HID Origo Informationssicherheit

Informationssicherheit steht bei HID Global an erster Stelle. Um das Vertrauen unserer Kunden zu gewinnen, haben wir ein umfassendes Informationssicherheits-Managementsystem (ISMS) eingerichtet, um die anerkannten Sicherheitsanforderungen zu übertreffen und weiterhin weltweit die vertrauenswürdige Quelle für Identitätssicherheit zu sein.

Sicherheitspersonal

Alle HID-Mitarbeiter müssen eine Schulung zum Thema Informationssicherheit und Datenschutz absolvieren. Mitarbeiter, die mit vertraulichen Daten oder Kundendaten umgehen dürfen, erhalten eine zusätzliche, auf ihre Rolle zugeschnittene Schulung und (bei Bedarf) eine staatliche Sicherheitsüberprüfung. Wir verfügen über ein engagiertes Team hochqualifizierter Sicherheitsexperten, die unter anderem die folgenden Aufgaben und Zuständigkeiten wahrnehmen:

ISMS Executive Steering Committee

  • Erfüllt alle Anforderungen der Geschäftsleitung im Rahmen des ISMS
  • Stellt sicher, dass die für die Informationssicherheit relevanten Rollen, Zuständigkeiten und Befugnisse zugewiesen und mitgeteilt werden
  • Genehmigt den gesamten Risikomanagementprozess, einschließlich der Methodik der Risikobewertung (Herangehensweise), der Skalen für Auswirkungen und Wahrscheinlichkeit, der Kriterien für die Akzeptanz von Risiken, der ausgewählten Kontrollen, der Restrisiken und der akzeptierten Risiken

Business Unit Steering Committee

  • Stellt sicher, dass das ISMS den geschäftlichen Anforderungen entspricht und somit einen Mehrwert für die Produkte und Dienstleistungen des Geschäftsbereichs darstellt.
  • Prüft den Risikomanagement-Prozess für die Risiken im Zusammenhang mit der Geschäftseinheit
  • Überprüft ISMS-Richtlinien, -Prozesse und -Verfahren

Global Information Security Team

  • Verantwortlich für die allgemeine Umsetzung, Pflege und Verbesserung des ISMS
  • Stellt sicher, dass alle Sicherheitsvorfälle in Übereinstimmung mit den veröffentlichten Richtlinien, Prozessen und Verfahren untersucht, gemeldet, dokumentiert und behoben werden
  • Entwickelt eine Informationssicherheits-Architektur, die den aktuellen und zukünftigen Geschäftsanforderungen von HID Global entspricht

Richtlinien

HID Global unterhält detaillierte interne Richtlinien zur Informationssicherheit und zum Datenschutz. Alle Mitarbeiter müssen bestätigen, dass sie die Bedingungen der Globalen Informationssicherheitsrichtlinie und der begleitenden Richtlinien und Verfahren gelesen und verstanden haben und sich damit einverstanden erklären, diese zu befolgen.

Beurteilungen

HID Global setzt sich für die Umsetzung eines aktiven, analytischen Ansatzes für die Cybersicherheit ein. Die Sicherheitsprüfung und -verbesserung ist eine fortlaufende Aktivität, die in unseren Prozess zur Bewertung von Schwachstellen und Bedrohungen integriert ist. Alle Lösungskomponenten von HID Origo werden kontinuierlich getestet. Um ein Höchstmaß an Sicherheit zu gewährleisten, nehmen wir regelmäßig externe Sicherheitsprüfer in Anspruch, um unsere Sicherheitsvorkehrungen zu validieren. Laufende Bewertungen von Schwachstellen bei Anwendungen und System umfassen Folgendes:

  • Scans auf Sicherheitslücken im Netzwerk
  • Penetrationstests und Code-Prüfungen mit führenden, unabhängigen Drittanbietern
  • Überprüfung und Test des Frameworks für Sicherheitskontrollen

Wir empfehlen unseren Kunden dringend, alle möglichen Vorsichtsmaßnahmen zu ergreifen, um einen unbefugten Zugriff zu verhindern. Falls Schwachstellen entdeckt werden, melden Sie diese direkt an HID Global, indem Sie sich entweder an den technischen Support von HID Global wenden oder in nicht dringenden Fällen unsere Sicherheitszentrale kontaktieren.

Hinweis: Wir erlauben keine Schwachstellen- und Penetrationstests durch Dritte ohne vorherige Autorisierung. Es ist unsere Verantwortung, einen reibungslosen Betrieb zu gewährleisten. Unkontrollierte Tests bringen das Risiko einer beeinträchtigten Systemleistung mit sich.

Management von Sicherheitsvorfällen

HID Global unterhält Richtlinien und Verfahren für das Management von Sicherheitsvorfällen, und wir wenden geeignete Pläne für Ursachenanalysen und Abhilfemaßnahmen an. Wir benachrichtigen betroffene Kunden unverzüglich über jede tatsächliche oder vermutete unbefugte Weitergabe ihrer jeweiligen Kundendaten, soweit dies gesetzlich zulässig ist. Wird ein Sicherheitsvorfall festgestellt, leitet das Global Information Security Team die notwendigen Schritte ein, um das Problem gemäß festgelegten Verfahren zu bewerten, zu prüfen und zu beheben:

  • Untersuchung und Diagnose
  • Eskalation an das höhere Management, wenn der Verdacht besteht, dass eine Datenschutzverletzung oder ein Verlust vertraulicher Daten vorliegt
  • Durchführung von Abhilfemaßnahmen
  • Test und Validierung
  • Bewertung der Ursachenanalyse von Vorfällen, wenn eine Eskalation stattgefunden hat

Wie wir sichere Produkte entwickeln

Wir verfügen über einen agilen Prozess für den Softwareentwicklungs-Lebenszyklus auf der Grundlage von SAFe(Scaled Agile Framework), der in allen Phasen bewährte Sicherheitsmethoden beinhaltet. Im Folgenden werden einige der Schritte des kontinuierlichen Integrations- und Bereitstellungsverfahrens beschrieben

Entwicklung

Statische Code-Analyse und Audit-Prüfungen des Quellcodes

Prüfung

  • Anwendungssicherheitstests und Netzsicherheitsscans
  • Überprüfung und Genehmigung der Ergebnisse von Sicherheitstests

Bereitstellung

  • Maskierung sensibler Daten
  • Verifizierung und Genehmigung von Sicherheitsstandards und deren Umsetzung
  • Governance-Konformitätsprüfungen für Architektur und Sicherheit
  • Isolierung von Produktions- und Nicht-Produktionsumgebungen

Überwachung

  • Überwachung und Überprüfung von Zutrittskontrollmaßnahmen
  • Umsetzung von Firewall-Richtlinien und Überprüfung von Anomalien
  • Regelmäßige Schwachstellenbewertungen
  • Implementierung von Tools für die Protokollanalyse