Back to Top

概览

我们认为,客户数据的安全性和隐私性是施恩禧业务价值的核心。施恩禧的各种产品、系统、服务和支持都注重安全性。我们按照领先的行业网络安全框架和最佳实践制定了各种方案、政策和程序。施恩禧的信息安全方案包括但不限于数据处理程序和分类标准。标准包括围绕数据使用、存储、保留、监控、安全销毁以及电子和纸质记录分类的适当控制措施。

供应链安全

为确保供应链的完整性,施恩禧会识别、减轻并在可行情况下消除潜在的安全风险。我们会定期从产品完整性、运输和数据安全性几方面评估、监控和衡量供应商。我们针对组件或服务供应商的标准条款和条件包括全面的信息安全和数据隐私部分,这些部分定义了供应商必须承担的网络安全义务。虽然NERC CIP标准的内容不断丰富、要求变得更加严格,施恩禧仍能让客户符合NERC CIP-013-1《网络安全:供应链风险管理》的规定。

产品安全

施恩禧的产品开发活动遵循施恩禧安全开发生命周期(SDL),其中纳入了行业公认的最佳实践。SDL的主要组成部分有安全风险分析、威胁建模、代码分析和审查以及漏洞管理。施恩禧将SDL应用于其新产品、系统、服务、软件和云解决方案。

施恩禧在产品设计、开发和测试期间根据SDL采取以下行动:

  • 根据施恩禧的安全要求,对每个新项目和现有项目的每个重大变更进行安全风险分析。
  • 根据Open Web Application Security Project (OWASP) Top 10等框架,在开发过程中定期自动执行代码分析和手动执行代码审查。
  • 自动分析开源代码等第三方代码,以便识别和解决漏洞。
  • 针对嵌入式设备和云解决方案强化操作系统。
  • 定期实施和审查网络安全及防火墙规则。
  • 每次产品发布之前,由独立的内部小组进行测试。

施恩禧制定了政策和书面流程,用于识别我们产品中的漏洞并将漏洞告知我们的客户。此流程涉及审查行业数据资源,例如通用漏洞评分系统(CVSS)和美国国家信息安全漏洞库(NVD),从中获取有关已知漏洞的信息。施恩禧还会执行内部测试来识别漏洞。

数据安全与隐私

施恩禧要求所有团队成员理解并保持对客户、施恩禧和供应商数据的管理、处理、存储和销毁方式的控制。我们的供应商必须同意包含隐私条款的条款和条件。我们遵守《一般数据保护条例》(GDPR)和全球其他数据保护条例中概述的所有六项数据隐私原则,包括:

  • 合法、公平和透明
  • 目的限制
  • 数据最小化
  • 准确性
  • 存储限制
  • 完整性和保密性

如需了解施恩禧数据隐私政策的更多信息,请参阅我们的隐私声明

客户在安全方面的作用

在这个高度互联的世界中,网络安全是需要多方共同承担的责任,因为快速发展的数字环境可能会加剧内部和外部威胁。鉴于风险的危害性每天都在增加,我们积极与客户和供应商合作,创建端到端安全解决方案。施恩禧认为,必须在安装、维护和操作过程中对风险进行适当评估并予以适当关注。我们与客户合作,确保施恩禧批准的更新和补丁得到安全交付和认证。我们在产品手册中提供有关产品安全配置的说明。最后,我们与客户合作修复任何可疑漏洞或数据泄露。