Segurança

Segurança do aplicativo

A Schneider Electric tem o compromisso de desenvolver e fazer testes contra ameaças de segurança para garantir que os dados do cliente estejam seguros. Além disso, a Schneider Electric emprega continuamente vários hackers certificados terceirizados para realizar testes de penetração detalhados em toda a plataforma da EcoStruxure IT.

Segurança do produto

A plataforma EcoStruxure IT tem a segurança reforçada com uma autenticação de dois fatores obrigatória e padrões de criptografia elevados. Seus dados são transportados de forma segura para a plataforma EcoStruxure IT usando o Gateway do EcoStruxure IT, que usa uma conexão externa para garantir que ninguém comprometa seu ambiente.

Privacidade de dados

A Schneider Electric garante a privacidade e a integridade de seus dados em todo o momento. Ela tem o compromisso de cumprir com suas obrigações de acordo com o GDPR. A EcoStruxure IT só usa dados de máquina para otimizar sua experiência com a plataforma, garantindo a confidencialidade de seus dados pessoais.

Segurança do aplicativo

Desenvolvimento seguro

Treinamento de segurança

Todos os novos desenvolvedores de software do EcoStruxure IT participam de um treinamento de segurança obrigatório que é dado após a contratação e todos os anos depois dela. Além disso, eles podem optar por se inscrever em um treinamento de White Hat Hacker para receber a certificação Ética de Hacker.

Revisão de colegas

Qualquer alteração da plataforma EcoStruxure IT está sujeita a uma revisão obrigatória por parte dos colegas em que as alterações no código e na infraestrutura são revistas por pelo menos um outro engenheiro para validar a qualidade, a segurança e o desempenho do código.

Todas as alterações são monitoradas usando um GTI (sistema de controle de versão) para garantir o monitoramento do histórico, da rastreabilidade e da auditoria.

Ambiente separado

Os ambientes de testes do EcoStruxure IT são fisicamente isolados do ambiente de Produção.

Vulnerabilidades do aplicativo

Verificação de vulnerabilidade dinâmica

A Schneider Electric usa várias ferramentas de segurança terceirizadas para verificar de forma contínua e dinâmica se a plataforma do EcoStruxure IT tem vulnerabilidades. A equipe de segurança da Schneider Electric tem o compromisso de lidar com os resultados e trabalhar com equipes de engenharia para corrigir problemas.

Análise de código estático

Todas as alterações ao código de origem são verificadas de forma contínua para ver se há erros, problemas de segurança e licença por meio de ferramentas de análise estatística. Qualquer código de origem que não atenda às normas do EcoStruxure IT será devolvido à equipe de desenvolvimento para melhoria.

Teste de penetração de segurança terceirizado

A Schneider Electric emprega continuamente um número rotativo de hackers certificados por terceiros para realizar testes de penetração detalhados em todos os componentes do EcoStruxure IT (gateway, aplicativo móvel e web). Quando novos recursos são lançados, as declarações de missão são entregues a especialistas em segurança para verificar a segurança dos recursos. Saiba mais sobre nossa política de compartilhamento de relatórios de teste de segurança.

Resposta a incidentes

A Equipe de Resposta Cibernética de Emergência de Produtos Corporativos da Schneider Electric (CPCERT) definiu processos de gerenciamento de vulnerabilidades para garantir uma resposta eficiente a incidentes.

Para relatar um incidente, envie um e-mail para cybersecurity@schneider-electric.com.

Todas as divulgações de vulnerabilidades são relatadas no Portal de Suporte de Segurança Cibernética da Schneider Electric.

Proteção do XSS (Validação de entrada)

De acordo com as melhores práticas do setor, usamos procedimentos rigorosos de higienização de saída de todas as entradas de usuário. Isso é reforçado em parte pela análise de código estático e usando estruturas terceirizadas e testadas.

Características de segurança do produto

SEGURANÇA DE AUTENTICAÇÃO

Política de senha

A política de senha do EcoStruxure IT requer pelo

  • menos 8 caracteres,
  • com 3 dos 4 seguintes tipos de caracteres:
    • letras minúsculas (a-z),
    • letras maiúsculas (A-Z),
    • números (ou seja, 0-9),
    • caracteres especiais (por exemplo, !@#$%^&* )

O EcoStruxure IT validará sua senha, desde que não seja uma das 10.000 senhas mais comuns e que não seja a primeira parte do seu endereço de e-mail.

Lembre-se de que sua senha não expirará de acordo com as políticas de senha recomendadas pelo NIST e Centro Nacional de Cibersegurança no Reino Unido.

Autenticação de multifatores

A autenticação multifatores oferece outra camada de segurança à sua conta do EcoStruxure IT, fazendo com que seja mais difícil para alguém entrar como você. A autenticação multifatores é ativada em todos os logins no EcoStruxure IT, seja você um cliente, parceiro ou funcionário da Schneider Electric. A Schneider Electric aconselha você a usar o app do EcoStruxure IT em uma segunda autenticação de fatores ou um app autenticador terceirizado. Embora seja possível usar tokens SMS de curta duração como último recurso, não recomendamos.

Armazenamento de crédito seguro

A Schneider Electric segue boas práticas de armazenamento seguro de credenciais, sem nunca armazenar as senhas do EcoStruxure IT em formato de texto claro, tem apenas como resultado de um bcrypt seguro, um hash “salgado”. As senhas são dissociadas da plataforma interna e salvas usando Auth0, uma solução recomendada por especialistas em gerenciamento de autenticação.

Tentativas de login com falha

A Schneider Electric reforça a proteção da força bruta do EcoStruxure IT. Você ficará bloqueado e não poderá entrar em sua conta se digitar uma senha errada mais de 10 vezes usando o mesmo endereço IP. Você receberá instruções sobre como desbloquear o endereço IP do EcoStruxure IT por e-mail.

A Schneider Electric também reforça os limites de tentativas. Se você tentar fazer login 20 vezes por minuto com o mesmo usuário, do mesmo local, independentemente de usar as credenciais corretas, o limite de tentativas será aplicado. Você só pode fazer 10 tentativas por minuto.

SEGURANÇA DO GATEWAY

Conexão de saída

A Schneider Electric está comprometida em manter seus dados seguros e privados, mesmo antes de sair do seu site. Todas as conexões do gateway de EcoStruxure IT para nossa nuvem são validadas usando um certificado RSA de 2048 bits padrão do setor e os dados são criptografados em trânsito usando a criptografia AES de 256 bits. Para evitar comprometer a segurança do seu site, o gateway de EcoStruxure IT usa uma conexão de saída através da porta 443 e só se comunica com a nuvem de EcoStruxure IT usando 40.84.62.190, 23.99.90.28, e 52.230.227.202.

Saiba mais sobre como o EcoStruxure IT aplica atualizações em sua infraestrutura por meio de uma conexão somente de saída (comunicação unidirecional) aqui.

Autenticação

Todas as solicitações que vêm do gateway são assinadas usando uma chave particular única criada na instalação e armazenada no gateway, fazendo com que seja impossível imitá-la.

Atualizações automáticas

O gateway EcoStruxure IT tem uma funcionalidade de atualização automática que garante que a reparação do sistema de segurança de software aconteça automaticamente e que o gateway esteja sempre atualizado. Durante a atualização, o gateway continua a comunicar dados sensoriais e alarmes para a nuvem, minimizando o tempo de inatividade.

Privacidade de dados

GDPR

O Regulamento Geral de Proteção de Dados (“GDPR”) aborda o processamento de dados pessoais e a livre circulação desses dados. O seu objetivo é reforçar a segurança e proteção dos dados pessoais na UE e harmonizar a legislação da UE em matéria de proteção de dados. Este regulamento estabelece vários princípios e requisitos de proteção de dados que devem ser observados quando os dados pessoais são processados.

A Schneider Electric está comprometida em cumprir suas obrigações sob o GDPR. A Schneider Electric compartilha informações pessoais com processadores de dados de terceiros em uma base de necessidade de conhecimento. Saiba mais sobre quais dados pessoais são compartilhados com subprocessadores e subcontratados.

Manuseio e armazenamento de dados pessoais

A Schneider Electric coleta dados sensoriais e alarmes de dispositivos de infraestrutura críticas que você opta por compartilhar conosco. A Schneider Electric só coleta dados sobre o desempenho de seu equipamento e os metadados, como onde ele fica e quanto tempo ele tem.

Antes de se comprometerem com armazenamento, seus dados são marcados como seus e ficam segregados dos outros dados dos clientes por um identificador único usado pelo sistema para assegurar uma correspondência apropriada de dados. Além disso, o mecanismo da nuvem mantém um registro de auditoria completo dos dados recebidos e do processamento de dados, por isso, podemos sempre refazer nossos passos e ver por onde seus dados passaram e para o que foram usados.

O EcoStruxure IT não tem acesso a nenhum dos dados armazenados em seus servidores ou armazenamento, ou monitora o tráfego que passar pela sua rede. Os dados são armazenados no Microsoft Azure nos Estados Unidos, com autocertificação Privacy Shield UE-EUA.

Uso de dados pessoais

Em primeiro lugar, a Schneider Electric processa e armazena dados para você, por isso, ela está disponível em qualquer lugar do mundo pelo app EcoStruxure IT. E mais importante, compartilhar seus dados com a Schneider Electric permite otimizar os serviços e os produtos que fornecemos para ajudar você a simplificar seu data center e para permitir que faça um índice de referência de você mesmo com seus colegas em todo o mundo.

Exclusão automática de dados pessoais

Quando você desativar sua conta do EcoStruxure IT, nosso sistema eliminará automaticamente seus dados pessoais.

Data center e segurança de rede

Segurança física

Facilidades

Os servidores de EcoStruxure IT são hospedados nos Estados Unidos no Microsoft Azure Cloud, que é certificado pela ISO 27001, HIPAA, FedRAMP, SOC 1 e SOC 2. Saiba mais sobre as instalações, instalações e segurança física do Microsoft Azure

Segurança de rede

Acesso lógico

O acesso à rede de produção do EcoStruxure IT se restringe a uma base explícita pelo saber, com menos privilégios, monitorado e controlado pela nossa Equipe de operações. Os funcionários que acessam à Rede de produção do EcoStruxure IT devem usar os vários fatores de autenticação.

DDoS

Como o EcoStruxure IT está sendo executado no Microsoft Azure, a Schneider Electric tira vantagem do monitoramento de tráfego sempre ativo e da redução em tempo real dos ataques comuns à rede, fornecendo as mesmas defesas utilizadas pelos serviços on-line da Microsoft.

Teste de penetração de segurança terceirizado

A Schneider Electric emprega continuamente um número rotativo de hackers certificados por terceiros para realizar testes de penetração detalhados de toda a plataforma de EcoStruxure IT. Saiba mais sobre nossa política de compartilhamento de relatórios de teste de segurança.

Monitoramento

O EcoStruxure IT é mantido e operado por uma equipe principal de DevOps com padrões extremamente elevados para segurança cibernética e privacidade de dados. Todas as partes do sistema do EcoStruxure IT são monitoradas e verificadas para vulnerabilidades de segurança em potencial ou problemas de privacidade. A equipe de DevOps está de plantão 24 horas com capacidade de reagir prontamente às ameaças ou problemas recém-descobertos.

Criptografia

Criptografia em trânsito

Todas as conexões com a nuvem do EcoStruxure IT são validades usando um certificado de RSA padrão do padrão do setor de 2048 bits e os dados são criptografados em trânsito usando a criptografia AES de 256 bits. Para versões anteriores à 7.0, a Schneider Electric só pode garantir a criptografia AES de 128 bits devido às limitações na plataforma Android.

Criptografia no Rest

Os dados do EcoStruxure IT são criptografados usando a criptografia AES de 256 bits.

Disponibilidade e continuidade

Tempo de atividade

O EcoStruxure IT mantém uma página da web de status do sistema disponível publicamente que inclui detalhes de disponibilidade do sistema, manutenção agendada, histórico de incidentes de serviço e eventos de segurança relevantes.

Redundância

Todos os componentes da plataforma do EcoStruxure IT são implantados em configuração de alta disponibilidade para eliminar um único ponto de falha. Todos os dados passam por backup para o armazenamento separado e evitar perda de dados.

Subprocessadores e subcontratantes