Chính sách bảo mật
Chính sách bảo mật này giải thích cách Electronic COC tiếp cận việc bảo vệ thông tin nhạy cảm về hoạt động của nhà sản xuất trong các quy trình làm việc liên quan đến việc chuẩn bị, xác thực, ký và giao hàng của eCoC.
Trang này cung cấp tuyên bố quản trị an ninh công cộng cho Electronic COC. Nó không thay thế các phụ lục bảo mật đã ký, thỏa thuận cấp độ dịch vụ, tài liệu bảo mật dành riêng cho khách hàng hoặc các cam kết hợp đồng.
1. Giới thiệu
Electronic COC được thiết kế để hỗ trợ các quy trình công việc eCoC vận hành có thể liên quan đến thông tin phương tiện, tài liệu tham khảo phê duyệt, tệp XML, tệp VECTO, chuẩn bị ký kết, bản ghi quy trình làm việc và tài liệu được tải lên. Mục đích của Chính sách bảo mật này là mô tả các nguyên tắc bảo mật và ranh giới trách nhiệm hướng dẫn nền tảng.
2. Nguyên tắc bảo mật
Electronic COC áp dụng các biện pháp bảo mật nhằm hỗ trợ tính bảo mật, tính toàn vẹn, tính khả dụng, trách nhiệm giải trình, đặc quyền tối thiểu và khả năng hiển thị hoạt động. Bảo mật được xem xét trong suốt quy trình chuẩn bị, quy trình xác thực, quy trình ký kết và quy trình công việc liên quan đến phân phối chứ không phải là một suy nghĩ riêng biệt.
3. Các loại thông tin được bảo vệ
Nền tảng có thể bảo vệ thông tin cần thiết cho hoạt động eCoC phía nhà sản xuất. Thông tin chính xác được xử lý tùy thuộc vào cấu hình của khách hàng, phạm vi quy trình làm việc và các hoạt động tích hợp đã được thống nhất.
- Thông tin xe và tài liệu tham khảo phê duyệt
- Tệp XML, tệp VECTO và các bản ghi liên quan đến eCoC
- Thông tin quy trình làm việc, thông tin tài khoản và hồ sơ hoạt động của người dùng
- Tài liệu được tải lên và hồ sơ chuẩn bị hoạt động
- Thông tin liên quan đến tích hợp từ hệ thống ERP, kết nối API hoặc các nguồn được khách hàng phê duyệt
4. Quản lý truy cập
Quản lý quyền truy cập dựa trên các quyền được kiểm soát, bảo mật tài khoản, quyền truy cập dựa trên vai trò và giám sát hoạt động. Quản trị viên khách hàng và người dùng được ủy quyền vẫn chịu trách nhiệm cấp quyền truy cập phù hợp, bảo vệ thông tin xác thực và xóa quyền truy cập khi không còn cần thiết.
5. Kiểm soát an ninh
Electronic COC sử dụng các biện pháp kiểm soát bảo mật cấp cao phù hợp với bối cảnh nền tảng. Chúng có thể bao gồm kiểm soát xác thực, kiểm soát truy cập, giám sát, bảo vệ hoạt động và thực tiễn phát triển an toàn. Chính sách này không tiết lộ kiến trúc cơ sở hạ tầng chi tiết hoặc các chi tiết triển khai nhạy cảm.
6. Vận hành nền tảng
Hoạt động của nền tảng được hỗ trợ bởi các phương pháp đánh giá bảo mật, triết lý giám sát, giám sát vận hành và nhận thức sự cố. Hồ sơ vận hành và hoạt động của quy trình làm việc nhằm hỗ trợ trách nhiệm giải trình và xem xét khi thích hợp.
7. Sự phụ thuộc của bên thứ ba
Electronic COC có thể dựa vào nhà cung cấp đám mây, nhà cung cấp cơ sở hạ tầng, nhà cung cấp eIDAS, đối tác tích hợp, hệ thống ERP, kết nối API hoặc các dịch vụ bên thứ ba khác tùy thuộc vào cấu hình của khách hàng. Electronic COC chịu trách nhiệm về các dịch vụ của chính mình và các biện pháp kiểm soát đã được thống nhất, không chịu trách nhiệm về các hệ thống, quyết định hoặc sự cố ngừng hoạt động của hệ thống độc lập của bên thứ ba.
8. Quản lý sự cố
Các sự cố an ninh tiềm ẩn được xử lý thông qua các thủ tục phát hiện, đánh giá, ứng phó và liên lạc phù hợp với sự kiện. Thời gian, phạm vi và hình thức liên lạc có thể phụ thuộc vào tính chất của sự việc, yêu cầu pháp lý, cam kết hợp đồng và tính khả thi về mặt kỹ thuật. Chính sách này không đảm bảo thời gian phản hồi trừ khi có thỏa thuận riêng bằng văn bản.
9. Trách nhiệm của khách hàng
Khách hàng vẫn chịu trách nhiệm về bảo mật tài khoản, bảo vệ thông tin xác thực, quyền của người dùng nội bộ, độ chính xác của dữ liệu và việc sử dụng hợp pháp nền tảng. Khách hàng cũng vẫn chịu trách nhiệm về việc chấp nhận phê duyệt, chấp nhận XML, chấp nhận EUCARIS, chấp nhận NAP và tuân thủ quy định.
10. Hạn chế
Electronic COC không đảm bảo tính khả dụng không bị gián đoạn, tính bảo mật tuyệt đối, ngăn chặn mọi sự cố hoặc ngăn chặn mọi cuộc tấn công của bên thứ ba. Các biện pháp an ninh dựa trên những nỗ lực hợp lý về mặt thương mại và tuân theo các ranh giới trách nhiệm, các ngoại lệ và giới hạn được xác định trong các thỏa thuận hiện hành.
11. Cải tiến liên tục
Các biện pháp bảo mật, biện pháp bảo vệ nền tảng và kiểm soát hoạt động có thể phát triển theo thời gian khi quy trình làm việc, công nghệ, yêu cầu của khách hàng và điều kiện rủi ro thay đổi. Những thay đổi có thể được đưa ra để cải thiện khả năng bảo vệ, độ tin cậy, khả năng bảo trì hoặc tính rõ ràng trong vận hành.
12. Thông tin liên hệ
Các câu hỏi bảo mật có thể được gửi tới info@electroniccoc.eu. Thông báo hợp đồng, bảng câu hỏi bảo mật, yêu cầu kiểm tra hoặc thông tin liên lạc bảo mật dành riêng cho khách hàng có thể yêu cầu các kênh chính thức bổ sung được xác định trong thỏa thuận hiện hành.
Câu hỏi về bảo mật nền tảng?
Hãy liên hệ Electronic COC để biết các câu hỏi về quản trị bảo mật, quản lý quyền truy cập hoặc bảo vệ dữ liệu vận hành liên quan đến tổ chức của bạn.
Electronic COC