Безопасность приложения
Безопасное развитие
Обучение по вопросам безопасности
Все новые разработчики программного обеспечения EcoStruxure IT проходят обязательное обучение по безопасности, которое проводится при приеме на работу и каждый последующий год. Кроме того, они могут записаться на курс White Hat Hacker, чтобы получить сертификат Ethical Hacker.
Экспертная оценка
Любые изменения платформы EcoStruxure IT проходят обязательную экспертную оценку, в ходе которой изменения кода и инфраструктуры проверяются как минимум еще одним инженером для подтверждения качества кода, безопасности и производительности.
Все изменения отслеживаются с помощью системы контроля версий (GIT) для обеспечения истории, прослеживаемости и аудита.
Отдельная среда
Среды тестирования EcoStruxure IT физически изолированы от производственной среды.
Уязвимости приложения
Динамическое сканирование уязвимостей
Schneider Electric использует несколько сторонних инструментов безопасности для постоянного динамического сканирования платформы EcoStruxure IT на наличие уязвимостей. Компания Schneider Electric поддерживает команду безопасности, которая занимается обработкой результатов и работает с группами инженеров для устранения проблем.
Статический анализ кода
Все изменения в исходном коде постоянно проверяются на наличие ошибок, проблем безопасности и лицензий с помощью инструментов статического анализа. Любое изменение исходного кода, которое не соответствует стандартам EcoStruxure IT, будет возвращено команде разработчиков для доработки.
Тестирование на проникновение в систему безопасности третьей стороной
Schneider Electric постоянно нанимает сторонних сертифицированных хакеров для проведения подробных тестов на проникновение во все компоненты EcoStruxure IT (шлюз, мобильное приложение и веб-приложение). При выпуске новых функций заявления о задачах передаются экспертам по безопасности для проверки безопасности функций. Узнайте больше о нашей политике предоставления отчетов о тестировании безопасности.
Реагирование на инцидент
Группа Schneider Electric Corporate Product Cyber Emergency Response Team (CPCERT) (Группа реагирования на кибератаки на корпоративные продукты) определила процессы управления уязвимостями для обеспечения эффективного реагирования на инциденты.
Чтобы сообщить об инциденте обратитесь в местный Центр обслуживания клиентов.
Если вы исследователь, сообщите об уязвимости кибербезопасности здесь.
Все сведения об уязвимостях сообщаются на портале поддержки кибербезопасности Schneider Electric Cybersecurity Support Portal.
Защита XSS (контроль ввода)
В соответствии с лучшими отраслевыми практиками мы используем строгие процедуры для вывода всех пользовательских данных. Это обеспечивается, в частности, статическим анализом кода, а также использованием хорошо известных, проверенных и протестированных сторонних фреймворков.
Функции безопасности продукта
БЕЗОПАСНОСТЬ АУТЕНТИФИКАЦИИ
Политика использования паролей
Требования в политике использования паролей EcoStruxure IT:
- Не менее 8 символов
- Не менее 3 из следующих 4 типов символов:
- Строчные буквы (a-z),
- Заглавные буквы (A-Z),
- Цифры (0-9),
- Специальные символы (!@#$%^&* )
- Не более 2 одинаковых символов подряд (т.е. «aaa» не допускается)
EcoStruxure IT подтвердит ваш пароль, если он не является одним из 10 000 наиболее распространенных паролей и не является первой частью вашего адреса электронной почты.
Обратите внимание, что срок действия вашего пароля не истекает в соответствии с рекомендациями NIST & National Cyber Security Centre (Национальный центр кибербезопасности) в Великобритании.
Многофакторная аутентификация
Многофакторная аутентификация обеспечивает еще один уровень безопасности вашей учетной записи EcoStruxure IT, усложняя вход в систему посторонним лицам. Многофакторная аутентификация включена для всех входов в EcoStruxure IT, независимо от того, являетесь ли вы клиентом, партнером или сотрудником Schneider Electric. Schneider Electric рекомендует использовать для аутентификации приложение EcoStruxure IT или приложение-аутентификатор стороннего производителя. В крайнем случае можно использовать недолговечные одноразовые SMS-токены, но это не рекомендуется.
Безопасное хранение учетных данных
Schneider Electric следует передовым методам безопасного хранения учетных данных, никогда не храня пароли EcoStruxure IT в открытом текстовом формате, а только в виде безопасного зашифрованного с помощью bcrypt «соленого хэша». Пароли отделены от внутренней платформы и сохраняются с помощью Auth0 — решения, рекомендованного экспертами по управлению аутентификацией.
Неудачные попытки входа в систему
Schneider Electric обеспечивает защиту от грубых методов в EcoStruxure IT. Вам будет заблокирован вход в аккаунт, если вы ввели неправильный пароль более 10 раз с одного и того же IP-адреса. Затем вы получите от EcoStruxure IT инструкции по разблокированию IP-адреса по электронной почте.
Schneider Electric также применяет ограничения по времени. Если вы попытаетесь войти в систему 20 раз в минуту как один и тот же пользователь из одного и того же места, независимо от наличия правильных учетных данных, будет применено ограничение по времени. После этого вы сможете сделать только 10 попыток в минуту.
БЕЗОПАСНОСТЬ ШЛЮЗА
Исходящее соединение
Schneider Electric стремится обеспечить безопасность и конфиденциальность ваших данных еще до того, как они покинут вашу площадку. Все подключения от шлюза EcoStruxure IT к нашему облаку проверяются с использованием стандартного 2048-битного сертификата RSA, а данные при передаче шифруются с использованием 256-битного шифрования AES. Чтобы не подвергать риску безопасность вашей площадки, шлюз EcoStruxure IT использует исходящее соединение через порт 443 и обменивается данными с облаком EcoStruxure IT только по адресам 40.84.62.190, 23.99.90.28, 52.230.227.202, 52.177.161.233 и 52.154.163.222.
Узнайте больше о том, как EcoStruxure IT применяет обновления для вашей инфраструктуры через исходящее соединение (односторонняя связь) тут.
Аутентификация
Все запросы, поступающие от шлюза, подписываются с использованием уникального закрытого ключа, созданного при установке и хранящегося в шлюзе, что делает невозможным подменить его.
Автоматические обновления
Шлюз EcoStruxure IT имеет функцию автоматического обновления, гарантирующую автоматическую установку исправлений безопасности программного обеспечения и постоянную актуальность шлюза. Во время обновления шлюз продолжает передавать данные датчиков и сигналы тревоги в облако, сводя к минимуму время простоя.
Конфиденциальность данных
Политика конфиденциальности
Общее положение о защите данных (GDPR)
Общее положение о защите данных (“GDPR”) касается обработки персональных данных и свободного перемещения этих данных. Его цель — усилить безопасность и защиту персональных данных в ЕС и гармонизировать законодательство ЕС о защите данных. Это положение устанавливает ряд принципов и требований по вопросам защиты данных, которые должны соблюдаться при обработке персональных данных.
Компания Schneider Electric стремится соблюдать свои обязательства в соответствии с GDPR. Schneider Electric передает личную информацию сторонним обработчикам данных по мере необходимости.
Узнайте больше о том, какие личные данные передаются субобработчикам и субподрядчикам.
Обработка и хранение персональных данных
Schneider Electric собирает данные датчиков и сигналы тревоги с устройств критически важной инфраструктуры, которыми вы решили поделиться с нами. Schneider Electric собирает только данные о производительности вашего оборудования и метаданные, такие как место его расположения и срок эксплуатации.
Перед передачей на хранение ваши данные помечаются как ваши. Ваши данные отделяются от данных других клиентов уникальным идентификатором, который система использует для обеспечения надлежащего сопоставления данных. Кроме того, облачный движок ведет полный контрольный журнал полученных и обработанных данных, поэтому мы всегда можем проследить наши шаги и узнать, где были ваши данные и для чего они использовались.
EcoStruxure IT не имеет доступа к данным, хранящимся на ваших серверах или в хранилищах, и не отслеживает трафик, проходящий через вашу сеть. Данные хранятся на платформе Microsoft Azure в США.
Использование персональных данных
Во-первых, Schneider Electric обрабатывает и хранит данные для вас, поэтому они доступны вам в любой точке мира через приложение EcoStruxure IT. Но что более важно, обмен вашими данными с Schneider Electric позволяет нам оптимизировать предоставляемые нами услуги и продукты, помочь вам оптимизировать ваш центр обработки данных и дать вам возможность сравнить себя с аналогами по всему миру.
Автоматическое удаление персональных данных
Когда вы деактивируете свою учетную запись EcoStruxure IT, наша система автоматически удаляет ваши личные данные.
Безопасность центра обработки данных и сети
.
Физическая безопасность
Объекты
Серверы EcoStruxure IT размещены в США в облаке Microsoft Azure, сертифицированном по стандартам ISO 27001, HIPAA, FedRAMP, SOC 1 и SOC 2. Узнайте больше об объектах, помещениях и физической безопасности Microsoft Azure.
Безопасность сети
Логический доступ
Доступ к производственной сети EcoStruxure IT ограничен на основе служебной необходимости, использует наименьшие привилегии, контролируется и управляется нашей операционной группой. Сотрудники, имеющие доступ к производственной сети EcoStruxure IT, должны использовать несколько факторов аутентификации.
DDoS
Поскольку EcoStruxure IT работает на платформе Microsoft Azure, Schneider Electric использует их постоянный мониторинг трафика и смягчение последствий от распространенных атак на уровне сети в режиме реального времени, обеспечивая ту же защиту, которая используется в онлайн-сервисах Microsoft.
Тестирование на проникновение в систему безопасности третьей стороной
Schneider Electric постоянно нанимает сторонних сертифицированных хакеров для проведения подробных тестов на проникновение во все компоненты EcoStruxure IT. Узнайте больше о нашей политике предоставления отчетов о тестировании безопасности.
Мониторинг
EcoStruxure IT поддерживается и управляется основной командой DevOps с чрезвычайно высокими стандартами кибербезопасности и конфиденциальности данных. Все части системы EcoStruxure IT постоянно контролируются и сканируются на предмет потенциальных уязвимостей безопасности или проблем с конфиденциальностью. Команда DevOps находится на связи круглосуточно и способна оперативно реагировать на вновь обнаруженные угрозы или проблемы.
Шифрование
Шифрование при передаче
Все соединения с облаком EcoStruxure IT проверяются с помощью стандартного для отрасли 2048-битного сертификата RSA, а данные шифруются при передаче с помощью 256-битного шифрования AES. Для версий Android до 7.0 компания Schneider Electric может гарантировать только 128-битное шифрование AES из-за ограничений платформы Android.
Шифрование при хранении
Данные EcoStruxure IT шифруются с помощью 256-битного AES-шифрования.
Доступность и бесперебойность
Время безотказной работы
EcoStruxure IT поддерживает общедоступную веб-страницу состояния системы, которая включает информацию о доступности системы, плановом обслуживании, истории инцидентов обслуживания и соответствующих событиях безопасности.
Резервное копирование
Все компоненты платформы EcoStruxure IT развернуты в конфигурации высокой доступности для исключения единой точки отказа. Все данные копируются в резервную копию в отдельном хранилище для предотвращения потери данных.
Субобработчики и субподрядчики
Ознакомьтесь со списком субобработчиков, помогающих качественно предоставлять услуги EcoStruxure IT.