מדיניות אבטחה
מדיניות אבטחה זו מסבירה כיצד Digital CoC ניגשת להגנה על מידע יצרן רגיש מבחינה תפעולית על פני eCoC הכנה, אימות, חתימה ותיאום שלב המסירה.
דף זה מספק הצהרת ממשל ביטחון ציבורי עבור Digital CoC. הוא אינו מחליף נספחי אבטחה חתומים, הסכמי רמת שירות, תיעוד אבטחה ספציפי ללקוח או התחייבויות חוזיות.
1. הקדמה
Digital CoC מיועדת לתמוך בתוכנות eCoC של היצרן שעשויות לכלול מידע על רכב, הפניות לאישור, קבצי XML, קבצי VECTO, הכנת חתימה, רשומות תהליכים ומסמכים שהועלו. מטרת מדיניות אבטחה זו היא לתאר את עקרונות האבטחה וגבולות האחריות המנחים את הפלטפורמה.
2. עקרונות אבטחה
Digital CoC מיישמת נוהלי אבטחה שנועדו לתמוך בסודיות, שלמות, זמינות, אחריות, מינימום הרשאות ונראות תהליכים. האבטחה נחשבת לאורך תהליכי ההכנה, תהליכי האימות, תהליכי החתימה ותיאום שלב המסירה ולא כמחשבה נפרדת.
3. סוגי מידע מוגנים
הפלטפורמה עשויה להגן על מידע הדרוש לפעולות eCoC הנשלטות על ידי היצרן. המידע המדויק המטופל תלוי בתצורת הלקוח, היקף התהליך והאינטגרציות המוסכמות.
- מידע על הרכב והפניות לאישור
- קבצי XML, קבצי VECTO ורשומות הקשורות ל-eCoC
- עיבוד מידע, פרטי חשבון ורשומות פעילות משתמשים
- העלאת מסמכים ורישומי הכנה תפעולית
- מידע הקשור לאינטגרציה ממערכות ERP, חיבורי API או מקורות שאושרו על ידי הלקוח
4. ניהול גישה
ניהול הגישה מבוסס על הרשאות מבוקרות, אבטחת חשבון, גישה מבוססת תפקידים ופיקוח תפעולי. מנהלי לקוחות ומשתמשים מורשים נשארים אחראים להענקת גישה מתאימה, הגנה על אישורים והסרת גישה כאשר היא אינה נחוצה עוד.
5. בקרות אבטחה
Digital CoC משתמש בבקרות אבטחה ברמה גבוהה המתאימות להקשר הפלטפורמה. אלה עשויים לכלול בקרות אימות, בקרות גישה, ניטור, אמצעי הגנה תפעוליים ונהלי פיתוח מאובטחים. מדיניות זו אינה חושפת ארכיטקטורת תשתית מפורטת או פרטי יישום רגישים.
6. תפעול פלטפורמה
פעולות הפלטפורמה נתמכות על ידי נוהלי סקירת אבטחה, פילוסופיית ניטור, פיקוח תפעולי ומודעות לאירועים. רישומים תפעוליים ופעילות תהליכים נועדו לתמוך באחריות ובביקורת במידת הצורך.
7. תלות של צד שלישי
Digital CoC עשויה להסתמך על ספקי ענן, ספקי תשתית, ספקי eIDAS, שותפי אינטגרציה, מערכות ERP, חיבורי API או שירותי צד שלישי אחרים בהתאם לתצורת הלקוח. Digital CoC אחראית לשירותים ולבקרות המוסכמות שלה, לא למערכות, החלטות או הפסקות של צד שלישי עצמאיים.
8. ניהול אירועים
אירועי אבטחה פוטנציאליים מטופלים באמצעות נוהלי איתור, הערכה, תגובה ותקשורת המתאימים לאירוע. העיתוי, ההיקף והפורמט של התקשורת עשויים להיות תלויים באופי האירוע, דרישות משפטיות, התחייבויות חוזיות והיתכנות טכנית. מדיניות זו אינה יוצרת זמני תגובה מובטחים אלא אם הוסכם בנפרד בכתב.
9. אחריות הלקוח
הלקוחות נשארים אחראים לאבטחת החשבון, הגנת אישורים, הרשאות משתמש פנימיות, דיוק הנתונים ושימוש חוקי בפלטפורמה. הלקוחות נשארים גם אחראים לקבלת אישור, קבלה XML, קבלה EUCARIS, קבלה NAP ותאימות לתקנות.
10. מגבלות
Digital CoC אינה מבטיחה זמינות ללא הפרעה, אבטחה מוחלטת, מניעת כל התקריות או מניעת כל התקפות צד שלישי. אמצעי אבטחה מבוססים על מאמצים סבירים מבחינה מסחרית וכפופים לגבולות האחריות, ההחרגות וההגבלות המוגדרות בהסכמים החלים.
11. שיפור מתמיד
נוהלי אבטחה, אמצעי הגנה על הפלטפורמה ובקרות תהליכים עשויים להתפתח עם הזמן ככל שהתהליכים, הטכנולוגיה, דרישות הלקוחות ותנאי הסיכון משתנים. ייתכן שיהיו שינויים כדי לשפר את ההגנה, האמינות, התחזוקה או הבהירות התפעולית.
12. מידע ליצירת קשר
שאלות אבטחה עשויות להישלח אל info@digitalcoc.eu. הודעות חוזיות, שאלוני אבטחה, בקשות ביקורת או תקשורת אבטחה ספציפית ללקוח עשויים לדרוש ערוצים פורמליים נוספים המוגדרים בהסכם הרלוונטי.
שאלות על אבטחת פלטפורמה?
צור קשר עם Digital CoC לשאלות בנושא ניהול אבטחה, ניהול גישה או הגנה על נתונים תפעוליים הקשורים לארגון שלך.
Digital CoC