A HID passa por auditorias de segurança internas e externas regulares, tanto no âmbito da organização quanto em todos os componentes da plataforma HID Origo, a fim de garantir que nossas soluções estejam em conformidade com os padrões de segurança e as melhores práticas do setor.
Utilizamos serviços da Amazon na HID, certificados pelos seguintes programas de garantia: SOC, PCI, ISMAP, FedRAMP, DoD CC SRG, HIPAA BAA, IRAP, MTCS, C5, K-ISMS, ENS High, OSPAR, HITRUST CSF, FINMA e GSMA. Mais detalhes podem ser encontrados na página de conformidade da Amazon: https://aws.amazon.com/compliance/services-in-scope/
| Serviços HID Origo | |||||
|---|---|---|---|---|---|
| API | Gateway | DynamoDB | ElastiCache para Redis | RDS | S3 Glacier |
| VPC Glue | Systems Manager (Gerenciador de Sistemas) | Athena | EBS | GuardDuty | SES |
| VPC | ACM | IAM | Application Load Balancer (ALB, ou Balanceador de Carga de Aplicação) | Aurora | EC2 |
| Kinesis Data Firehose | SNS | ACM | Config | IoT Core | Network Load Balancer (NLB, ou Balanceador de Carga de Rede) |
| CloudFront | ECR Kinesis | Data Streams | SQS Config | Direct Connect | KMS |
| CloudWatch + Logs | ECS | MSK S3 | Direct Connect | Fargate | Lambda |
A HID mantém um Sistema de Gestão de Segurança da Informação, certificado conforme a norma ISO/IEC 27001, para governar os controles de segurança para o desenvolvimento e operações contínuas dos serviços HID Origo, que inclui:
- HID Origo Plataforma e Serviços em Nuvem:
- HID Origo Identidades móveis
- HID Origo Portal de Gestão
- HID Origo Arquitetura Conectada
- Serviço de Autenticação HID (AaaS)
- HID Approve
Certificação CSA STAR Nível 2
A CSA (Cloud Security Alliance) é uma organização sem fins lucrativos com a missão de "promover a aplicação das melhores práticas para proporcionar garantia de segurança em ambientes de computação em nuvem e também prover educação para utilização desses ambientes, de modo a auxiliar na proteção de todas as demais formas de computação".
A HID é membra corporativa da Cloud Security Alliance e participa da certificação CSA STAR (Security Trust and Assurance Registry, ou Registro de Segurança, Confiança e Garantia) para adesão às melhores práticas de segurança em nuvem.
Em 15 de outubro de 2023, o HID PACS foi avaliado e certificado pela CSA Star 2 (consultável pelo linkhttps://cloudsecurityalliance.org/star/registry/hid-global) para o escopo a seguir.
A estrutura da certificação CSA STAR está alinhada ao escopo do Sistema de Gestão de Segurança da Informação (ISMS, por sua sigla em inglês) que abrange o ordenamento da segurança da informação para as atividades relacionadas ao desenvolvimento, aprovisionamento, manutenção e operação das aplicações e serviços, conforme descrito abaixo, e consoante à declaração de aplicabilidade, versão Q, de 21 de dezembro, 2022. O ISMS preserva a Confidencialidade, Integridade, Disponibilidade (CIA, por sua sigla em inglês), além da privacidade dos ativos e processos de informação da HID para os seguintes serviços:
HID Origo Plataforma e Serviços em Nuvem:
- HID Origo Identidades móveis
- HID Origo Portal de Gestão
- HID Origo Arquitetura Conectada
O HID Origo Identidades Móveis obteve conformidade com o padrão SOC2 Tipo 2.
- Emitido pelo AICPA (Association of International Certified Professional Accountants, ou Instituto Americano de Contadores Públicos Certificados), o padrão SOC (Service and Organization Controls, ou Controles de Serviços e Organizações) abrange segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade relacionados ao conjunto de serviços avaliados.
- Este atestado implica que o HID Origo Identidades Móveis foi examinado de forma independente e considerado capaz de atender os requisitos de serviço em termos dos Critérios de Serviços de Confiança do AICPA relevantes para a segurança e disponibilidade.
- A obtenção do SOC 2 Tipo 2 evidencia que o HID Origo Identidades Móveis segue os processos definidos com as melhores práticas do setor, mantém sua infraestrutura, protege os sistemas e garante que o produto atenda a todos os tipos de implementações até um nível corporativo.
O HID Origo Acesso Móvel e o HID Origo Arquitetura Conectada obtiveram conformidade com o SOC 2 Tipo 1.
- Emitido pelo AICPA (Instituto Americano de Contadores Públicos Certificados), avaliado de acordo com critérios de serviços de confiança, relevantes para a segurança
- O SOC 2 Tipo 1 analisa o design dos controles internos de sua organização em um determinado momento. Ele avalia a postura de conformidade SOC 2 de sua organização e determina se os controles implementados atendem aos requisitos de enquadramento
- A obtenção do SOC 2 Tipo 1 evidencia que as soluções HID Origo Acesso Móvel e HID Origo Arquitetura Conectada, seguem os processos definidos com as melhores práticas do setor, mantêm sua infraestrutura, protegem os sistemas e garantem que os produtos atendam a todos os tipos de implementações até um nível corporativo
Frameworks
O OWASP Top 10 é um documento de reconhecimento padrão para desenvolvedores e segurança de aplicações na Web. Representa um amplo consenso sobre os riscos de segurança mais críticos para as aplicações na Web.
O SSDF (Secure Software Development Framework, ou Framework para Desenvolvimento Seguro de Software) é um conjunto de práticas de desenvolvimento de software fundamentais, sólidas e seguras, baseadas em documentos de práticas de desenvolvimento de software seguros, estabelecidos por organizações como BSA, OWASP e SAFECode.
A Software Alliance desenvolveu o BSA Framework para Software Seguro para preencher essa lacuna. O Framework provê uma ferramenta de gerenciamento de riscos baseada em padrões e focada em resultados para auxiliar as partes interessadas no setor de software – desenvolvedores, fornecedores, clientes, formuladores de políticas e outros – a comunicar e avaliar os resultados de segurança associados a produtos e serviços de software específicos.
O Building Security In Maturity Model (BSIMM) é um estudo de iniciativas ou programas atuais de segurança de software. Ele quantifica as práticas de segurança de aplicações (appsec) de diferentes organizações em todos os setores, tamanhos e regiões geográficas, identificando as variações que tornam cada organização única.