安全政策
本安全策略解释了 Electronic COC 如何在 eCoC 准备、验证、签名和交付相关工作流程中保护操作敏感的制造商信息。
本页提供Electronic COC的公共安全治理声明。它不能取代已签署的安全附录、服务级别协议、客户特定的安全文档或合同承诺。
一、简介
Electronic COC 旨在支持可操作的 eCoC 工作流程,其中可能涉及车辆信息、批准参考、XML 文件、VECTO 文件、签名准备、工作流程记录和上传的文档。本安全政策的目的是描述指导平台的安全原则和责任边界。
2. 安全原则
Electronic COC 应用旨在支持机密性、完整性、可用性、责任性、最小权限和操作可见性的安全实践。在整个准备工作流程、验证工作流程、签名工作流程和交付相关工作流程中都会考虑安全性,而不是作为单独的事后考虑。
3. 受保护的信息类型
该平台可以保护制造商方 eCoC 操作所需的信息。处理的确切信息取决于客户配置、工作流程范围和商定的集成。
- 车辆信息和审批参考资料
- XML 文件、VECTO 文件和 eCoC 相关记录
- 工作流程信息、账户信息和用户活动记录
- 上传文件及操作准备记录
- 来自 ERP 系统、API 连接或客户批准来源的集成相关信息
4. 访问管理
访问管理基于受控权限、帐户安全、基于角色的访问和操作监督。客户管理员和授权用户仍然负责授予适当的访问权限、保护凭据并在不再需要时删除访问权限。
5. 安全控制
Electronic COC 使用适合平台上下文的高级安全控制。这些可能包括身份验证控制、访问控制、监控、操作保障和安全开发实践。该政策没有披露详细的基础设施架构或敏感的实施细节。
六、平台运营
平台运营得到安全审查实践、监控理念、运营监督和事件意识的支持。操作记录和工作流程活动旨在支持问责制和适当的审查。
7. 第三方依赖项
Electronic COC 可能依赖云提供商、基础设施提供商、eIDAS 提供商、集成合作伙伴、ERP 系统、API 连接或其他第三方服务,具体取决于客户配置。 Electronic COC 对自己的服务和商定的控制负责,不对独立的第三方系统、决策或中断负责。
8. 事件管理
潜在的安全事件通过适合该事件的检测、评估、响应和通信程序进行处理。沟通的时间、范围和格式可能取决于事件的性质、法律要求、合同承诺和技术可行性。除非另行书面同意,否则本政策不保证响应时间。
9. 客户的责任
客户仍然对账户安全、凭证保护、内部用户权限、数据准确性和平台的合法使用负责。客户还负责批准接受、XML 接受、EUCARIS 接受、NAP 接受和法规遵从。
10. 限制
Electronic COC 不保证不间断可用性、绝对安全性、预防所有事件或预防所有第三方攻击。安全措施基于商业上合理的努力,并受适用协议中定义的责任边界、排除和限制的约束。
11.持续改进
随着工作流程、技术、客户要求和风险条件的变化,安全实践、平台保护和操作控制可能会随着时间的推移而发展。可能会进行更改以提高保护、可靠性、可维护性或操作清晰度。
12. 联系方式
安全问题可以发送至 info@electroniccoc.eu。合同通知、安全调查问卷、审计请求或特定于客户的安全通信可能需要适用协议中定义的其他正式渠道。
对平台安全有疑问吗?
有关与您的组织相关的安全治理、访问管理或操作数据保护问题,请联系 Electronic COC。
Electronic COC