HID Global effectue régulièrement des audits de sécurité internes et externes sur l'organisation ainsi que sur tous les composants de la plateforme HID Origo afin de s'assurer que nos solutions sont conformes aux normes de sécurité et aux meilleures pratiques de l'industrie.
Nous utilisons les services d'Amazon dans HID Global qui sont certifiés par les programmes d'assurance suivants : SOC, PCI, ISMAP, FedRAMP, DoD CC SRG, HIPAA BAA, IRAP, MTCS, C5, K-ISMS, ENS High ,OSPAR ,HITRUST CSF, FINMA et GSMA. De plus amples détails peuvent être consultés sur la page de conformité d'Amazon : https://aws.amazon.com/compliance/services-in-scope/
| Services de HID Origo | |||||
|---|---|---|---|---|---|
| API | Passerelle | DynamoDB | ElastiCache pour Redis | RDS | S3 Glacier |
| Colle VPC | Gestionnaire des systèmes | Athéna | EBS | Service de garde | SES |
| VPC | ACM | IAM | Équilibreur de charge d'application (ALB) | Aurore | EC2 |
| Kinesis Data Firehose | SNS | ACM | Config | Cœur de l'IdO | Équilibreur de charge réseau (NLB) |
| CloudFront | ECR Kinesis | Flux de données | SQS Config | Connexion directe | KMS |
| CloudWatch + Logs | ECS | MSK S3 | Connexion directe | Fargate | Lambda |
HID Global maintient un système de gestion de la sécurité de l'information, certifié selon la norme ISO/IEC 27001, afin de régir les contrôles de sécurité pour le développement et les opérations en cours des services HID Origo qui comprennent :
- Plate-forme et services Cloud HID Origo :
- Identités mobiles HID Origo
- Portail de gestion HID Origo,
- Architecture connectée HID Origo
- Service d'authentification HID (AaaS)
- HID Approve
HID Origo Cloud Services a également réalisé une auto-évaluation basée sur la matrice des contrôles du cloud de la Cloud Security Alliance. Le rapport technique couvre les domaines suivants :
- Sécurité des applications et des interfaces
- Audit, assurance et conformité
- Gestion de la continuité des activités et résilience des opérationsContrôle du changement et gestion de la configuration
- Sécurité des données et gestion du cycle de vie de l'information
- Sécurité des centres de données
- Chiffrement et gestion des clés
- Gouvernance et gestion des risques
HID Origo Mobile Identities a obtenu la conformité SOC2 de type 1.
- Publiée par l'Association of International Certified Professional Accountants (AICPA), la norme SOC (Service and Organization Controls) couvre la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection de la vie privée liées à l'ensemble des services évalués.
- Cette attestation implique que HID Origo Mobile Identities a fait l'objet d'un examen indépendant quant à sa capacité à respecter les engagements de service en termes de sécurité et de disponibilité selon les critères des services fiduciaires de l'AICPA.
- L'obtention de la certification SOC 2 Type 1 démontre que les identités mobiles HID Origo suivent les meilleures pratiques de l'industrie et sont basées sur des processus, une infrastructure et des systèmes de protection pour répondre à tous les types de déploiements jusqu'au niveau de l'entreprise.
Cadres
Le Top 10 de l'OWASP est un document de sensibilisation standard pour les développeurs et la sécurité des applications web. Il représente un large consensus sur les risques de sécurité les plus critiques pour les applications web.
Le cadre de développement de logiciels sécurisés (SSDF) est un ensemble de pratiques fondamentales, saines et sécurisées de développement de logiciels basées sur des documents de pratiques de développement de logiciels sécurisés établis par des organisations telles que BSA, OWASPet SAFECode.
La Software Alliance a développé le BSA Framework for Secure Software pour combler cette lacune. Le cadre propose un outil de gestion des risques axé sur les résultats et basé sur des normes, afin d'aider les parties prenantes de l'industrie du logiciel - développeurs, vendeurs, clients, décideurs politiques et autres - à communiquer et à évaluer les résultats en matière de sécurité associés à des produits et services logiciels spécifiques.
Le modèle de maturité de la sécurité des bâtiments (BSIMM) est une étude des initiatives ou programmes actuels de sécurité des logiciels. Il quantifie les pratiques de sécurité des applications (appsec) de différentes organisations, quels que soient leur secteur d'activité, leur taille et leur situation géographique, tout en identifiant les variations qui rendent chaque organisation unique.