HID unterzieht sich regelmäßig internen und externen Sicherheitsaudits, bei denen sowohl die Organisation als auch alle Komponenten der HID Origo-Plattform überprüft werden. Damit wird gewährleistet, dass unsere Lösungen den Sicherheitsstandards und Best Practices der Branche entsprechen.
Bei HID Global nutzen wir die Dienste von Amazon, die durch die folgenden Sicherheitsprogramme zertifiziert sind: SOC, PCI, ISMAP, FedRAMP, DoD CC SRG, HIPAA BAA, IRAP, MTCS, C5, K-ISMS, ENS High ,OSPAR ,HITRUST CSF, FINMA und GSMA. Weitere Details finden Sie auf der Compliance-Seite von Amazon: https://aws.amazon.com/compliance/services-in-scope/
| HID Origo-Services | |||||
|---|---|---|---|---|---|
| API | Gateway | DynamoDB | ElastiCache für Redis | RDS | S3 Glacier |
| VPC Glue | Systems Manager | Athena | EBS | GuardDuty | SES |
| VPC | ACM | IAM | Application Load Balancer (ALB) | Aurora | EC2 |
| Kinesis Data Firehose | SNS | ACM | Config | IoT Core | Network Load Balancer (NLB) |
| CloudFront | ECR Kinesis | Data Streams | SQS Config | Direct Connect | KMS |
| CloudWatch + Logs | ECS | MSK S3 | Direct Connect | Fargate | Lambda |
HID Global unterhält ein Managementsystem für Informationssicherheit, das nach der Norm ISO/IEC 27001 zertifiziert ist, um die Sicherheitsmechanismen für die Entwicklung und den laufenden Betrieb der HID Origo-Services zu regeln:
- HID Origo Cloud-Plattform und -Services:
- HID Origo Mobile Identities
- HID Origo Management Portal
- HID Origo Connected Architecture
- HID Authentication Service (AaaS)
- HID Approve
CSA STAR Level 2: Zertifizierung
Die Cloud Security Alliance ist eine gemeinnützige Organisation mit dem Ziel, „den Einsatz von Best Practices für die Sicherheit im Bereich Cloud Computing zu fördern und über die Nutzung von Cloud Computing für die Sicherheit aller anderen Computeranwendungen zu informieren.“
Als Mitgliedsunternehmen der Cloud Security Alliance nimmt HID Global am CSA Security, Trust & Assurance Registry (STAR)-Programm zur Zertifizierung der Einhaltung von Best Practices der Cloud-Sicherheit teil.
Am 15. Oktober 2023 wurde HID PACS für den unten genannten Bereich nach CSA Star 2 geprüft und zertifiziert. Die Zertifizierung kann unter dem Link https://cloudsecurityalliance.org/star/registry/hid-global eingesehen werden.
Die CSA STAR-Zertifizierung umfasst den Bereich ISMS (Information Security Management System), der den Informationssicherheitsrahmen für die Entwicklung, Bereitstellung und Wartung sowie für den Betrieb der unten aufgeführten Anwendungen und Services abdeckt, und unterliegt Version Q der Erklärung zur Anwendbarkeit vom 21. Dezember 2022. Das ISMS wahrt die Vertraulichkeit, Integrität, Verfügbarkeit (CIA) und den Datenschutz der Informationsbestände und Prozesse von HID Global für die folgenden Services:
HID Origo Cloud-Plattform und -Services:
- HID Origo Mobile Identities
- HID Origo Management Portal
- HID Origo Connected Architecture
HID Origo Mobile Identities hat die Konformität mit SOC 2 Typ 2 erreicht.
- Der von der Association of International Certified Professional Accountants (AICPA) herausgegebene Standard Service and Organization Controls (SOC) umfasst die Themen Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz in Bezug auf die bewerteten Services.
- Diese Bestätigung bedeutet, dass HID Origo Mobile Identities von unabhängiger Seite überprüft wurde mit dem Ergebnis, dass die Serviceverpflichtungen in Bezug auf Sicherheit und Verfügbarkeit gemäß den AICPA Trust Services Criteria erfüllt werden.
- Das Erreichen von SOC 2 Typ 2 zeigt, dass HID in Bezug auf Origo Mobile Identities den definierten Prozessen und Best Practices der Branche folgt und mit der Pflege seiner Infrastruktur und dem Schutz seiner Systeme dafür sorgt, dass das Produkt alle Arten von Implementierungen bis hin zur Unternehmensebene erfüllt.
HID Origo Mobile Access & Origo Connected Architecture hat die Konformität mit SOC 2 Typ 1 erreicht.
- Von der Association of International Certified Professional Accountants (AICPA) herausgegeben und gemäß den sicherheitsrelevanten Trust-Services-Kriterien geprüft.
- SOC 2 Typ 1 beurteilt das Design der internen Kontrollen Ihrer Organisation zum Prüfzeitpunkt. Hierbei wird die Konformität Ihres Unternehmens mit SOC 2 untersucht und festgestellt, ob die implementierten Kontrollen den Anforderungen des Frameworks entsprechen.
- Das Erreichen von SOC 2 Typ 1 zeigt, dass HID in Bezug auf Origo Mobile Access & Origo Connected Architecture den definierten Prozessen und Best Practices der Branche folgt und mit der Pflege seiner Infrastruktur und dem Schutz seiner Systeme dafür sorgt, dass das Produkt alle Arten von Implementierungen bis hin zur Unternehmensebene erfüllt.
Frameworks
Die OWASP Top 10 sind ein Standard-Sensibilisierungsdokument für Entwickler*innen, das sich mit der Sicherheit von Webanwendungen beschäftigt. Es fasst die allgemein anerkannten größten Sicherheitsrisiken für Webanwendungen zusammen.
Das Secure Software Development Framework (SSDF) umfasst eine Reihe grundlegender, wirkungsvoller und sicherer Softwareentwicklungspraktiken, die auf etablierten Dokumenten für die sichere Softwareentwicklung von Organisationen wie BSA, OWASP und SAFECode basieren.
Um diese Lücke zu schließen, hat die Software Alliance das BSA Framework for Secure Software entwickelt. Das Framework bietet ein ergebnisorientiertes, standardbasiertes Risikomanagement-Tool, das den Beteiligten in der Softwarebranche – Entwickler*innen, Anbietern, Kunden, Entscheidungsträger*innen und anderen – dabei hilft, die mit bestimmten Softwareprodukten und Services verbundenen Sicherheitsauswirkungen zu kommunizieren und zu bewerten.
Das Building Security In Maturity Model (BSIMM) ist eine Studie über aktuelle Initiativen oder Programme für die Software-Sicherheit. Sie quantifiziert die Anwendungssicherheitspraktiken verschiedener Unternehmen jeder Größe und aus unterschiedlichen Branchen und Regionen und identifiziert gleichzeitig die Unterschiede, die jedes Unternehmen einzigartig machen.