Gouvernance, risques et conformité
Comment la sécurité de l'information est-elle organisée dans Mendix?
Mendix a mis en place un Système de Management de la Sécurité de l'Information (SMSI) conforme à la norme ISO/CEI 27001. Ce cadre internationalement reconnu constitue le fondement d'un programme de sécurité complet qui englobe l'élaboration, la mise en œuvre, la maintenance et l'amélioration continue d'un SMSI. De plus, Mendix adhère à la norme ISO/CEI 27017, qui étend ces contrôles à des pratiques de sécurité spécifiques au cloud, garantissant ainsi une protection renforcée aux clients et fournisseurs de services cloud. Ensemble, ces normes démontrent MendixL'engagement de 's en faveur d'une gouvernance de la sécurité de l'information robuste et compatible avec le cloud.
Quelles certifications de sécurité et rapports d'assurance tiers Mendix Avoir?
Mendix est conforme à diverses certifications de sécurité et rapports d'assurance de tiers. Ceux-ci sont décrits ci-dessous.
Certification ISO 22301
Mendix est certifié conforme aux normes ISO 22301 Norme. La norme ISO 22301 est une norme internationale clé pour la gestion de la continuité des activités, conçue pour aider les organisations à prévenir, se préparer, réagir et se remettre des incidents inattendus et perturbateurs.
Certification ISO / IEC 27001
Mendix est certifié conforme à la ISO / IEC 27001 Norme portant sur tous les contrôles de l'annexe A. La norme ISO/IEC 27001:2022 est une norme internationale clé pour la gestion de la sécurité qui spécifie les meilleures pratiques de gestion de la sécurité et des contrôles de sécurité complets.
Certification ISO / IEC 27017
Mendix est certifié conforme à la ISO / IEC 27017 Norme portant sur tous les contrôles de l'annexe A. La norme ISO/IEC 27017 est une norme internationale clé pour un code de bonnes pratiques relatif aux contrôles de sécurité de l'information pour les services cloud.
Certification ISO / IEC 27018
Mendix est certifié conforme à la ISO / IEC 27018 Norme avec tous les contrôles de l'annexe A dans le champ d'application. La norme ISO/IEC 27018 est une norme internationale clé pour un code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans les clouds publics agissant en tant que processeurs de PII.
Certification ISO 27701
Mendix est certifié conforme aux normes ISO / IEC 27701 Norme avec tous les contrôles des annexes A et B concernés. La norme ISO/IEC 27701 est une norme internationale clé pour la gestion de la confidentialité. Elle spécifie les exigences relatives à la confidentialité et fournit des orientations aux responsables du traitement des données personnelles et aux sous-traitants responsables du traitement des données personnelles.
Certification ISO 9001
Mendix est certifié conforme aux normes ISO 9001 Norme. La norme ISO 9001 est une norme internationale clé en matière de gestion de la qualité qui repose sur un certain nombre de principes de gestion de la qualité, notamment une forte orientation client, la motivation et l'implication de la haute direction, l'approche processus et l'amélioration continue.
Certification NEN 7510
Mendix est certifié conforme à la NEN 7510 Norme avec tous les contrôles de l'annexe A dans le champ d'application. NEN 7510 est une certification néerlandaise en matière de soins de santé qui fournit un cadre basé sur les normes ISO/IEC 27001:2022 et ISO/IEC 27002 pour protéger les organismes de soins de santé et leurs sous-traitants.
Rapports d'assurance ISAE 3000 Type II et ISAE 3402 Type II
ISAE 3000 et ISAE 3402 sont des normes internationales d’assurance sur les contrôles au sein d’une organisation de services. Mendix détient un rapport ISAE 3000 Type II et un rapport ISAE 3402 Type II, qui révèle comment Mendix les contrôles de sécurité ont été gérés au cours de l’année écoulée.
Rapports d'assurance SOC 1 Type II et SOC 2 Type II
SOC 1 et SOC 2 sont des normes d’assurance américaines sur les contrôles au sein d’une organisation de services. Mendix détient un rapport SOC 1 Type II et un rapport SOC 2 Type II révélant comment Mendix les contrôles de sécurité ont été gérés au cours de l’année écoulée.
Attestation de conformité du fournisseur de services PCI DSS V4 niveau 1
Mendix est certifié conforme à la PCI DSS en tant que fournisseur de services de niveau 1, ce qui constitue la certification la plus élevée qu'un fournisseur de services PCI DSS puisse obtenir.
HIPAA / HITECH
Mendix est certifié conforme à HIPAA / HITECHLa loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) exigeait que le secrétaire du ministère américain de la Santé et des Services sociaux (HHS) élabore des réglementations protégeant la confidentialité et la sécurité de certaines informations de santé.
Cyber Essentials (Royaume-Uni)
Mendix est certifié conforme aux normes Cyber EssentialsLe programme Cyber Essentials aborde les menaces les plus courantes liées à Internet pour la cybersécurité. Pour plus de détails, voir Informations complémentaires sur le programme.
Certification CSA STAR
Le CAIQ est une évaluation standardisée développée par la Cloud Security Alliance (CSA) pour évaluer les contrôles de sécurité d'un fournisseur de services cloud (CSP) en fonction des meilleures pratiques alignées sur les
Guide de sécurité de la CSA pour le cloud computing. Mendix' l'inscription peut être trouvée sur le Registre CSA STAR, un registre accessible au public où les CSP peuvent publier leurs auto-évaluations pour démontrer leur transparence et leur conformité aux meilleures pratiques du secteur.
FSQS et FSQS-NL
Mendix est certifié conforme aux normes FSQSLe Financial Services Qualification System (FSQS) est une communauté d'institutions financières comprenant des banques, des sociétés de construction, des compagnies d'assurance et des services d'investissement qui collaborent pour convenir d'une norme unique pour gérer la complexité croissante des informations tierces et quatrièmes nécessaires pour démontrer la conformité aux régulateurs, aux politiques et aux contrôles de gouvernance.
ENS
Mendix is Esquema Nacional de Seguridad (ENS) Certification de haut niveau. Cette certification établit des normes de sécurité qui s'appliquent à toutes les agences gouvernementales et organisations publiques en Espagne ainsi qu'aux prestataires de services dont dépendent les services publics. Le système d'accréditation ENS a été développé par le ministère des Finances et de l'Administration publique et le Centre national de cryptologie (CCN). Il comprend des principes de base et des exigences minimales nécessaires à la protection adéquate des informations. Pour obtenir la certification ENS High, Mendix a été audité avec succès par un évaluateur indépendant accrédité.
Autorisé FedRAMP®
Mendix Cloud for Government est agréé FedRAMP®, ce qui permet aux agences fédérales américaines de développer et de déployer rapidement et à grande échelle des applications sécurisées et modernes. L'environnement est hébergé en toute sécurité sur AWS GovCloud (États-Unis) et exploité par Siemens Technologies gouvernementales (SGT), garantissant le respect des normes gouvernementales strictes en matière de sécurité et de fonctionnement.
NIS2 QM30
Mendix est certifié conforme à la norme NIS2 QM30, le niveau le plus élevé du label de qualité NIS2. Ce système est conforme à la directive NIS2 de l'UE et offre un moyen structuré de démontrer la conformité. La certification QM30 représente le niveau le plus exigeant, requis pour les entités directement réglementées par la norme NIS2, garantissant une gouvernance, une gestion des risques et une résilience en matière de cybersécurité solides sur l'ensemble de la chaîne d'approvisionnement.
Certification C5 Type II
Mendix Détient le rapport ISAE 3000 Type II, couvrant le référentiel C5 (Catalogue des contrôles de conformité du cloud computing). Ce rapport d'attestation, élaboré par l'Office fédéral allemand de la sécurité de l'information (BSI), définit les exigences minimales de sécurité pour les fournisseurs de services cloud. Le C5 Type II comprend un audit indépendant des contrôles mis en œuvre sur une période définie afin de garantir l'efficacité et la cohérence des mesures de sécurité.
Conformité FIPS
Mendix Nous soutenons la conformité grâce à nos offres privées. De plus, Mendix Studio Pro et le Mendix L'exécution peut être rendue conforme à la norme FIPS.
La norme FIPS (Federal Information Processing Standard) est une norme de l'Institut national des sciences et technologies (NIST) des États-Unis qui spécifie les exigences de sécurité des modules cryptographiques protégeant les informations sensibles. Elle garantit que Mendix répond aux normes fédérales strictes en matière de cryptage des données et d'opérations cryptographiques.
À quelle fréquence Mendix Effectuer des évaluations des risques ?
Comme requis par le Mendix Certification ISO/IEC 27001:2022 : des évaluations des risques sont réalisées chaque année, lorsque des changements significatifs surviennent et de manière proactive et récurrente. Mendix Le programme de gestion des risques suit une approche structurée qui s'aligne sur les Cadre de gestion des risques du NIST (RMF), en évaluant systématiquement les risques de sécurité de l'information en identifiant les menaces, les vulnérabilités et les impacts potentiels pertinents. Cela garantit un processus proactif et reproductible de gestion des risques à l'échelle de l'organisation.
Quels types de tests de sécurité sont effectués sur le Mendix Plate-forme?
Des cabinets d’audit indépendants effectuent périodiquement des audits de sécurité Mendix, qui sont signalés par notre certificat ISO/IEC 27001, ISO/IEC 27017, 27018 et NEN 7510, l'attestation de conformité du fournisseur de services PCI DSS niveau 1, le rapport d'attestation ISAE 3000 Type II, le rapport d'attestation ISAE 3402 Type II, le rapport d'attestation SOC 1 Type II et le rapport d'attestation SOC 2 Type II.
De plus, des entreprises spécialisées dans la sécurité offensive effectuent des tests de pénétration sur le Mendix Plateforme au moins une fois par mois. Ces tests d'intrusion s'appuient sur l'Open Web Application Security Project (OWASP), le Cadre d'évaluation de la sécurité des systèmes d'information (ISSAF) et le Manuel de méthodologie des tests de sécurité open source (OSSTMM).
Mendix maintient un programme complet de gestion des vulnérabilités pour assurer la sécurité continue du Mendix Plateforme. Avant chaque version, la plateforme est soumise à des tests de sécurité rigoureux, notamment des tests statiques de sécurité des applications (SAST) et des analyses de composition logicielle (SCA), afin de détecter les vulnérabilités du code personnalisé et des composants tiers.
En production, nous surveillons en permanence la plateforme grâce à diverses méthodes, telles que des outils d'analyse des vulnérabilités, un programme de divulgation responsable et de prime aux bugs, ainsi que des flux de renseignements sur les menaces. Pour plus d'informations, consultez la page Cloud Security.
À quoi servent les contrôles de sécurité Mendix Avoir mis en place pour ses employés ?
Tous Mendix les employés sont tenus de fournir une vérification des antécédents certifiée par le gouvernement (certificat de bonne conduite) et sont liés par des obligations strictes de confidentialité qui sont incorporées dans un accord de confidentialité. De plus, Mendix a mis en place un programme obligatoire de sensibilisation à la sécurité pour tous les employés couvrant des sujets pertinents liés à leurs responsabilités. Mendix Le personnel chargé de la sécurité et de la confidentialité détient des certifications standard de l'industrie, y compris, mais sans s'y limiter, CISSP, CCSP, CIPP/E, CDPSE et CISM.
Comment La Mendix Aider les clients à répondre aux exigences réglementaires ?
Mendix Offre une plateforme conçue pour aider les clients à respecter un large éventail d'obligations réglementaires et de conformité dans tous les secteurs. En combinant des contrôles de sécurité intégrés, des journaux d'audit, la prise en charge de la signature électronique et des fonctionnalités de traçabilité, Mendix Permet aux organisations de créer des applications conformes à des référentiels tels que DORA, PCI DSS, HIPAA et GxP. La plateforme prend en charge des contrôles d'accès configurables, des mécanismes de protection des données et un support de validation pour aider les clients à respecter les politiques internes et les normes réglementaires externes. Que vous déployiez dans le Mendix Dans le cloud ou dans un environnement sur site réglementé, les clients conservent le contrôle de leurs responsabilités en matière de conformité au sein d'un modèle de responsabilité partagée, tout en tirant parti MendixL'infrastructure et les processus audités de manière indépendante constituent une base sûre.
Comment La Mendix Gérer les incidents de sécurité ?
Mendix a mis en place une approche structurée et proactive de la gestion des incidents de sécurité afin de garantir une détection, une réponse et une résolution rapides des menaces potentielles. Les incidents de sécurité sont gérés via un processus formel de réponse aux incidents conforme à la norme ISO/CEI 27001. Mendix cadre de contrôle unifié. Ce processus implique une surveillance continue Mendix Environnements cloud, détection, triage rapide et classification des incidents, ainsi que confinement, analyse des causes profondes et correction.
Les clients sont informés conformément aux obligations contractuelles et aux exigences réglementaires, y compris les délais de notification des violations de données, le cas échéant. Mendix effectue également des examens post-incident pour améliorer les contrôles et prévenir les récidives.
Pour les déploiements sur site ou dans un cloud privé, les organisations sont responsables de la mise en œuvre de leurs propres procédures de réponse aux incidents, bien que Mendix fournit des conseils et un soutien selon les besoins. Cette approche structurée garantit la transparence, la responsabilisation et l'amélioration continue de la gestion des événements de sécurité.