HID Global unterzieht sich regelmäßig internen und externen Sicherheitsaudits, bei denen sowohl die Organisation als auch alle Komponenten der HID Origo-Plattform überprüft werden. Damit wird gewährleistet, dass unsere Lösungen den Sicherheitsstandards und Best Practices der Branche entsprechen.
Bei HID Global nutzen wir die Dienste von Amazon, die durch die folgenden Sicherheitsprogramme zertifiziert sind: SOC, PCI, ISMAP, FedRAMP, DoD CC SRG, HIPAA BAA, IRAP, MTCS, C5, K-ISMS, ENS High ,OSPAR ,HITRUST CSF, FINMA und GSMA. Weitere Details finden Sie auf der Compliance-Seite von Amazon: https://aws.amazon.com/compliance/services-in-scope/
| HID Origo-Services | |||||
|---|---|---|---|---|---|
| API | Gateway | DynamoDB | ElastiCache für Redis | RDS | S3 Glacier |
| VPC Glue | Systems Manager | Athena | EBS | GuardDuty | SES |
| VPC | ACM | IAM | Application Load Balancer (ALB) | Aurora | EC2 |
| Kinesis Data Firehose | SNS | ACM | Config | IoT Core | Network Load Balancer (NLB) |
| CloudFront | ECR Kinesis | Data Streams | SQS Config | Direct Connect | KMS |
| CloudWatch + Logs | ECS | MSK S3 | Direct Connect | Fargate | Lambda |
HID Global unterhält ein Managementsystem für Informationssicherheit, das nach der Norm ISO/IEC 27001 zertifiziert ist, um die Sicherheitsmechanismen für die Entwicklung und den laufenden Betrieb der HID Origo-Services zu regeln:
- HID Origo Cloud-Plattform und -Services:
- HID Origo Mobile Identities
- HID Origo Management Portal
- HID Origo Connected Architecture
- HID Authentication Service (AaaS)
- HID Approve
HID Origo Cloud-Services hat außerdem eine Selbstbewertung auf Grundlage der Cloud Controls Matrix der Cloud Security Alliance durchgeführt. Der technische Bericht deckt die folgenden Bereiche ab:
- Anwendungs- und Schnittstellensicherheit
- Audit Assurance und Compliance
- Business Continuity Management und operative ResilienzÄnderungskontrolle und Konfigurationsmanagement
- Datensicherheit und Information Lifecycle Management
- Sicherheit im Rechenzentrum
- Verschlüsselung und Schlüsselmanagement
- Governance und Risikomanagement
HID Origo Mobile Identities hat die Konformität mit SOC2 Typ 1 erreicht.
- Der von der Association of International Certified Professional Accountants (AICPA) herausgegebene Standard Service and Organization Controls (SOC) umfasst die Themen Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz in Bezug auf die bewerteten Services.
- Diese Bestätigung bedeutet, dass HID Origo Mobile Identities von unabhängiger Seite überprüft wurde mit dem Ergebnis, dass die Serviceverpflichtungen in Bezug auf Sicherheit und Verfügbarkeit gemäß den AICPA Trust Services Criteria erfüllt werden.
- Das Erreichen von SOC 2 Typ 1 zeigt, dass HID Origo Mobile Identities den Best Practices der Branche folgt und auf Prozessen, einer Infrastruktur und Schutzsystemen basiert, die alle Arten von Implementierungen bis hin zur Unternehmensebene abdecken.
Frameworks
Die OWASP Top 10 sind ein Standard-Sensibilisierungsdokument für Entwickler*innen, das sich mit der Sicherheit von Webanwendungen beschäftigt. Es fasst die allgemein anerkannten größten Sicherheitsrisiken für Webanwendungen zusammen.
Das Secure Software Development Framework (SSDF) umfasst eine Reihe grundlegender, wirkungsvoller und sicherer Softwareentwicklungspraktiken, die auf etablierten Dokumenten für die sichere Softwareentwicklung von Organisationen wie BSA, OWASP und SAFECode basieren.
Um diese Lücke zu schließen, hat die Software Alliance das BSA Framework for Secure Software entwickelt. Das Framework bietet ein ergebnisorientiertes, standardbasiertes Risikomanagement-Tool, das den Beteiligten in der Softwarebranche – Entwickler*innen, Anbietern, Kunden, Entscheidungsträger*innen und anderen – dabei hilft, die mit bestimmten Softwareprodukten und Services verbundenen Sicherheitsauswirkungen zu kommunizieren und zu bewerten.
Das Building Security In Maturity Model (BSIMM) ist eine Studie über aktuelle Initiativen oder Programme für die Software-Sicherheit. Sie quantifiziert die Anwendungssicherheitspraktiken verschiedener Unternehmen jeder Größe und aus unterschiedlichen Branchen und Regionen und identifiziert gleichzeitig die Unterschiede, die jedes Unternehmen einzigartig machen.