Polityka bezpieczeństwa
Niniejsza Polityka bezpieczeństwa wyjaśnia, jak Digital CoC podchodzi do ochrony operacyjnie wrażliwych informacji producenta w process przygotowania eCoC, walidacji, podpisywania i dostawy.
Ta strona stanowi publiczne oświadczenie dotyczące zarządzania bezpieczeństwem w Digital CoC. Nie zastępuje podpisanych załączników bezpieczeństwa, umów SLA, dokumentacji bezpieczeństwa właściwej dla klienta ani zobowiązań umownych.
1. Wprowadzenie
Digital CoC zaprojektowano do obsługi operacyjnych process eCoC, które mogą obejmować informacje o pojazdach, odniesienia do zatwierdzeń, pliki XML, pliki VECTO, przygotowanie podpisywania, zapisy process i przesłane dokumenty. Celem tej Polityki bezpieczeństwa jest opisanie zasad bezpieczeństwa i granic odpowiedzialności, które kierują platformą.
2. Zasady bezpieczeństwa
Digital CoC stosuje praktyki bezpieczeństwa wspierające poufność, integralność, dostępność, rozliczalność, zasadę najmniejszych uprawnień i widoczność operacyjną. Bezpieczeństwo jest uwzględniane w process przygotowania, walidacji, podpisywania i dostawy, a nie traktowane jako oddzielny dodatek.
3. Rodzaje chronionych informacji
Platforma może chronić informacje potrzebne do operacji eCoC po stronie producenta. Dokładny zakres obsługiwanych informacji zależy od konfiguracji klienta, zakresu process i uzgodnionych integracji.
- Informacje o pojazdach i odniesienia do zatwierdzeń
- Pliki XML, pliki VECTO i zapisy związane z eCoC
- Informacje o process, informacje o kontach i zapisy aktywności użytkowników
- Przesłane dokumenty i operacyjne zapisy przygotowawcze
- Informacje integracyjne z systemów ERP, połączeń API lub źródeł zatwierdzonych przez klienta
4. Zarządzanie dostępem
Zarządzanie dostępem opiera się na kontrolowanych uprawnieniach, bezpieczeństwie kont, dostępie opartym na rolach i nadzorze operacyjnym. Administratorzy klienta i upoważnieni użytkownicy pozostają odpowiedzialni za przyznawanie właściwego dostępu, ochronę danych uwierzytelniających i usuwanie dostępu, gdy nie jest już potrzebny.
5. Kontrole bezpieczeństwa
Digital CoC stosuje kontrole bezpieczeństwa na poziomie odpowiednim do kontekstu platformy. Mogą one obejmować kontrole uwierzytelniania, kontrole dostępu, monitorowanie, zabezpieczenia operacyjne i bezpieczne praktyki rozwoju. Ta polityka nie ujawnia szczegółowej architektury infrastruktury ani wrażliwych szczegółów implementacyjnych.
6. Operacje platformy
Operacje platformy są wspierane przez praktyki przeglądu bezpieczeństwa, podejście do monitorowania, nadzór operacyjny i świadomość incydentów. Zapisy operacyjne i aktywność process mają wspierać rozliczalność i przegląd tam, gdzie jest to właściwe.
7. Zależności od stron trzecich
Digital CoC może korzystać z dostawców chmurowych, dostawców infrastruktury, dostawców eIDAS, partnerów integracyjnych, systemów ERP, połączeń API lub innych usług stron trzecich, zależnie od konfiguracji klienta. Digital CoC odpowiada za własne usługi i uzgodnione kontrole, nie za niezależne systemy, decyzje lub awarie stron trzecich.
8. Zarządzanie incydentami
Potencjalne incydenty bezpieczeństwa są obsługiwane poprzez procedury wykrywania, oceny, reakcji i komunikacji odpowiednie do zdarzenia. Termin, zakres i forma komunikacji mogą zależeć od charakteru incydentu, wymogów prawnych, zobowiązań umownych i wykonalności technicznej. Ta polityka nie tworzy gwarantowanych czasów reakcji, chyba że uzgodniono to oddzielnie na piśmie.
9. Obowiązki klienta
Klienci pozostają odpowiedzialni za bezpieczeństwo kont, ochronę danych uwierzytelniających, wewnętrzne uprawnienia użytkowników, dokładność danych i zgodne z prawem korzystanie z platformy. Klienci pozostają również odpowiedzialni za akceptację zatwierdzeń, akceptację XML, akceptację EUCARIS, akceptację NAP i zgodność regulacyjną.
10. Ograniczenia
Digital CoC nie gwarantuje nieprzerwanej dostępności, absolutnego bezpieczeństwa, zapobieżenia wszystkim incydentom ani zapobieżenia wszystkim atakom stron trzecich. Środki bezpieczeństwa opierają się na komercyjnie uzasadnionych staraniach i podlegają granicom odpowiedzialności, wyłączeniom oraz ograniczeniom określonym w obowiązujących umowach.
11. Ciągłe doskonalenie
Praktyki bezpieczeństwa, zabezpieczenia platformy i kontrole operacyjne mogą ewoluować wraz ze zmianą process, technologii, wymagań klienta i warunków ryzyka. Zmiany mogą być wprowadzane w celu poprawy ochrony, niezawodności, utrzymywalności lub przejrzystości operacyjnej.
12. Informacje kontaktowe
Pytania dotyczące bezpieczeństwa można kierować na info@digitalcoc.eu. Zawiadomienia umowne, kwestionariusze bezpieczeństwa, żądania audytu lub komunikacja bezpieczeństwa właściwa dla klienta mogą wymagać dodatkowych formalnych kanałów określonych w odpowiedniej umowie.
Pytania dotyczące bezpieczeństwa platformy?
Skontaktuj się z Digital CoC w sprawach dotyczących zarządzania bezpieczeństwem, zarządzania dostępem lub operacyjnej ochrony danych w Twojej organizacji.
Digital CoC