Chính sách bảo mật
Chính sách bảo mật này giải thích cách Digital CoC tiếp cận việc bảo vệ thông tin hoạt động nhạy cảm của nhà sản xuất trong suốt giai đoạn chuẩn bị, xác thực, ký kết và phân phối của eCoC.
Trang này cung cấp tuyên bố quản trị an ninh công cộng cho Digital CoC. Nó không thay thế các phụ lục bảo mật đã ký, thỏa thuận cấp độ dịch vụ, tài liệu bảo mật dành riêng cho khách hàng hoặc các cam kết hợp đồng.
1. Giới thiệu
Digital CoC được thiết kế để hỗ trợ các chương trình eCoC của nhà sản xuất có thể liên quan đến thông tin về xe, tài liệu tham khảo phê duyệt, tệp XML, tệp VECTO, chuẩn bị ký, xử lý hồ sơ và tài liệu được tải lên. Mục đích của Chính sách bảo mật này là mô tả các nguyên tắc bảo mật và ranh giới trách nhiệm hướng dẫn nền tảng.
2. Nguyên tắc bảo mật
Digital CoC áp dụng các biện pháp bảo mật nhằm hỗ trợ tính bảo mật, tính toàn vẹn, tính khả dụng, trách nhiệm giải trình, đặc quyền tối thiểu và khả năng hiển thị quy trình. Bảo mật được xem xét trong suốt quá trình chuẩn bị, quy trình xác nhận, quy trình ký kết và điều phối giai đoạn phân phối chứ không phải là một suy nghĩ riêng biệt.
3. Các loại thông tin được bảo vệ
Nền tảng có thể bảo vệ thông tin cần thiết cho các hoạt động eCoC do nhà sản xuất kiểm soát. Thông tin chính xác được xử lý tùy thuộc vào cấu hình của khách hàng, phạm vi quy trình và sự tích hợp đã được thống nhất.
- Thông tin xe và tài liệu tham khảo phê duyệt
- Tệp XML, tệp VECTO và các bản ghi liên quan đến eCoC
- Xử lý thông tin, thông tin tài khoản và hồ sơ hoạt động của người dùng
- Tài liệu được tải lên và hồ sơ chuẩn bị hoạt động
- Thông tin liên quan đến tích hợp từ hệ thống ERP, kết nối API hoặc các nguồn được khách hàng phê duyệt
4. Quản lý truy cập
Quản lý quyền truy cập dựa trên các quyền được kiểm soát, bảo mật tài khoản, quyền truy cập dựa trên vai trò và giám sát hoạt động. Quản trị viên khách hàng và người dùng được ủy quyền vẫn chịu trách nhiệm cấp quyền truy cập phù hợp, bảo vệ thông tin xác thực và xóa quyền truy cập khi không còn cần thiết.
5. Kiểm soát an ninh
Digital CoC sử dụng các biện pháp kiểm soát bảo mật cấp cao phù hợp với bối cảnh nền tảng. Chúng có thể bao gồm kiểm soát xác thực, kiểm soát truy cập, giám sát, bảo vệ hoạt động và thực tiễn phát triển an toàn. Chính sách này không tiết lộ kiến trúc cơ sở hạ tầng chi tiết hoặc các chi tiết triển khai nhạy cảm.
6. Vận hành nền tảng
Hoạt động của nền tảng được hỗ trợ bởi các phương pháp đánh giá bảo mật, triết lý giám sát, giám sát vận hành và nhận thức sự cố. Hồ sơ hoạt động và hoạt động của quy trình nhằm hỗ trợ trách nhiệm giải trình và xem xét khi thích hợp.
7. Sự phụ thuộc của bên thứ ba
Digital CoC có thể dựa vào nhà cung cấp đám mây, nhà cung cấp cơ sở hạ tầng, nhà cung cấp eIDAS, đối tác tích hợp, hệ thống ERP, kết nối API hoặc các dịch vụ bên thứ ba khác tùy thuộc vào cấu hình của khách hàng. Digital CoC chịu trách nhiệm về các dịch vụ của chính mình và các biện pháp kiểm soát đã được thống nhất, không chịu trách nhiệm về các hệ thống, quyết định hoặc sự cố ngừng hoạt động của hệ thống độc lập của bên thứ ba.
8. Quản lý sự cố
Các sự cố an ninh tiềm ẩn được xử lý thông qua các thủ tục phát hiện, đánh giá, ứng phó và liên lạc phù hợp với sự kiện. Thời gian, phạm vi và hình thức liên lạc có thể phụ thuộc vào tính chất của sự việc, yêu cầu pháp lý, cam kết hợp đồng và tính khả thi về mặt kỹ thuật. Chính sách này không đảm bảo thời gian phản hồi trừ khi có thỏa thuận riêng bằng văn bản.
9. Trách nhiệm của khách hàng
Khách hàng vẫn chịu trách nhiệm về bảo mật tài khoản, bảo vệ thông tin xác thực, quyền của người dùng nội bộ, độ chính xác của dữ liệu và việc sử dụng hợp pháp nền tảng. Khách hàng cũng vẫn chịu trách nhiệm về việc chấp nhận phê duyệt, chấp nhận XML, chấp nhận EUCARIS, chấp nhận NAP và tuân thủ quy định.
10. Hạn chế
Digital CoC không đảm bảo tính khả dụng không bị gián đoạn, tính bảo mật tuyệt đối, ngăn chặn mọi sự cố hoặc ngăn chặn mọi cuộc tấn công của bên thứ ba. Các biện pháp an ninh dựa trên những nỗ lực hợp lý về mặt thương mại và tuân theo các ranh giới trách nhiệm, loại trừ và giới hạn được xác định trong các thỏa thuận hiện hành.
11. Cải tiến liên tục
Các biện pháp bảo mật, biện pháp bảo vệ nền tảng và kiểm soát quy trình có thể phát triển theo thời gian khi các quy trình, công nghệ, yêu cầu của khách hàng và điều kiện rủi ro thay đổi. Những thay đổi có thể được đưa ra để cải thiện khả năng bảo vệ, độ tin cậy, khả năng bảo trì hoặc tính rõ ràng trong vận hành.
12. Thông tin liên hệ
Các câu hỏi bảo mật có thể được gửi tới info@digitalcoc.eu. Thông báo hợp đồng, bảng câu hỏi bảo mật, yêu cầu kiểm tra hoặc thông tin liên lạc bảo mật dành riêng cho khách hàng có thể yêu cầu các kênh chính thức bổ sung được xác định trong thỏa thuận hiện hành.
Câu hỏi về bảo mật nền tảng?
Hãy liên hệ Digital CoC để biết các câu hỏi về quản trị bảo mật, quản lý quyền truy cập hoặc bảo vệ dữ liệu vận hành liên quan đến tổ chức của bạn.
Digital CoC