HID effectue régulièrement des audits de sécurité internes et externes sur l’organisation ainsi que sur tous les composants de la plateforme HID Origo afin de s’assurer que ses solutions sont conformes aux normes de sécurité et aux bonnes pratiques du secteur.
HID Global utilise les services d’Amazon qui sont certifiés par les programmes d’assurance suivants : SOC, PCI, ISMAP, FedRAMP, DoD CC SRG, HIPAA BAA, IRAP, MTCS, C5, K-ISMS, ENS High, OSPAR, HITRUST CSF, FINMA et GSMA. De plus amples détails sont disponibles sur la page de conformité d’Amazon : https://aws.amazon.com/fr/compliance/services-in-scope/
| Services HID Origo | |||||
|---|---|---|---|---|---|
| API | Gateway | DynamoDB | ElastiCache for Redis | RDS | S3 Glacier |
| VPC Glue | Systems Manager | Athena | EBS | GuardDuty | SES |
| VPC | ACM | IAM | Application Load Balancer (ALB) | Aurore | EC2 |
| Kinesis Data Firehose | SNS | ACM | Config | IoT Core | Network Load Balancer (NLB) |
| CloudFront | ECR Kinesis | Data Streams | SQS Config | Direct Connect | KMS |
| CloudWatch + Logs | ECS | MSK S3 | Direct Connect | Fargate | Lambda |
HID Global exploite un système de gestion de la sécurité de l’information, certifié selon la norme ISO/IEC 27001, afin de régir les contrôles de sécurité pour le développement et le fonctionnement continu des services HID Origo, notamment :
- Plateforme cloud et services HID Origo :
- HID Origo Mobile Identities
- HID Origo Management Portal
- HID Origo Connected Architecture
- HID Authentication Service (AaaS)
- HID Approve
Certification CSA STAR niveau 2
Cloud Security Alliance (CSA) est une organisation à but non lucratif ayant pour mission de « promouvoir les bonnes pratiques afin d’assurer la sécurité au sein des environnements de cloud computing et de fournir des informations sur les utilisations de ces derniers dans le but de contribuer à la sécurité de l’informatique sous toutes ses formes ».
HID Global est une entreprise membre de la Cloud Security Alliance et adhère aux bonnes pratiques de sécurité du cloud en participant à la certification STAR (Security, Trust & Assurance Registry).
Le 15 octobre 2023, la solution HID PACS a été évaluée dans le cadre du champ d’application ci-dessous et a obtenu la certification CSA STAR 2, accessible en cliquant sur le lien suivant : https://cloudsecurityalliance.org/star/registry/hid-global.
Le champ d’application de la certification CSA STAR s’aligne sur celui du système de gestion de la sécurité de l’information (SGSI). Il couvre le cadre de sécurité de l’information pour les activités liées à la conception, au déploiement, à la maintenance et à l’utilisation des applications et services concernés énumérés ci-dessous, conformément à la déclaration d’applicabilité dans sa version Q en date du 21 décembre 2022. Le SGSI garantit la confidentialité, l’intégrité et la disponibilité (CID) ainsi que la protection des actifs et processus d’information de HID Global pour les services suivants :
Plateforme cloud et services HID Origo :
- HID Origo Mobile Identities
- HID Origo Management Portal
- HID Origo Connected Architecture
HID Origo Mobile Identities a obtenu la certification SOC2 de type 2.
- Établie par l’AICPA (Association of International Certified Professional Accountants), la norme SOC (Service and Organization Controls) couvre la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et la protection de la vie privée pour l’ensemble des services évalués.
- Cette attestation implique que HID Origo Mobile Identities a fait l’objet d’un examen indépendant de sa capacité à respecter les engagements de service en matière de sécurité et de disponibilité selon les critères des services de confiance de l’AICPA.
- L’obtention de la certification SOC2 de type 2 démontre que HID Origo Mobile Identities applique les processus définis ainsi que les bonnes pratiques du secteur, entretient son infrastructure et protège ses systèmes en veillant à ce que le produit réponde à tous les types de déploiements, tant au niveau de l’entreprise qu’à une échelle inférieure.
HID Origo Mobile Access et HID Origo Connected Architecture ont obtenu la certification SOC2 de type 1.
- Délivrée par l’AICPA (Association of International Certified Professional Accountants), cette certification appuie son évaluation sur des critères de services de confiance pertinents pour la sécurité.
- La certification SOC2 de type 1 inspecte la conception des contrôles internes d’une organisation à un instant donné. Elle évalue le degré de conformité de l’entreprise à la norme SOC2 et détermine si les contrôles mis en œuvre répondent à ses exigences.
- L’obtention de la certification SOC2 de type 1 démontre que HID Origo Mobile Access et HID Origo Connected Architecture appliquent les processus définis ainsi que les bonnes pratiques du secteur, entretiennent leur infrastructure et protègent leurs systèmes en veillant à ce que le produit réponde à tous les types de déploiements, tant au niveau de l’entreprise qu’à une échelle inférieure.
Cadres
Le classement OWASP Top 10 est un document standard de sensibilisation à la sécurité des applications web destiné aux développeurs. Il recense les risques de sécurité les plus critiques pour les applications web.
Le Secure Software Development Framework (SSDF) est un ensemble de pratiques de développement logiciel fondamentales, sûres et sécurisées qui s’appuient sur des documents reconnus en la matière, publiés par des organisations telles que BSA, OWASP et SAFECode.
La Software Alliance a conçu le BSA Framework for Secure Software pour remédier à l’absence de cadre dédié. Celui-ci propose un outil normalisé de gestion du risque axé sur les résultats afin d’aider les parties prenantes du secteur du logiciel (développeurs, fournisseurs, clients, décideurs politiques et autres) à communiquer et à évaluer les conclusions en matière de sécurité associés à des produits et services logiciels spécifiques.
BSIMM (Building Security In Maturity Model) est une étude des initiatives ou programmes actuels de sécurité des logiciels. Elle quantifie les pratiques de sécurité des applications (appsec) de différentes organisations, quels que soient leur secteur d’activité, leur taille et leur situation géographique, tout en identifiant les variations qui rendent chaque entreprise unique.