HID realiza auditorías periódicas de seguridad —tanto internas, como externas— en toda la organización, así como en todos los componentes de la plataforma HID Origo, para garantizar que nuestras soluciones cumplan con los estándares de seguridad y las mejores prácticas de la industria.
En HID utilizamos los servicios de Amazon que han sido certificados por programas de aseguramiento como SOC, PCI, ISMAP, FedRAMP, DoD CC SRG, HIPAA BAA, IRAP, MTCS, C5, K-ISMS, ENS High, OSPAR, HITRUST CSF, FINMA y GSMA. Puede encontrar más detalles sobre estos servicios en la página de cumplimiento normativo de Amazon: https://aws.amazon.com/compliance/services-in-scope/
| Servicios de HID Origo | |||||
|---|---|---|---|---|---|
| API | Pasarela | DynamoDB | ElastiCache for Redis | RDS | S3 Glacier |
| VPC Glue | Systems Manager | Athena | EBS | GuardDuty | SES |
| VPC | ACM | IAM | Application Load Balancer (ALB) | Aurora | EC2 |
| Kinesis Data Firehose | SNS | ACM | Config | IoT Core | Network Load Balancer (NLB) |
| CloudFront | ECR Kinesis | Data Streams | SQS Config | Direct Connect | KMS |
| CloudWatch + Logs | ECS | MSK S3 | Direct Connect | Fargate | Lambda |
HID implementa un sistema de gestión de seguridad de la información certificado según la norma ISO/IEC 27001, para supervisar los controles de seguridad en el desarrollo y las operaciones continuas de los servicios de HID Origo. Dicho sistema abarca:
- La plataforma y los servicios de HID Origo Cloud:
- HID Origo Mobile Identities
- Portal de gestión HID Origo
- Arquitectura conectada HID Origo
- Servicio de autenticación de HID (AaaS)
- HID Approve
Certificación CSA STAR Nivel 2
Cloud Security Alliance es una organización sin fines de lucro, cuya misión es "promover las mejores prácticas para garantizar la seguridad dentro de la computación en la nube y educar sobre sus usos a fin de contribuir a la protección de todas las demás formas de computación".
HID es miembro corporativo de Cloud Security Alliance y se somete al proceso de certificación CSA Security, Trust & Assurance Registry (STAR) en su esfuerzo por adherirse a las prácticas de seguridad recomendadas en la nube.
El 15 de octubre de 2023, un componente específico del sistema de control de acceso físico de HID fue evaluado y obtuvo la certificación CSA Star 2. Para consultar más información, siga el siguiente enlace https://cloudsecurityalliance.org/star/registry/hid-global.
La certificación CSA STAR tiene el mismo alcance que el sistema de gestión de seguridad de la información (ISMS), que abarca el marco de seguridad de la información aplicable a actividades de desarrollo, suministro, mantenimiento y operaciones de las aplicaciones y servicios especificados más abajo, según lo establecido en la versión Q de la declaración de aplicabilidad del 21 de diciembre de 2022. El ISMS se encarga de garantizar la confidencialidad, integridad, disponibilidad (CIA) y privacidad de los activos de información, así como de los procesos de HID para los siguientes servicios:
La plataforma y los servicios de HID Origo Cloud:
- HID Origo Mobile Identities
- Portal de gestión HID Origo
- Arquitectura conectada HID Origo
HID Origo Mobile Identities obtuvo la certificación SOC2 tipo 2.
- El estándar de Controles de Servicio y Organización (SOC), emitido por la Asociación Internacional de Contadores Profesionales Certificados (AICPA), cubre la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad de los servicios evaluados.
- Esta certificación significa que HID Origo Mobile Identities ha sido examinada de forma independiente y se ha comprobado que cumple con los compromisos de servicio en términos de los criterios de confianza de servicio de la AICPA, particularmente en lo que respecta a la seguridad y disponibilidad.
- El logro de la certificación SOC 2 Tipo 2 demuestra que HID Origo Mobile Identities sigue un proceso definido, cumple con las prácticas recomendadas de la industria, cuida su infraestructura, protege sus sistemas y garantiza que su producto sea apto para diversas implementaciones, incluso en el ámbito empresarial.
HID Origo Mobile Access y Origo Connected Architecture obtuvieron la certificación SOC 2 Tipo 1.
- Emitida por la Asociación Internacional de Contadores Profesionales Certificados (AICPA) y evaluada en función de los criterios establecidos para los servicios de confianza relacionados con la seguridad
- La certificación SOC 2 Tipo 1 evalúa el diseño de los controles internos de su organización en un momento determinado. Analiza si su organización cumple con el estándar SOC 2 y determina si los controles implementados cumplen con los requisitos del marco.
- El logro de la certificación SOC 2 Tipo 1 demuestra que HID Origo Mobile Access & Origo Connected Architecture siguen un proceso definido, cumplen con las prácticas recomendadas de la industria, cuidan su infraestructura, protegen sus sistemas y garantizan que su producto sea apto para diversas implementaciones, incluso en el ámbito empresarial.
Marcos de referencia
El "OWASP Top 10" es un documento de referencia esencial para desarrolladores y profesionales de la seguridad de aplicaciones web. Constituye un consenso ampliamente aceptado sobre los riesgos de seguridad más críticos que enfrentan las aplicaciones web.
El Marco de Desarrollo de Software Seguro (SSDF) se compone de un conjunto de prácticas fundamentales, robustas y seguras para el desarrollo de software, basado en documentos de prácticas establecidas por organizaciones como BSA (Alianza de Software de Negocios), OWASP (Proyecto de Seguridad en Aplicaciones Web Abiertas) y SAFECode (Consejo de Software de Seguridad).
La Alianza de Software ha desarrollado el Marco de la Alianza de Software para el Software Seguro para abordar esta necesidad. Este marco proporciona una herramienta de gestión de riesgos basada en estándares que se centra en los resultados y ayuda a las partes interesadas de la industria del software (desarrolladores, proveedores, clientes, formuladores de políticas y otros) a comunicarse y evaluar los resultados de seguridad asociados con productos y servicios de software específicos.
El Modelo de Madurez de Seguridad en la Construcción de Software (en inglés, BSIMM) evalúa la madurez de las iniciativas o los programas de seguridad de software actuales. Cuantifica las prácticas de seguridad de aplicaciones (appsec) en diferentes organizaciones, independientemente de su sector, tamaño y ubicación geográfica. Este estudio identifica las variaciones que hacen únicas a las organizaciones.