Varnostna politika
Ta varnostni pravilnik pojasnjuje, kako Electronic COC pristopa k zaščiti operativno občutljivih informacij proizvajalca v delovnih tokovih priprave, potrjevanja, podpisovanja in dostave eCoC.
Ta stran ponuja izjavo o upravljanju javne varnosti za Electronic COC. Ne nadomešča podpisanih varnostnih dodatkov, pogodb o ravni storitev, varnostne dokumentacije za posamezne stranke ali pogodbenih obveznosti.
1. Uvod
Electronic COC je zasnovan tako, da podpira operativne poteke dela eCoC, ki lahko vključujejo podatke o vozilu, reference o odobritvah, datoteke XML, datoteke VECTO, pripravo podpisovanja, zapise o poteku dela in naložene dokumente. Namen te varnostne politike je opisati varnostna načela in meje odgovornosti, ki vodijo platformo.
2. Varnostna načela
Electronic COC uporablja varnostne prakse, namenjene podpiranju zaupnosti, celovitosti, razpoložljivosti, odgovornosti, najmanjših privilegijev in operativne vidljivosti. Varnost je obravnavana v celotnem delovnem toku priprave, delovnem toku preverjanja veljavnosti, delovnem toku podpisovanja in delovnem toku, povezanem z dostavo, in ne kot ločena naknadna misel.
3. Zaščitene vrste informacij
Platforma lahko ščiti podatke, potrebne za operacije eCoC na strani proizvajalca. Natančne obdelane informacije so odvisne od konfiguracije stranke, obsega poteka dela in dogovorjenih integracij.
- Podatki o vozilu in reference o odobritvah
- datoteke XML, datoteke VECTO in zapisi, povezani z eCoC
- Informacije o poteku dela, informacije o računu in zapisi dejavnosti uporabnikov
- Naloženi dokumenti in evidenca o operativnih pripravah
- Informacije, povezane z integracijo, iz sistemov ERP, povezav API ali virov, ki so jih odobrile stranke
4. Upravljanje dostopa
Upravljanje dostopa temelji na nadzorovanih dovoljenjih, varnosti računa, dostopu na podlagi vlog in operativnem nadzoru. Skrbniki strank in pooblaščeni uporabniki ostajajo odgovorni za odobritev ustreznega dostopa, zaščito poverilnic in odstranitev dostopa, ko ni več potreben.
5. Varnostni nadzor
Electronic COC uporablja varnostne kontrole na visoki ravni, ki ustrezajo kontekstu platforme. Ti lahko vključujejo nadzor avtentikacije, nadzor dostopa, spremljanje, operativne zaščitne ukrepe in varne razvojne prakse. Ta pravilnik ne razkriva podrobne arhitekture infrastrukture ali občutljivih podrobnosti o izvajanju.
6. Operacije platforme
Operacije platforme so podprte s praksami varnostnega pregleda, filozofijo spremljanja, operativnim nadzorom in zavedanjem o incidentih. Operativni zapisi in dejavnost poteka dela so namenjeni podpori odgovornosti in pregledu, kjer je to primerno.
7. Odvisnosti od tretjih oseb
Electronic COC se lahko zanaša na ponudnike v oblaku, ponudnike infrastrukture, ponudnike eIDAS, integracijske partnerje, sisteme ERP, povezave API ali druge storitve tretjih oseb, odvisno od konfiguracije stranke. Electronic COC je odgovoren za lastne storitve in dogovorjene kontrole, ne pa za sisteme, odločitve ali izpade neodvisnih tretjih oseb.
8. Upravljanje incidentov
Morebitne varnostne incidente obravnavamo z odkrivanjem, ocenjevanjem, odzivom in komunikacijskimi postopki, ki ustrezajo dogodku. Čas, obseg in oblika komunikacije so lahko odvisni od narave incidenta, pravnih zahtev, pogodbenih obveznosti in tehnične izvedljivosti. Ta pravilnik ne ustvarja zajamčenih odzivnih časov, razen če ni posebej pisno dogovorjeno.
9. Odgovornosti stranke
Stranke ostajajo odgovorne za varnost računa, zaščito poverilnic, notranja uporabniška dovoljenja, točnost podatkov in zakonito uporabo platforme. Stranke ostajajo tudi odgovorne za sprejem odobritve, XML sprejetje, EUCARIS sprejetje, NAP sprejetje in skladnost s predpisi.
10. Omejitve
Electronic COC ne zagotavlja neprekinjene razpoložljivosti, absolutne varnosti, preprečevanja vseh incidentov ali preprečevanja vseh napadov tretjih oseb. Varnostni ukrepi temeljijo na komercialno razumnih prizadevanjih in so predmet meja odgovornosti, izključitev in omejitev, opredeljenih v veljavnih pogodbah.
11. Nenehne izboljšave
Varnostne prakse, zaščitni ukrepi platforme in operativni nadzor se lahko sčasoma razvijejo, ko se spreminjajo delovni tokovi, tehnologija, zahteve strank in pogoji tveganja. Spremembe se lahko uvedejo za izboljšanje zaščite, zanesljivosti, vzdržljivosti ali jasnosti delovanja.
12. Kontaktni podatki
Varnostna vprašanja lahko pošljete na info@electroniccoc.eu. Pogodbena obvestila, varnostni vprašalniki, zahteve za revizijo ali varnostna komunikacija, specifična za stranko, lahko zahtevajo dodatne formalne kanale, opredeljene v veljavni pogodbi.
Imate vprašanja o varnosti platforme?
Obrnite se na Electronic COC za vprašanja glede upravljanja varnosti, upravljanja dostopa ali operativne zaščite podatkov v zvezi z vašo organizacijo.
Electronic COC