始程式碼的所有變更都會持續接受掃描,透過靜態分析工具檢查是否有錯誤、安全性和授權等方面的問題。任何不符合 EcoStruxure IT 標準的原始程式碼變更,都會送回開發團隊加以改善。

第三方安全性滲透測試

施耐德電氣不斷聘請數量眾多的第三方認證黑客,對EcoStruxure IT(網關,移動和網絡應用)的所有組件進行詳細的滲透測試。 發布新功能時,會向安全專家發送任務聲明以驗證功能安全性。 詳細了解我們的安全測試報告共享政策。

事件回應

施耐德電氣企業產品網絡應急響應小組(CPCERT)定義了漏洞管理流程,以確保有效的事件響應。

要報告事件,請發送電子郵件至cybersecurity@schneider-electric.com

所有漏洞披露都在施耐德電氣網絡安全支持門戶網站上報告。

XSS 保護 (輸入驗證)

我們根據業界最佳作法,對所有使用者的輸入內容嚴格把關,達到輸出淨化的目標。透過靜態程式碼分析是其中一種手段,另外也採用經實證的知名第三方架構,協助達成此目的。

產品安全功能

驗證安全性

密碼政策

EcoStruxure IT 密碼政策規定:

  • 長度至少為 8 個字元
  • 下列 4 種字元中,至少包含 3 種:
    • 小寫字母 (a-z)、
    • 大寫字母 (A-Z)、
    • 數字 (即 0-9)、
    • 特殊字元 (例如:! @#$%^&Amp;*)

      只要您的密碼不在 10,000 個常見的密碼之列,而且不是您電子郵件地址中 @ 之前的部分,EcoStruxure IT 就會驗證您的密碼並予以通過。

      請注意,根據 NIST 和英國國家網路安全中心建議的密碼政策,您的密碼不會有過期的疑慮。

多因素驗證

多因素驗證可為您的 EcoStruxure IT 帳戶增添一層安全保障,使他人更難擅自使用您的身分登入。不論您是客戶、合作夥伴或 Schneider Electric 員工,EcoStruxure IT 的所有登入程序都會啟用多因素驗證機制。Schneider Electric 建議您使用 EcoStruxure IT 應用程式,以執行第二因素驗證,或者也可使用第三方驗證應用程式。雖然可以使用短時間有效的單次 SMS 權杖,但並不建議。

安全認證儲存

Schneider Electric 遵循安全認證儲存最佳作法,絕對不將 EcoStruxure IT 密碼儲存為純文字格式,僅會以 BCrypt 加料雜湊法儲存,安全無虞。密碼會與內部平台分離,並使用 Auth0 儲存;Auth0 是驗證管理專家所建議的解決方案。

嘗試登入失敗

Schneider Electric 為 EcoStruxure IT 實施密碼暴力破解防護。如果從相同的 IP 位址輸入錯誤的密碼超過 10 次,您就會遭到封鎖而無法登入您的帳戶。接著,EcoStruxure IT 會透過電子郵件,為您提供解除封鎖 IP 位址的相關指示。

Schneider Electric 也實施頻率限制機制。如果您每分鐘以同一個使用者身分從相同位置嘗試登入 20 次,不論您是否擁有正確憑證,一律適用頻率限制。之後,您每分鐘便只能嘗試 10 次。

閘道安全

傳出連線

施耐德電氣致力於保護您的數據安全和私密,甚至在它離開您的網站之前。 從EcoStruxure IT網關到我們的雲的所有連接都使用行業標準的2048位RSA證書進行驗證,並使用256位AES加密在傳輸過程中對數據進行加密。 為避免損害站點的安全性,EcoStruxure IT網關使用端口443的出站連接,並僅使用40.84.62.190和23.99.90.28與EcoStruxure IT雲進行通信。

詳細了解EcoStruxure IT如何通過僅出站連接(單向通信)在您的基礎架構上應用更新。

驗證

所有從閘道傳來的操作要求,都會使用安裝時建立及儲存於閘道中的專屬私有金鑰加以簽署,使有心人士難以盜用。

自動更新

EcoStruxure IT Gateway 搭載自動更新功能,可確保軟體安全修補機制會自動執行,且閘道隨時維持在最新狀態。更新期間,Gateway 會持續將感測器資料和警示傳遞至雲端,盡可能縮短停機時間。

資料隱私

GDPR

通用數據保護法規涉及個人數據的處理和數據的自由移動。 其目標是加強歐盟個人數據的安全和保護,並協調歐盟數據保護法。 該法規規定了處理個人數據時必須遵守的一些數據保護原則和要求。

施耐德電氣致力於履行其在GDPR下的義務。 施耐德電氣根據需要與第三方數據處理器共享個人信息。 詳細了解與子處理器和分包商共享的個人數據。

個人資料處理與儲存

Schneider Electric 會針對您選擇與我們分享的重要基礎架構裝置,收集其感測器資料和警示。Schneider Electric 只會收集設備效能的相關資料,以及所在位置和使用時間等中繼資料。

確定儲存前,您的資料會標記為您所有。系統會使用一組不重複的識別碼,確保正確的資料對應關係,並區隔您與其他客戶的資料。此外,雲端引擎會保留所收到資料和資料處理的完整稽核記錄,讓我們隨時可以追溯先前的步驟,瞭解您資料的經歷及用途。

EcoStruxure IT 不會存取儲存在您伺服器或儲存空間中的任何資料,也不會監控通過您網路的任何流量。資料會儲存於美國的 Microsoft Azure,此平台已通過歐美隱私盾自我認證,隱私有保障。

個人資料使用

首先,Schneider Electric 會為您處理和儲存資料,讓您不論身在何處,都能透過 EcoStruxure IT 應用程式存取資料。不過,更重要的是,若您能與 Schneider Electric 分享資料,能協助我們將所提供的服務與產品最佳化,進而有助於最佳化您的資料中心,讓您可與全球其他同業並駕齊驅。

自動刪除個人資料

一旦您停用 EcoStruxure IT 帳戶,我們的系統就會自動刪除您的個人資料。

資料中心與網路安全

實體安全

設施

EcoStruxure IT服務器在美國的Microsoft Azure雲上託管,該版本符合ISO 27001,HIPAA,FedRAMP,SOC 1和SOC 2認證。 了解有關Microsoft Azure設施,場所和物理安全性的更多信息

網路安全

邏輯存取

需有必須取得資訊的明確必要,才可存取 EcoStruxure IT 生產網路。存取時,不僅只擁有最低程度的權限,也受營運團隊監控及控制。存取 EcoStruxure IT 生產網路的員工必須使用多因素驗證。

DDoS

由於 EcoStruxure IT 是在 Microsoft Azure 上執行,Schneider Electric 運用其永遠開啟的流量監控功能,以及常見網路層級攻擊的即時修復功能,提供與 Microsoft 線上服務相同的防護措施。

第三方安全性滲透測試

施耐德電氣不斷僱傭大量第三方認證黑客,對整個EcoStruxure IT平台進行詳細的滲透測試。 詳細了解我們的安全測試報告共享政策。

監控

EcoStruxure IT 由一組核心 DevOps 團隊維護與營運,採取極高標準確保網路安全和資料隱私。EcoStruxure IT 的所有組成元素都會持續受到監控與掃描,找出潛在的安全性弱點或隱私問題。DevOps 團隊全年無休,隨時待命,一旦發現威脅或問題,便能即時反應。

加密

傳輸時加密

採用符合業界標準的 2048 位元 RSA 認證,驗證所有進出 EcoStruxure IT 雲端的連線操作,且資料在傳輸時會以 256 位元 AES 加密技術加密。若是 Android 7.0 (含) 之前版本,由於 Android 平台設有限制,Schneider Electric 只能保證使用 128 位元 AES 加密。

閒置時加密

我們使用 256 位元 AES 加密技術,加密 EcoStruxure IT 資料。

可用性與持續性

運作時間

EcoStruxure IT 提供公開的系統狀態網頁,其中詳載系統開放使用的詳細資訊、維護作業排程、服務事件歷史記錄和相關的安全事件。

備援

EcoStruxure IT 平台的所有組成元素皆堅持高可用性部署,以免發生單點故障的問題。所有資料都會備份至獨立儲存空間,以免資料遺失。

輔助處理商與轉承包商