Conformidade Regulatória HID Origo™

A HID passa por auditorias de segurança internas e externas regulares, tanto no âmbito da organização quanto em todos os componentes da plataforma HID Origo, a fim de garantir que nossas soluções estejam em conformidade com os padrões de segurança e as melhores práticas do setor.

Utilizamos serviços da Amazon na HID, certificados pelos seguintes programas de garantia: SOC, PCI, ISMAP, FedRAMP, DoD CC SRG, HIPAA BAA, IRAP, MTCS, C5, K-ISMS, ENS High, OSPAR, HITRUST CSF, FINMA e GSMA. Mais detalhes podem ser encontrados na página de conformidade da Amazon: https://aws.amazon.com/compliance/services-in-scope/

Serviços HID Origo
APIGatewayDynamoDBElastiCache para RedisRDSS3 Glacier
VPC GlueSystems Manager (Gerenciador de Sistemas)AthenaEBSGuardDutySES
VPCACMIAMApplication Load Balancer (ALB, ou Balanceador de Carga de Aplicação)AuroraEC2
Kinesis Data FirehoseSNSACMConfigIoT CoreNetwork Load Balancer (NLB, ou Balanceador de Carga de Rede)
CloudFrontECR KinesisData StreamsSQS ConfigDirect ConnectKMS
CloudWatch + LogsECSMSK S3Direct ConnectFargateLambda

 

Logotipo ISO 27001

A HID mantém um Sistema de Gestão de Segurança da Informação, certificado conforme a norma ISO/IEC 27001, para governar os controles de segurança para o desenvolvimento e operações contínuas dos serviços HID Origo, que inclui:

  • HID Origo Plataforma e Serviços em Nuvem:
    • HID Origo Identidades móveis
    • HID Origo Portal de Gestão
    • HID Origo Arquitetura Conectada
  • Serviço de Autenticação HID (AaaS)
  • HID Approve

 

Logotipo CSA

Certificação CSA STAR Nível 2

A CSA (Cloud Security Alliance) é uma organização sem fins lucrativos com a missão de "promover a aplicação das melhores práticas para proporcionar garantia de segurança em ambientes de computação em nuvem e também prover educação para utilização desses ambientes, de modo a auxiliar na proteção de todas as demais formas de computação".

A HID é membra corporativa da Cloud Security Alliance e participa da certificação CSA STAR (Security Trust and Assurance Registry, ou Registro de Segurança, Confiança e Garantia) para adesão às melhores práticas de segurança em nuvem.

Em 15 de outubro de 2023, o HID PACS foi avaliado e certificado pela CSA Star 2 (consultável pelo linkhttps://cloudsecurityalliance.org/star/registry/hid-global) para o escopo a seguir.

A estrutura da certificação CSA STAR está alinhada ao escopo do Sistema de Gestão de Segurança da Informação (ISMS, por sua sigla em inglês) que abrange o ordenamento da segurança da informação para as atividades relacionadas ao desenvolvimento, aprovisionamento, manutenção e operação das aplicações e serviços, conforme descrito abaixo, e consoante à declaração de aplicabilidade, versão Q, de 21 de dezembro, 2022. O ISMS preserva a Confidencialidade, Integridade, Disponibilidade (CIA, por sua sigla em inglês), além da privacidade dos ativos e processos de informação da HID para os seguintes serviços:

HID Origo Plataforma e Serviços em Nuvem:

  • HID Origo Identidades móveis
  • HID Origo Portal de Gestão
  • HID Origo Arquitetura Conectada

 

Logótipo AICPA

O HID Origo Identidades Móveis obteve conformidade com o padrão SOC2 Tipo 2.

  • Emitido pelo AICPA (Association of International Certified Professional Accountants, ou Instituto Americano de Contadores Públicos Certificados), o padrão SOC (Service and Organization Controls, ou Controles de Serviços e Organizações) abrange segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade relacionados ao conjunto de serviços avaliados.
  • Este atestado implica que o HID Origo Identidades Móveis foi examinado de forma independente e considerado capaz de atender os requisitos de serviço em termos dos Critérios de Serviços de Confiança do AICPA relevantes para a segurança e disponibilidade.
  • A obtenção do SOC 2 Tipo 2 evidencia que o HID Origo Identidades Móveis segue os processos definidos com as melhores práticas do setor, mantém sua infraestrutura, protege os sistemas e garante que o produto atenda a todos os tipos de implementações até um nível corporativo.

 

O HID Origo Acesso Móvel e o HID Origo Arquitetura Conectada obtiveram conformidade com o SOC 2 Tipo 1.

  • Emitido pelo AICPA (Instituto Americano de Contadores Públicos Certificados), avaliado de acordo com critérios de serviços de confiança, relevantes para a segurança
  • O SOC 2 Tipo 1 analisa o design dos controles internos de sua organização em um determinado momento. Ele avalia a postura de conformidade SOC 2 de sua organização e determina se os controles implementados atendem aos requisitos de enquadramento
  • A obtenção do SOC 2 Tipo 1 evidencia que as soluções HID Origo Acesso Móvel e HID Origo Arquitetura Conectada, seguem os processos definidos com as melhores práticas do setor, mantêm sua infraestrutura, protegem os sistemas e garantem que os produtos atendam a todos os tipos de implementações até um nível corporativo

 

Frameworks

Logotipo OWASP

O OWASP Top 10 é um documento de reconhecimento padrão para desenvolvedores e segurança de aplicações na Web. Representa um amplo consenso sobre os riscos de segurança mais críticos para as aplicações na Web.

Logotipo NIST

O SSDF (Secure Software Development Framework, ou Framework para Desenvolvimento Seguro de Software) é um conjunto de práticas de desenvolvimento de software fundamentais, sólidas e seguras, baseadas em documentos de práticas de desenvolvimento de software seguros, estabelecidos por organizações como BSA, OWASP e SAFECode.

Logotipo BSA

A Software Alliance desenvolveu o BSA Framework para Software Seguro para preencher essa lacuna. O Framework provê uma ferramenta de gerenciamento de riscos baseada em padrões e focada em resultados para auxiliar as partes interessadas no setor de software – desenvolvedores, fornecedores, clientes, formuladores de políticas e outros – a comunicar e avaliar os resultados de segurança associados a produtos e serviços de software específicos.

Logotipo BSIMM

O Building Security In Maturity Model (BSIMM) é um estudo de iniciativas ou programas atuais de segurança de software. Ele quantifica as práticas de segurança de aplicações (appsec) de diferentes organizações em todos os setores, tamanhos e regiões geográficas, identificando as variações que tornam cada organização única.