מדיניות אבטחה
מדיניות אבטחה זו מסבירה כיצד Electronic COC ניגשת להגנה על מידע יצרן רגיש מבחינה תפעולית על פני תהליכי הכנה, אימות, חתימה ואספקה הקשורים ל-eCoC.
דף זה מספק הצהרת ממשל ביטחון ציבורי עבור Electronic COC. הוא אינו מחליף נספחי אבטחה חתומים, הסכמי רמת שירות, תיעוד אבטחה ספציפי ללקוח או התחייבויות חוזיות.
1. הקדמה
Electronic COC נועד לתמוך בתהליכי עבודה eCoC תפעוליים שעשויים לכלול מידע על רכב, הפניות לאישור, קבצי XML, קבצי VECTO, הכנת חתימה, רשומות זרימת עבודה ומסמכים שהועלו. מטרת מדיניות אבטחה זו היא לתאר את עקרונות האבטחה וגבולות האחריות המנחים את הפלטפורמה.
2. עקרונות אבטחה
Electronic COC מיישמת נוהלי אבטחה שנועדו לתמוך בסודיות, יושרה, זמינות, אחריות, הרשאות מינימליות ונראות תפעולית. אבטחה נחשבת לכל אורך זרימות העבודה של הכנה, זרימות עבודה של אימות, זרימות עבודה של חתימה וזרימות עבודה הקשורות למסירה ולא כמחשבה נפרדת.
3. סוגי מידע מוגנים
הפלטפורמה עשויה להגן על מידע הדרוש לפעולות eCoC בצד היצרן. המידע המדויק המטופל תלוי בתצורת הלקוח, היקף זרימת העבודה והאינטגרציות המוסכמות.
- מידע על הרכב והפניות לאישור
- קבצי XML, קבצי VECTO ורשומות הקשורות ל-eCoC
- מידע על זרימת עבודה, פרטי חשבון ורשומות פעילות משתמשים
- העלאת מסמכים ורישומי הכנה תפעולית
- מידע הקשור לאינטגרציה ממערכות ERP, חיבורי API או מקורות שאושרו על ידי הלקוח
4. ניהול גישה
ניהול הגישה מבוסס על הרשאות מבוקרות, אבטחת חשבון, גישה מבוססת תפקידים ופיקוח תפעולי. מנהלי לקוחות ומשתמשים מורשים נשארים אחראים להענקת גישה מתאימה, הגנה על אישורים והסרת גישה כאשר היא אינה נחוצה עוד.
5. בקרות אבטחה
Electronic COC משתמש בבקרות אבטחה ברמה גבוהה המתאימות להקשר הפלטפורמה. אלה עשויים לכלול בקרות אימות, בקרות גישה, ניטור, אמצעי הגנה תפעוליים ונהלי פיתוח מאובטחים. מדיניות זו אינה חושפת ארכיטקטורת תשתית מפורטת או פרטי יישום רגישים.
6. תפעול פלטפורמה
פעולות הפלטפורמה נתמכות על ידי נוהלי סקירת אבטחה, פילוסופיית ניטור, פיקוח תפעולי ומודעות לאירועים. רישומים תפעוליים ופעילות זרימת עבודה נועדו לתמוך באחריות ובביקורת במידת הצורך.
7. תלות של צד שלישי
Electronic COC עשוי להסתמך על ספקי ענן, ספקי תשתית, ספקי eIDAS, שותפי אינטגרציה, מערכות ERP, חיבורי API או שירותי צד שלישי אחרים בהתאם לתצורת הלקוח. Electronic COC אחראית על השירותים והבקרות המוסכמות שלה, לא למערכות, החלטות או הפסקות של צד שלישי עצמאיים.
8. ניהול אירועים
אירועי אבטחה פוטנציאליים מטופלים באמצעות נוהלי איתור, הערכה, תגובה ותקשורת המתאימים לאירוע. העיתוי, ההיקף והפורמט של התקשורת עשויים להיות תלויים באופי האירוע, דרישות משפטיות, התחייבויות חוזיות והיתכנות טכנית. מדיניות זו אינה יוצרת זמני תגובה מובטחים אלא אם הוסכם בנפרד בכתב.
9. אחריות הלקוח
הלקוחות נשארים אחראים לאבטחת החשבון, הגנת אישורים, הרשאות משתמש פנימיות, דיוק הנתונים ושימוש חוקי בפלטפורמה. הלקוחות נשארים גם אחראים לקבלת אישור, קבלה XML, קבלה EUCARIS, קבלה NAP ותאימות לתקנות.
10. מגבלות
Electronic COC אינה מבטיחה זמינות ללא הפרעה, אבטחה מוחלטת, מניעת כל התקריות או מניעת כל התקפות של צד שלישי. אמצעי אבטחה מבוססים על מאמצים סבירים מבחינה מסחרית וכפופים לגבולות האחריות, ההחרגות וההגבלות המוגדרות בהסכמים החלים.
11. שיפור מתמיד
נוהלי אבטחה, אמצעי הגנה על הפלטפורמה ובקרות תפעוליות עשויים להתפתח עם הזמן ככל שזרימות העבודה, הטכנולוגיה, דרישות הלקוחות ותנאי הסיכון משתנים. ייתכן שיהיו שינויים כדי לשפר את ההגנה, האמינות, התחזוקה או הבהירות התפעולית.
12. מידע ליצירת קשר
שאלות אבטחה עשויות להישלח אל info@electroniccoc.eu. הודעות חוזיות, שאלוני אבטחה, בקשות ביקורת או תקשורת אבטחה ספציפית ללקוח עשויים לדרוש ערוצים פורמליים נוספים המוגדרים בהסכם הרלוונטי.
שאלות על אבטחת פלטפורמה?
צור קשר עם Electronic COC לשאלות ניהול אבטחה, ניהול גישה או הגנה על נתונים תפעוליים הקשורים לארגון שלך.
Electronic COC