安全政策
本安全政策解釋了 Digital CoC 如何在 eCoC 準備、驗證、簽章和交付階段協調過程中保護操作敏感的製造商資訊。
本頁提供 Digital CoC 的公共安全治理聲明。它不能取代已簽署的安全附錄、服務等級協議、客戶特定的安全文件或合約承諾。
一、簡介
Digital CoC 旨在支援製造商 eCoC 計劃,其中可能涉及車輛資訊、核准參考、XML 文件、VECTO 文件、簽章準備、流程記錄和上傳文件。本安全政策的目的是描述指導平台的安全原則和責任邊界。
2. 安全原則
Digital CoC 應用程式旨在支援機密性、完整性、可用性、責任性、最小權限和流程可見性的安全實務。安全性在整個準備過程、驗證過程、簽名過程和交付階段協調中得到考慮,而不是作為單獨的事後考慮。
3. 受保護資訊的類型
此平台可以保護製造商控制的 eCoC 操作所需的資訊。處理的確切資訊取決於客戶配置、流程範圍和商定的整合。
- 車輛資訊和核准參考
- XML 檔案、VECTO 檔案和 eCoC 相關記錄
- 進程資訊、帳戶資訊和使用者活動記錄
- 上傳文件及操作準備記錄
- 來自 ERP 系統、API 連接或客戶批准來源的整合相關信息
4. 存取管理
存取管理基於受控權限、帳戶安全性、基於角色的存取和操作監督。客戶管理員和授權使用者仍然負責授予適當的存取權限、保護憑證並在不再需要時刪除存取權限。
5. 安全控制
Digital CoC 使用適合平臺情境的進階安全控制。這些可能包括身分驗證控制、存取控制、監控、操作保障和安全開發實務。該政策沒有揭露詳細的基礎設施架構或敏感的實施細節。
六、平台運營
平台運作得到安全審查實務、監控理念、營運監督和事件意識的支持。操作記錄和流程活動旨在支援問責制和適當的審查。
7. 第三方依賴項
Digital CoC 可能依賴雲端供應商、基礎設施供應商、eIDAS 供應商、整合式合作夥伴、ERP 系統、API 連線或其他第三方服務,視客戶設定而定。 Digital CoC 對其自己的服務和商定的控制負責,而不對獨立的第三方系統、決策或中斷負責。
8. 事件管理
潛在的安全事件透過適合該事件的偵測、評估、回應和通訊程序進行處理。溝通的時間、範圍和格式可能取決於事件的性質、法律要求、合約承諾和技術可行性。除非另行書面同意,否則本政策不保證回應時間。
9. 客戶的責任
客戶仍然對帳戶安全、憑證保護、內部使用者權限、資料準確性和平台的合法使用負責。客戶也負責批准接受、XML 接受、EUCARIS 接受、NAP 接受和法規遵循。
10. 限制
Digital CoC 不保證不間斷的可用性、絕對的安全性、預防所有事件或預防所有第三方攻擊。安全措施是基於商業上合理的努力,並受適用協議中定義的責任邊界、排除和限制的約束。
11.持續改進
隨著流程、技術、客戶要求和風險條件的變化,安全實踐、平台保護和流程控制可能會隨著時間的推移而發展。可能會進行變更以提高保護、可靠性、可維護性或操作清晰度。
12. 聯絡方式
安全問題可以發送至 info@digitalcoc.eu。合約通知、安全調查問卷、審計請求或特定於客戶的安全通訊可能需要適用協議中定義的其他正式管道。
對平台安全有疑問嗎?
有關與您的組織相關的安全治理、存取管理或操作資料保護問題,請聯絡 Digital CoC。
Digital CoC