Visão geral
A S&C considera a segurança e a privacidade dos dados dos nossos clientes como sendo básicos para nossos valores. A segurança é integrada nos produtos, sistemas, serviços e suportes da &C’, e entre eles. Nós temos uma variedade de programas, políticas e procedimentos implantados que foram construídos para as principais estruturas e práticas recomendadas de cibersegurança da indústria. O programa de segurança de informações da S&C inclui, entre outros, procedimentos de manipulação de dados e padrões de classificação. Os padrões incluem controles apropriados em torno do uso, armazenamento, retenção, monitoramento, destruição segura e segmentação de dados em registros eletrônicos e em papel.
Segurança da cadeia de suprimentos
Para garantir a integridade da cadeia de suprimentos, a S&C identifica, reduz, e onde possível elimina os potenciais riscos de segurança. Nós avaliamos, monitoramos e medimos regularmente nossos fornecedores quanto a integridade do produto, entrega e segurança de dados. Nossos Termos e Condições padrão para fornecedores de componentes ou serviços incluem seções abrangentes de segurança das informações e de privacidade dos dados que definem as obrigações de cibersegurança exigidas dos fornecedores. À medida que o padrão NERC CIP continua a se expandir e a se tornar mais exigente, a S&C capacita nossos clientes a conformidade com o NERC CIP-013-1, “Cybersecurity — Supply Chain Risk Management.”
Segurança do produto
As atividades de desenvolvimento de produtos da S&C seguem o Security Development Lifecycle (SDL) da S&C, que codifica as melhores práticas aceitas pelo setor. Os principais componentes do SDL são análise de risco de segurança, modelagem de ameaças, análise e revisão de código e gerenciamento de vulnerabilidades. A S&C aplica o SDL a seus novos produtos, sistemas, serviços, software e soluções em nuvem.
Em conformidade com o SDL, a S&C toma as seguintes ações durante o projeto, desenvolvimento e teste de nossos produtos:
- Uma análise de risco de segurança, com base nos requisitos de segurança da S&C, é realizada para cada novo projeto e para cada alteração significativa em um projeto existente.
- São realizadas regularmente análise automatizada de código e revisões manuais de código durante o desenvolvimento com base em estruturas, como o Open Web Application Security Project (OWASP) Top 10.
- Código de terceiros, incluindo código-fonte aberto, é analisado automaticamente para identificar e mitigar vulnerabilidades.
- O hardening de sistemas operacionais é executado para dispositivos integrados e soluções baseadas na nuvem.
- Regras de segurança da rede e de firewall são implementadas e revistas com regularidade.
- O teste por grupos internos independentes é executado antes do lançamento de cada produto.
A S&C tem uma política e um procedimento documentado para identificação e comunicação, aos nossos clientes, de vulnerabilidades em nossos produtos. Esse processo envolve a revisão de dados da indústria, tais como Common Vulnerability Scoring System (CVSS) e National Vulnerability Database (NVD), para informações relativas a vulnerabilidades conhecidas. A S&C conduz também testes internos para identificar vulnerabiidades.
Segurança e privacidade dos dados
A S&C considera todos os membros da equipe responsáveis pela compreensão e manutenção de controle sobre como os dados dos clientes, da S&C e dos fornecedores são gerenciados, processados, armazenados e destruídos. Nossos fornecedores precisam concordar com Termos e Condições que incluem cláusulas de privacidade. Nós seguimos todos os seis princípios de privacidade dos dados descritos na Regulamentação Geral de Proteção de Dados (General Data Protection Regulation, GDPR) e em outros regulamentos de proteção de dados em todo o mundo, incluindo:
- Legalidade, justiça e transparência
- Limitação de propósito
- Minimização de dados
- Precisão
- Limitação de armazenamento
- Integridade e confidencialidade
Para obter mais informações sobre as políticas de privacidade de dados da S&C, consulte nossa Declaração de Privacidade.
Papel do cliente na segurança
Neste mundo hiperconectado, a cibersegurança é uma responsabilidade coletiva, porque pode haver ameaças internas e externas aceleradas por um cenário digital em rápida evolução. Com crescente exposição a riscos acontecendo todos os dias, nós trabalhamos ativamente com clientes e fornecedores para criar soluções de segurança de ponta a ponta. A S&C vê como essenciais a avaliação apropriada dos riscos e os cuidados apropriados na instalação, manutenção e operações. Nós trabalhamos com nossos clientes para garantir que atualizações e correções aprovadas pela S&C sejam fornecidas e autenticadas. Nós fornecemos instruções em nossos manuais de produtos com relação à configuração segura dos nossos produtos. Finalmente, nós trabalhamos com os clientes para remediar qualquer vulnerabilidade ou violação de dados suspeita.