HID Origo™ 合规性

HID 定期对组织及 HID Origo 平台所有组件进行内部和外部安全审核，确保我们的解决方案符合行业安全标准和最佳实践。

我们使用的亚马逊服务均已通过以下安全保障计划的认证：SOC、PCI、ISMAP、Fedramp、DoD CC SRG、HIPAA BAA、IRAP、MTCS、C5、K-ISMS、ENS HIGH、OSPAR、HITRUST CSF、FINMA 和 GSMA。更多信息，请访问亚马逊的合规页面：https://aws.amazon.com/compliance/services-in-scope/

HID Global 拥有一个信息安全管理系统，该系统已通过 ISO/IEC 27001 标准认证，用于对 HID Origo 服务的开发和持续运营进行安全管理，这些服务包括：

• HID Origo 云平台和服务：
  • HID Origo 移动身份
  • HID Origo 管理门户
  • HID Origo 互联架构
• HID 身份验证服务 (AaaS)
• HID Approve

CSA STAR 2 级认证

云安全联盟是一个非营利组织，其使命是“推广使用最佳实践，确保云计算安全，开展云计算使用教育，为所有其他形式的计算提供安全保障。”

HID Global 是云安全联盟的企业成员，并参与了 CSA 安全、信任和保证注册 (STAR) 认证，恪守云安全最佳实践。

2023 年 10 月 15 日，HID PACS 在以下方面经过评估，获得 CSA Star 2 级认证，可参见 https://cloudsecurityalliance.org/star/registry/hid-global。

CSA STAR 认证范围与信息安全管理系统 (ISMS) 一致，涵盖下列应用程序和服务的开发、提供、维护和运营相关活动的信息安全框架，并符合 2022 年 12 月 21 日的 Q 版适用性声明。 ISMS 用于确保以下服务中 HID Global 信息资产和流程的机密性、完整性、可用性 (CIA) 和隐私：

HID Origo 云平台和服务：

• HID Origo 移动身份
• HID Origo 管理门户
• HID Origo 互联架构

HID Origo 移动身份符合 SOC2 2 类标准。

• 服务组织控制 (SOC) 标准由国际注册专业会计师协会 (AICPA) 发布，涉及所评估服务的安全性、可用性、处理完整性和私密性。
• 符合该标准意味着 HID Origo 移动身份经独立审查，能够提供符合 AICPA 信任服务安全性和可用性标准的服务。
• 符合 SOC 2 2 类标准表明 HID Origo Mobile Identities 遵循规定的流程、行业最佳实践，能够维护基础设施、保护系统并确保产品满足所有类型的企业级部署要求。

HID Origo Mobile Access 和 Origo Connected Architecture 符合 SOC 2 1 类标准。

• 由国际注册专业会计师协会 (AICPA) 发布，根据安全相关的信托服务标准进行评估
• SOC 2 1 类标准会审查贵组织在某个时间点内部控制措施的设计情况。 会评估贵组织的 SOC 2 合规性，并确定实施的控制措施是否满足框架要求
• 符合 SOC 2 1 类标准表明 HID Origo Mobile Access 和 Origo Connected Architecture 遵循规定的流程、行业最佳实践，能够维护基础设施、保护系统并确保产品满足所有类型的企业级部署要求

框架

OWASP Top 10 是一个针对开发人员和 Web 应用程序安全的标准意识文档， 代表了一种对 Web 应用程序最重大安全风险的广泛共识。

安全软件开发框架 (SSDF) 是一套安全、完善的基本软件开发实践，基于 BSA、OWASP 和 SAFECode 等组织既有的安全软件开发实践文档。

为弥补该框架的不足，该软件联盟开发了安全软件 BSA 框架。 该框架提供了一个以结果为中心的标准化风险管理工具，可帮助软件行业的有关各方（开发人员、供应商、客户、政策制定者及其他各方）交流评估特定软件产品和服务相关的安全结果。

软件安全构建成熟度模型 (BSIMM) 是对当前软件安全方案进行的一项研究。 量化不同行业、规模和地区的各种组织采取的应用程序安全 (appsec) 实践，同时确定每个组织的差异。