HID는 조직과 모든 HID Origo 플랫폼 구성 요소에 대해 정기적 내외부 보안 감사를 시행하여 당사의 솔루션이 업계 보안 표준 및 모범 사례를 준수하는지 여부를 확인합니다.
당사는 HID Global에서 Amazon 서비스를 이용하며, 해당 서비스는 SOC, PCI, ISMAP, FedRAMP, DoD CC SRG, HIPAA BAA, IRAP, MTCS, C5, K-ISMS, ENS High ,OSPAR ,HITRUST CSF, FINMA, GSMA 보증 프로그램의 인증을 취득했습니다. 자세한 내용은 Amazon의 규정 준수 페이지(https://aws.amazon.com/compliance/services-in-scope/)를 참조하십시오.
| HID Origo 서비스 | |||||
|---|---|---|---|---|---|
| API | 게이트웨이 | DynamoDB | ElastiCache for Redis | RDS | S3 Glacier |
| VPC Glue | 시스템 관리자 | Athena | EBS | GuardDuty | SES |
| VPC | ACM | IAM | ALB(Application Load Balancer) | Aurora | EC2 |
| Kinesis Data Firehose | SNS | ACM | Config | IoT Core | NLB(Network Load Balancer) |
| CloudFront | ECR Kinesis | Data Streams | SQS Config | Direct Connect | KMS |
| CloudWatch + 로그 | ECS | MSK S3 | Direct Connect | Fargate | Lambda |
HID Global은 ISO/IEC 27001 표준에 따라 인증된 정보 보안 관리 시스템을 유지관리하며 다음을 비롯한 HID Origo 서비스의 개발 및 지속적 운영에 필요한 보안 제어를 관리합니다.
- HID Origo 클라우드 플랫폼 및 서비스:
- HID Origo 모바일 ID
- HID Origo 관리 포털
- HID Origo 커넥티드 아키텍처
- HID 인증 서비스(AaaS)
- HID Approve
CSA STAR 레벨 2: 인증
Cloud Security Alliance는 비영리 조직으로서 "클라우드 컴퓨팅 내부의 보안 보증 제공을 위한 모범 사례의 활용을 증진하고 클라우드 컴퓨팅 사용에 대한 교육을 제공함으로써 기타 모든 형태의 컴퓨팅 보안을 지원하는 것"을 사명으로 하고 있습니다.
HID Global은 Cloud Security Alliance의 기업 회원이며, CSA STAR(Security, Trust & Assurance Registry) 인증에 참여함으로써 클라우드 보안 모범 사례를 준수하고 있습니다.
2023년 10월 15일, 다음 범위에 해당하는 HID PACS는 평가 및 인증 절차를 거쳐 CSA 스타 2 인증을 취득했습니다. 자세한 내용은 링크(https://cloudsecurityalliance.org/star/registry/hid-global)에서 확인하실 수 있습니다.
CSA STAR 인증의 범위는 아래 제시된 범위에 해당하는 애플리케이션 및 서비스의 개발, 제공, 유지보수 및 운영과 관련된 활동을 위한 정보 보안 프레임워크를 다루는 정보 보안 관리 시스템(ISMS)의 범위와 일치하며, 2022년 12월 21일자 적용 가능성 성명서 버전 Q를 준수합니다. ISMS는 다음 서비스에 대해 HID Global 정보 자산 및 프로세스의 기밀성, 무결성, 가용성(CIA), 개인 정보 보호를 준수합니다.
HID Origo 클라우드 플랫폼 및 서비스:
- HID Origo 모바일 ID
- HID Origo 관리 포털
- HID Origo 커넥티드 아키텍처
HID Origo 모바일 ID는 SOC2 Type 2 규정 준수를 달성했습니다.
- 국제공인회계사협회(AICPA)에서 발행한 SOC(Service and Organization Controls) 표준은 평가 대상 서비스 집합의 보안, 가용성, 처리 무결성, 기밀성, 개인 정보 보호 관련 사항을 규정합니다.
- 이 인증은 HID Origo 모바일 ID가 보안 및 가용성 관련 AICPA Trust Services 기준에 따라 서비스 약정을 이행할 역량에 대한 독립적 검사를 완료했음을 의미합니다.
- SOC 2 Type 2를 획득했다는 것은 HID Origo 모바일 ID가 정의된 프로세스와 업계 모범 사례를 준수하고, 인프라를 유지관리하고, 시스템을 보호하고, 제품이 최대 엔터프라이즈 수준까지 모든 유형의 배포를 충족한다는 것을 입증합니다.
HID Origo 모바일 액세스 및 Origo 커넥티드 아키텍처는 SOC 2 Type 1 규정 준수를 달성했습니다.
- 국제공인회계사협회(AICPA)에서 발행하며, 보안과 관련된 신뢰 서비스 기준에 의거하여 평가됩니다.
- SOC 2 Type 1은 특정 시점을 기준으로 조직의 내부 통제 설계를 검토합니다. 조직의 SOC 2 규정 준수 태세를 평가하고, 구현된 제어가 프레임워크의 요구 사항을 충족하는지 여부를 판단합니다.
- SOC 2 Type 1을 획득했다는 것은 HID Origo 모바일 액세스 및 Origo 커넥티드 아키텍처가 정의된 프로세스와 업계 모범 사례를 준수하고, 인프라를 유지관리하고, 시스템을 보호하고, 제품이 최대 엔터프라이즈 수준까지 모든 유형의 배포를 충족한다는 것을 입증합니다.
프레임워크
OWASP Top 10은 개발자 및 웹 애플리케이션 보안에 대한 표준 인식 문서입니다. 웹 애플리케이션의 가장 중요한 보안 위험에 대한 광범위한 합의 사항을 나타냅니다.
SSDF(Secure Software Development Framework)는 근본적이고 타당하며 안전한 소프트웨어 개발 관행의 집합으로서 BSA, OWASP, SAFECode와 같은 조직에서 확립한 보안 소프트웨어 개발 관행 문서를 기반으로 합니다.
Software Alliance는 이러한 격차를 해소하기 위해 보안 소프트웨어에 대한 BSA 프레임워크를 개발했습니다. 이 프레임워크는 결과 중심의 표준 기반 리스크 관리 도구를 제공하며, 이는 개발자, 공급업체, 고객, 정책 입안자 등 소프트웨어 산업의 이해관계자들이 특정 소프트웨어 제품 및 서비스의 보안 결과를 평가하고 전파할 때 유익합니다.
BSIMM(Building Security In Maturity Model)은 현재 소프트웨어 보안 이니셔티브 또는 프로그램에 대한 연구입니다. 다양한 산업과 규모, 지역에서 조직의 애플리케이션 보안(Appsec) 관행을 정량화하고 각 조직만의 고유한 변수를 찾아내는 역할을 합니다.