La sécurité de l'information est primordiale chez HID Global. Pour conserver la confiance de nos clients, nous avons mis en place un système complet de gestion de la sécurité de l'information (SGSI) afin de dépasser les exigences de sécurité reconnues et de continuer à être la source de confiance mondiale en matière de sécurité de l'identité.
Personnel de sécurité
Tous les employés de HID sont tenus de suivre une formation de sensibilisation à la sécurité de l'information et à la protection de la vie privée. Les employés susceptibles de manipuler des données sensibles ou des données relatives aux clients reçoivent une formation supplémentaire spécifique à leur rôle, ainsi qu'une habilitation de sécurité du gouvernement américain (si nécessaire). Nous disposons d'un personnel dévoué composé de professionnels de la sécurité hautement qualifiés, dont les fonctions et les responsabilités sont les suivantes :
Comité directeur exécutif de l'ISMS
- Remplit toutes les exigences de la direction générale dans le cadre du SMSI
- Veille à ce que les rôles, les responsabilités et les autorités en matière de sécurité de l'information soient attribués et communiqués
- Approuve le processus global de gestion des risques, y compris la méthode d'évaluation des risques (approche), les échelles d'impact et de probabilité, les critères d'acceptation des risques, les contrôles sélectionnés, les risques résiduels et les risques acceptés
Comité de pilotage de l'unité opérationnelle
- Veille à ce que le SGSI réponde aux exigences de l'entreprise et apporte ainsi une valeur ajoutée aux produits et services de l'unité opérationnelle
- Examine le processus de gestion des risques pour les risques liés à l'unité opérationnelle
- Examine les politiques, les processus et les procédures du SGSI
Équipe mondiale de sécurité de l'information
- Responsable de la mise en œuvre, de la maintenance et de l'amélioration du SMSI dans son ensemble
- Veiller à ce que tous les incidents de sécurité fassent l'objet d'une enquête, soient communiqués, documentés et résolus conformément aux politiques, processus et procédures publiés
- Élabore une architecture de sécurité de l'information qui réponde aux besoins actuels et futurs de HID Global
Politiques
HID Global applique des politiques internes détaillées en matière de sécurité de l'information et de confidentialité des données. Tous les membres du personnel doivent reconnaître qu'ils ont lu, compris et accepté de respecter les termes de la politique globale de sécurité de l'information ainsi que les politiques et procédures connexes.
Évaluations
HID Global se consacre à la mise en œuvre d'une approche active et analytique de la cybersécurité. Les tests et l'amélioration de la sécurité sont une activité permanente intégrée à notre processus d'évaluation des vulnérabilités et des menaces. Nous effectuons des tests continus sur tous les composants de la solution HID Origo et, pour garantir le niveau de sécurité le plus élevé possible, nous faisons régulièrement appel à des auditeurs de sécurité externes pour valider notre position en matière de sécurité. L'évaluation permanente des menaces liées à la vulnérabilité des applications et des systèmes porte sur les points suivants :
- Analyse de la vulnérabilité des réseaux
- Tests de pénétration et examen du code avec des tiers de premier plan et indépendants
- Examen et test du cadre de contrôle de la sécurité
Nous encourageons vivement les clients à prendre toutes les précautions possibles pour empêcher tout accès non autorisé. Si des vulnérabilités sont découvertes, elles doivent être signalées directement à HID Global, soit en contactant l' assistance technique de HID Global , soit par l'intermédiaire de notre centre de sécurité dans des circonstances non urgentes.
Note : nous n'autorisons pas les tests de vulnérabilité et de pénétration effectués par des tiers sans autorisation préalable. Nous avons la responsabilité d'assurer le bon déroulement des opérations. Les tests non contrôlés risquent d'avoir un impact négatif sur les performances du système.
Gestion des incidents de sécurité
HID Global maintient des politiques et des procédures de gestion des incidents de sécurité et nous appliquons une analyse des causes profondes et des plans d'action correctifs appropriés. Nous informons rapidement les clients concernés de toute divulgation non autorisée, réelle ou raisonnablement suspectée, de leurs données respectives, dans la mesure où la loi le permet. Si un incident de sécurité est détecté, l'équipe de sécurité globale de l'information prend les mesures nécessaires pour évaluer, tester et résoudre le problème conformément à la procédure définie :
- Enquêter et diagnostiquer
- Faire remonter à l'échelon supérieur toute suspicion de violation ou de perte de données confidentielles
- Prendre des mesures correctives
- Tester et valider
- Évaluer l'analyse des causes profondes de l'incident en cas d'escalade
Comment nous construisons des produits sécurisés
Nous disposons d'un processus de cycle de vie de développement logiciel agile basé sur SAFe(Scaled Agile Framework), qui intègre les meilleures pratiques de sécurité à tous les stades. Certaines des étapes de la procédure d'intégration et de déploiement continus sont décrites ci-dessous
Développement
Analyse statique du code et vérifications d'audit du code source
Essais
- Tests de sécurité des applications et analyses de sécurité des réseaux
- Examen et approbation des résultats des tests de sécurité
Déploiement
- Masquage des données sensibles
- Vérification et approbation des normes de sécurité et de leur mise en œuvre
- Contrôles de conformité à la gouvernance pour l'architecture et la sécurité
- Isolation de l'environnement de production et de non-production
Contrôle
- Suivi et révision des politiques de contrôle d'accès
- Mise en œuvre des politiques de pare-feu et examen des anomalies
- Évaluations périodiques de la vulnérabilité
- Mise en œuvre d'outils d'analyse des journaux