HID 定期对组织及 HID Origo 平台所有组件进行内部和外部安全审核,确保我们的解决方案符合行业安全标准和最佳实践。
我们使用的亚马逊服务均已通过以下安全保障计划的认证:SOC、PCI、ISMAP、Fedramp、DoD CC SRG、HIPAA BAA、IRAP、MTCS、C5、K-ISMS、ENS HIGH、OSPAR、HITRUST CSF、FINMA 和 GSMA。更多信息,请访问亚马逊的合规页面:https://aws.amazon.com/compliance/services-in-scope/
HID Origo 服务 | |||||
---|---|---|---|---|---|
API | 网关 | DynamoDB | ElastiCache for Redis | RDS | S3 Glacier |
VPC Glue | Systems Manager | Athena | EBS | GuardDuty | SES |
VPC | ACM | IAM | Application Load Balancer (ALB) | Aurora | EC2 |
Kinesis Data Firehose | SNS | ACM | Config | IoT Core | Network Load Balancer (NLB) |
CloudFront | ECR Kinesis | Data Streams | SQS Config | Direct Connect | KMS |
CloudWatch + Logs | ECS | MSK S3 | Direct Connect | Fargate | Lambda |
HID Global 拥有一个信息安全管理系统,该系统已通过 ISO/IEC 27001 标准认证,用于对 HID Origo 服务的开发和持续运营进行安全管理,这些服务包括:
- HID Origo 云平台和服务:
- HID Origo 移动身份
- HID Origo 管理门户
- HID Origo 互联架构
- HID 身份验证服务 (AaaS)
- HID Approve
CSA STAR 2 级认证
云安全联盟是一个非营利组织,其使命是“推广使用最佳实践,确保云计算安全,开展云计算使用教育,为所有其他形式的计算提供安全保障。”
HID Global 是云安全联盟的企业成员,并参与了 CSA 安全、信任和保证注册 (STAR) 认证,恪守云安全最佳实践。
2023 年 10 月 15 日,HID PACS 在以下方面经过评估,获得 CSA Star 2 级认证,可参见 https://cloudsecurityalliance.org/star/registry/hid-global。
CSA STAR 认证范围与信息安全管理系统 (ISMS) 一致,涵盖下列应用程序和服务的开发、提供、维护和运营相关活动的信息安全框架,并符合 2022 年 12 月 21 日的 Q 版适用性声明。 ISMS 用于确保以下服务中 HID Global 信息资产和流程的机密性、完整性、可用性 (CIA) 和隐私:
HID Origo 云平台和服务:
- HID Origo 移动身份
- HID Origo 管理门户
- HID Origo 互联架构
HID Origo 移动身份符合 SOC2 2 类标准。
- 服务组织控制 (SOC) 标准由国际注册专业会计师协会 (AICPA) 发布,涉及所评估服务的安全性、可用性、处理完整性和私密性。
- 符合该标准意味着 HID Origo 移动身份经独立审查,能够提供符合 AICPA 信任服务安全性和可用性标准的服务。
- 符合 SOC 2 2 类标准表明 HID Origo Mobile Identities 遵循规定的流程、行业最佳实践,能够维护基础设施、保护系统并确保产品满足所有类型的企业级部署要求。
HID Origo Mobile Access 和 Origo Connected Architecture 符合 SOC 2 1 类标准。
- 由国际注册专业会计师协会 (AICPA) 发布,根据安全相关的信托服务标准进行评估
- SOC 2 1 类标准会审查贵组织在某个时间点内部控制措施的设计情况。 会评估贵组织的 SOC 2 合规性,并确定实施的控制措施是否满足框架要求
- 符合 SOC 2 1 类标准表明 HID Origo Mobile Access 和 Origo Connected Architecture 遵循规定的流程、行业最佳实践,能够维护基础设施、保护系统并确保产品满足所有类型的企业级部署要求
框架
OWASP Top 10 是一个针对开发人员和 Web 应用程序安全的标准意识文档, 代表了一种对 Web 应用程序最重大安全风险的广泛共识。
安全软件开发框架 (SSDF) 是一套安全、完善的基本软件开发实践,基于 BSA、OWASP 和 SAFECode 等组织既有的安全软件开发实践文档。
为弥补该框架的不足,该软件联盟开发了安全软件 BSA 框架。 该框架提供了一个以结果为中心的标准化风险管理工具,可帮助软件行业的有关各方(开发人员、供应商、客户、政策制定者及其他各方)交流评估特定软件产品和服务相关的安全结果。
软件安全构建成熟度模型 (BSIMM) 是对当前软件安全方案进行的一项研究。 量化不同行业、规模和地区的各种组织采取的应用程序安全 (appsec) 实践,同时确定每个组织的差异。