治理、风险和合规性| Mendix

跳到主要内容

站内搜索

联系我们
免费试用
打印

治理、风险和合规性

信息安全如何组织 Mendix?

Mendix 已根据 ISO/IEC 27001 标准实施信息安全管理体系 (ISMS)。这一国际认可的框架为全面的安全计划奠定了基础,涵盖了 ISMS 的建立、实施、维护和持续改进。此外, Mendix 遵守 ISO/IEC 27017 标准,该标准扩展了这些控制措施,并引入了特定于云的安全实践,从而确保为云服务客户和提供商提供更强大的保护。这些标准共同证明 Mendix致力于强大的、云感知的信息安全治理。

哪些第三方安全认证和保证报告 Mendix 有?

Mendix 符合各种第三方安全认证和保证报告。这些内容如下所述。

ISO认证22301

Mendix 经认证符合 ISO 22301 标准。ISO 22301 是业务连续性管理的一项重要国际标准,旨在帮助组织预防、准备、应对和恢复意外和破坏性事件。

ISO/IEC 27001 认证

Mendix 经认证符合 ISO / IEC 27001 标准涵盖附件 A 中的所有控制措施。ISO/IEC 27001:2022 是安全管理的重要国际标准,规定了安全管理最佳实践和全面的安全控制措施。

ISO/IEC 27017 认证

Mendix 经认证符合 ISO / IEC 27017 标准涵盖附件 A 中的所有控制措施。ISO/IEC 27017 是云服务信息安全控制实践准则的一项重要国际标准。

ISO/IEC 27018 认证

Mendix 经认证符合 ISO / IEC 27018 标准涵盖附件 A 中的所有控制措施。ISO/IEC 27018 是作为 PII 处理器的公共云中个人身份信息 (PII) 保护行为准则的重要国际标准。

ISO认证27701

Mendix 经认证符合 ISO / IEC 27701 标准涵盖所有附件 A 和附件 B 控制措施。ISO/IEC 27701 是一项重要的隐私管理国际标准,它规定了隐私相关要求,并为 PII 控制者和 PII 处理者提供指导,帮助他们承担 PII 处理的责任和义务。

ISO认证9001

Mendix 经认证符合 ISO 9001 标准。ISO 9001 是质量管理的重要国际标准,它以一系列质量管理原则为基础,包括高度重视客户、高层管理人员的激励和指导、过程方法和持续改进。

NEN 7510 认证

Mendix 经认证符合 嫩7510 标准,所有附件 A 控制均在范围内。NEN 7510 是荷兰医疗保健认证,它提供了基于 ISO/IEC 27001:2022 和 ISO/IEC 27002 标准的框架,以保护医疗保健组织及其处理器。

ISAE 3000 Type II 和 ISAE 3402 Type II 鉴证报告

ISAE 3000ISAE 3402 是针对服务机构控制的国际保证标准。 Mendix 持有 ISAE 3000 Type II 和 ISAE 3402 Type II 报告,其中披露了 Mendix 过去一年来,安全控制工作一直得到管理。

SOC 1 类型 II 和 SOC 2 类型 II 鉴证报告

SOC 1SOC 2 是美国针对服务机构控制的保证标准。 Mendix 持有 SOC 1 类型 II 报告和 SOC 2 类型 II 报告,披露如何 Mendix 过去一年来,安全控制工作一直得到管理。

PCI DSS V4 1 级服务提供商合规证明

Mendix 经认证符合 PCI DSS 标准为 1 级服务提供商,这是 PCI DSS 服务提供商可以获得的最高认证。

HIPAA /高科技

Mendix 证明符合 HIPAA /高科技。1996 年《健康保险流通与责任法案》(HIPAA)要求美国卫生与公众服务部(HHS)部长制定法规,保护某些健康信息的隐私和安全。

Cyber​​ Essentials(英国)

Mendix 经认证符合 网络基础。Cyber​​ Essentials 计划针对最常见的基于互联网的网络安全威胁。有关更多详细信息,请参阅 更多计划信息.

CSA STAR 认证

CAIQ 是由云安全联盟 (CSA) 开发的标准化评估,用于评估云服务提供商 (CSP) 的安全控制,该评估基于符合以下标准的最佳实践:
CSA 云计算安全指南. Mendix' 注册信息可在 CSA STAR 注册中心,一个可公开访问的注册中心,CSP 可以在其中发布他们的自我评估,以证明透明度和符合行业最佳实践。

FSQS 和 FSQS-NL

Mendix 经认证符合 质量标准金融服务资格体系 (FSQS) 是一个由银行、建筑协会、保险公司和投资服务机构等金融机构组成的社区,这些机构正在合作商定一个单一标准,以管理日益复杂的第三方和第四方信息,以证明符合监管机构、政策和治理控制的要求。

ENS

Mendix is 国家安全局 (ENS) 高级认证。该认证制定了适用于西班牙所有政府机构和公共组织以及公共服务所依赖的服务提供商的安全标准。ENS 认证计划由财政和公共管理部和国家密码中心 (CCN) 制定。该计划包括充分保护信息所需的基本原则和最低要求。要获得 ENS 高级认证, Mendix 已成功通过经认可的独立评估师的审计。

FedRAMP® 授权

Mendix 政府云已获得 FedRAMP® 授权,使美国联邦机构能够快速、大规模地开发和部署安全、现代化的应用程序。该环境安全地托管在 AWS GovCloud(美国)上,并由以下公司运营: Siemens 政府技术 (SGT),确保遵守严格的政府安全和运营标准。

NIS2 QM30

Mendix 经认证符合NIS2 QM30标准,这是NIS2质量标志的最高级别。该方案与欧盟NIS2指令相一致,并提供了一种结构化的方式来证明其合规性。QM30认证代表了最严格的级别,适用于直接受NIS2监管的实体,旨在确保整个供应链拥有稳健的治理、风险管理和网络安全韧性。

C5 II 型认证

Mendix 持有 ISAE 3000 Type II 报告,涵盖 C5(云计算合规控制目录)框架。这份由德国联邦信息安全局 (BSI) 制定的认证报告定义了云服务提供商的最低安全要求。C5 Type II 包括在规定时间内对已实施的控制措施进行独立审计,以确保安全措施有效且一致地应用。

FIPS 合规性

Mendix 通过我们的私募产品支持合规。此外, Mendix Studio Pro 和 Mendix 运行时可以符合 FIPS 标准。
FIPS(联邦信息处理标准)是美国国家科学技术研究院 (NIST) 的一项标准,规定了保护敏感信息的加密模块的安全要求。这确保了 Mendix 符合数据加密和加密操作的严格联邦标准。

多频繁 Mendix 进行风险评估?

根据要求 Mendix ISO/IEC 27001:2022 认证,风险评估每年进行一次,在发生重大变化时进行,并定期主动进行。 Mendix 风险管理计划遵循与 NIST风险管理框架(RMF)通过识别相关威胁、漏洞和潜在影响,系统地评估信息安全风险。这确保了在整个组织内实施主动且可重复的风险管理流程。

对 Mendix 平台?

独立审计公司定期对 Mendix,这些报告均通过我们的 ISO/IEC 27001、ISO/IEC 27017、27018 和 NEN 7510 证书、PCI DSS 1 级服务提供商合规证明、ISAE 3000 II 型证明报告、ISAE 3402 II 型证明报告、SOC 1 II 型证明报告和 SOC 2 II 型证明报告进行报告。

此外,专门从事攻击性安全的公司对 Mendix 平台至少每月一次。这些渗透测试基于开放Web应用程序安全项目(OWASP)、信息系统安全评估框架(ISSAF)和开源安全测试方法手册(OSSTMM)。

Mendix 维护全面的漏洞管理计划,以确保持续的安全 Mendix 平台。每次发布之前,平台都会经过严格的安全测试,包括静态应用程序安全测试 (SAST) 和软件组合分析 (SCA),以检测自定义代码和第三方组件中的漏洞。

在生产环境中,我们会使用各种方法持续监控平台,例如漏洞扫描工具、负责任的漏洞披露和漏洞赏金计划以及威胁情报源。更多信息,请参阅 云安全.

安全控制的作用是什么 Mendix 为员工制定了哪些政策?

全部 Mendix 员工必须提供政府认证的背景调查(良好行为证明),并受保密协议中规定的严格保密义务的约束。此外, Mendix 已对所有员工实施了强制性安全意识计划,涵盖与其职责相关的主题。 Mendix 安全和隐私人员拥有行业标准认证,包括但不限于 CISSP、CCSP、CIPP/E、CDPSE 和 CISM。

如何 Mendix 帮助客户满足监管要求?

Mendix 提供一个旨在支持客户满足各行各业广泛监管和合规义务的平台。通过结合内置安全控制、审计日志记录、电子签名支持和可追溯性功能, Mendix 使组织能够构建符合 DORA、PCI DSS、HIPAA 和 GxP 等框架的应用程序。该平台支持可配置的访问控制、数据保护机制和验证支持,帮助客户满足内部策略和外部监管标准。无论部署在 Mendix 无论是在云中还是在受监管的本地环境中,客户都可以在共享责任模型中控制自己的合规责任,同时利用 Mendix经过独立审计的基础设施和流程作为安全基础。

如何 Mendix 处理安全事件?

Mendix 建立了结构化、主动的安全事件管理方法,确保及时发现、响应和解决潜在威胁。安全事件通过符合 ISO/IEC 27001 标准的正式事件响应流程进行管理, Mendix 统一的控制框架。这一过程涉及持续监控 Mendix 云环境、检测、快速分类和事件分类,以及遏制、根本原因分析和补救。

根据合同义务和监管要求通知客户,包括适用的数据泄露通知时间表。 Mendix 还进行事后审查,以改善控制并防止再次发生。

对于本地或私有云部署,组织负责实施自己的事件响应程序,尽管 Mendix 根据需要提供指导和支持。这种结构化方法可确保安全事件管理的透明度、问责制和持续改进。

选择你的语言