Bezpečnostní politika
Tato bezpečnostní politika vysvětluje, jak Electronic COC přistupuje k ochraně provozně citlivých informací výrobce v rámci pracovních postupů souvisejících s přípravou, ověřováním, podepisováním a doručením eCoC.
Tato stránka poskytuje prohlášení o správě veřejné bezpečnosti pro Electronic COC. Nenahrazuje podepsané bezpečnostní dodatky, smlouvy o úrovni služeb, bezpečnostní dokumentaci specifickou pro zákazníka nebo smluvní závazky.
1. Úvod
Electronic COC je navržen tak, aby podporoval provozní eCoC pracovní postupy, které mohou zahrnovat informace o vozidle, reference schválení, soubory XML, soubory VECTO, přípravu podpisu, záznamy pracovních postupů a nahrané dokumenty. Účelem této bezpečnostní politiky je popsat bezpečnostní principy a hranice odpovědnosti, kterými se platforma řídí.
2. Bezpečnostní zásady
Electronic COC používá bezpečnostní postupy určené k podpoře důvěrnosti, integrity, dostupnosti, odpovědnosti, minimálních oprávnění a provozní viditelnosti. Zabezpečení se bere v úvahu během přípravných pracovních postupů, ověřovacích pracovních postupů, podepisovacích pracovních postupů a pracovních postupů souvisejících s dodáním, nikoli jako samostatný dodatečný nápad.
3. Chráněné typy informací
Platforma může chránit informace potřebné pro operace eCoC na straně výrobce. Přesné zpracovávané informace závisí na konfiguraci zákazníka, rozsahu pracovního postupu a dohodnutých integracích.
- Informace o vozidle a reference schválení
- XML soubory, VECTO soubory a eCoC související záznamy
- Informace o pracovním postupu, informace o účtu a záznamy o činnosti uživatelů
- Nahrané dokumenty a záznamy o provozní přípravě
- Informace související s integrací ze systémů ERP, připojení API nebo ze zdrojů schválených zákazníky
4. Správa přístupu
Správa přístupu je založena na řízených oprávněních, zabezpečení účtu, přístupu na základě rolí a provozním dohledu. Správci zákazníků a oprávnění uživatelé zůstávají odpovědní za udělení vhodného přístupu, ochranu přihlašovacích údajů a odebrání přístupu, když již není vyžadován.
5. Bezpečnostní kontroly
Electronic COC používá bezpečnostní kontroly na vysoké úrovni vhodné pro kontext platformy. Ty mohou zahrnovat kontroly autentizace, kontroly přístupu, monitorování, provozní zabezpečení a postupy bezpečného vývoje. Tato zásada nezveřejňuje podrobnou architekturu infrastruktury ani citlivé detaily implementace.
6. Provoz platformy
Operace platformy jsou podporovány postupy kontroly zabezpečení, filozofií monitorování, provozním dohledem a informovaností o incidentech. Provozní záznamy a činnost pracovního toku jsou určeny k podpoře odpovědnosti a kontroly tam, kde je to vhodné.
7. Závislosti třetích stran
Electronic COC se může spoléhat na poskytovatele cloudu, poskytovatele infrastruktury, poskytovatele eIDAS, integrační partnery, systémy ERP, připojení API nebo jiné služby třetích stran v závislosti na konfiguraci zákazníka. Electronic COC je odpovědná za své vlastní služby a dohodnuté kontroly, nikoli za systémy, rozhodnutí nebo výpadky nezávislých třetích stran.
8. Řízení incidentů
Potenciální bezpečnostní incidenty jsou řešeny prostřednictvím detekce, hodnocení, reakce a komunikačních postupů vhodných pro danou událost. Načasování, rozsah a formát komunikace může záviset na povaze incidentu, právních požadavcích, smluvních závazcích a technické proveditelnosti. Tyto zásady nevytvářejí zaručené doby odezvy, pokud nejsou samostatně písemně dohodnuty.
9. Odpovědnosti zákazníka
Zákazníci zůstávají odpovědní za zabezpečení účtu, ochranu pověření, interní uživatelská oprávnění, přesnost dat a zákonné používání platformy. Zákazníci také zůstávají zodpovědní za přijetí schválení, přijetí XML, přijetí EUCARIS, přijetí NAP a dodržování předpisů.
10. Omezení
Electronic COC nezaručuje nepřetržitou dostupnost, absolutní bezpečnost, prevenci všech incidentů ani prevenci všech útoků třetích stran. Bezpečnostní opatření jsou založena na obchodně přiměřeném úsilí a podléhají hranicím odpovědnosti, výjimkám a omezením definovaným v příslušných dohodách.
11. Neustálé zlepšování
Bezpečnostní postupy, zabezpečení platforem a provozní kontroly se mohou časem vyvíjet, jak se mění pracovní postupy, technologie, požadavky zákazníků a podmínky rizik. Změny mohou být zavedeny za účelem zlepšení ochrany, spolehlivosti, udržovatelnosti nebo provozní jasnosti.
12. Kontaktní informace
Bezpečnostní otázky mohou být zaslány na info@electroniccoc.eu. Smluvní oznámení, bezpečnostní dotazníky, požadavky na audit nebo bezpečnostní komunikace specifická pro zákazníka mohou vyžadovat další formální kanály definované v příslušné smlouvě.
Máte otázky ohledně zabezpečení platformy?
Kontaktujte Electronic COC s otázkami týkajícími se správy zabezpečení, správy přístupu nebo provozní ochrany dat souvisejících s vaší organizací.
Electronic COC