Governance, Risiko und Compliance | Mendix

Direkt zum Inhalt

Seitensuche

Vertrieb kontaktieren
Kostenlos Testen
Drucken

Governance, Risiko und Compliance

Wie ist die Informationssicherheit organisiert in Mendix?

Mendix hat ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001 implementiert. Dieses international anerkannte Rahmenwerk bildet die Grundlage für ein umfassendes Sicherheitsprogramm, das die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung eines ISMS umfasst. Darüber hinaus Mendix hält sich an ISO/IEC 27017, das diese Kontrollen um Cloud-spezifische Sicherheitspraktiken erweitert und so einen verbesserten Schutz für Cloud-Service-Kunden und -Anbieter gewährleistet. Zusammen zeigen diese Standards MendixEngagement von für eine robuste, Cloud-bewusste Informationssicherheits-Governance.

Welche Sicherheitszertifizierungen und Prüfberichte von Drittanbietern Mendix Haben?

Mendix entspricht verschiedenen Sicherheitszertifizierungen und Qualitätssicherungsberichten von Drittanbietern. Diese werden unten beschrieben.

ISO 22301 Zertifizierung

Mendix ist zertifiziert konform mit ISO 22301 Standard. ISO 22301 ist ein wichtiger internationaler Standard für das Business Continuity Management, der Organisationen dabei helfen soll, unerwartete und störende Vorfälle zu verhindern, sich darauf vorzubereiten, darauf zu reagieren und sich davon zu erholen.

ISO/IEC 27001-Zertifizierung

Mendix ist zertifiziert für die Einhaltung der ISO / IEC 27001 Standard mit allen Kontrollen aus Anhang A im Geltungsbereich. ISO/IEC 27001:2022 ist ein wichtiger internationaler Standard für das Sicherheitsmanagement, der Best Practices für das Sicherheitsmanagement und umfassende Sicherheitskontrollen festlegt.

ISO/IEC 27017-Zertifizierung

Mendix ist zertifiziert für die Einhaltung der ISO / IEC 27017 Standard mit allen Kontrollen des Anhangs A im Geltungsbereich. ISO/IEC 27017 ist ein wichtiger internationaler Standard für einen Verhaltenskodex für Informationssicherheitskontrollen für Cloud-Dienste.

ISO/IEC 27018-Zertifizierung

Mendix ist zertifiziert für die Einhaltung der ISO / IEC 27018 Standard mit allen Kontrollen aus Anhang A im Geltungsbereich. ISO/IEC 27018 ist ein wichtiger internationaler Standard für einen Verhaltenskodex zum Schutz personenbezogener Daten (PII) in öffentlichen Clouds, die als PII-Verarbeiter fungieren.

ISO 27701 Zertifizierung

Mendix ist zertifiziert konform mit ISO / IEC 27701 Standard mit allen Kontrollen aus Anhang A und Anhang B im Geltungsbereich. ISO/IEC 27701 ist ein wichtiger internationaler Standard für das Datenschutzmanagement, der datenschutzbezogene Anforderungen festlegt und Leitlinien für PII-Controller und PII-Prozessoren bereitstellt, die für die PII-Verarbeitung verantwortlich und rechenschaftspflichtig sind

ISO 9001 Zertifizierung

Mendix ist zertifiziert konform mit ISO 9001 Standard. ISO 9001 ist ein wichtiger internationaler Standard für Qualitätsmanagement, der auf einer Reihe von Qualitätsmanagementprinzipien basiert, darunter eine starke Kundenorientierung, die Motivation und Einbindung des oberen Managements, der prozessorientierte Ansatz und kontinuierliche Verbesserung.

NEN 7510 Zertifizierung

Mendix ist zertifiziert für die Einhaltung der NEN 7510 Standard mit allen Kontrollen des Anhangs A im Umfang. NEN 7510 ist eine niederländische Gesundheitszertifizierung, die einen auf den Normen ISO/IEC 27001:2022 und ISO/IEC 27002 basierenden Rahmen zum Schutz von Gesundheitsorganisationen und ihren Verarbeitern bietet.

ISAE 3000 Typ II und ISAE 3402 Typ II Assurance-Berichte

ISAE3000 und ISAE3402 sind internationale Sicherheitsstandards für Kontrollen in einer Serviceorganisation. Mendix verfügt über einen ISAE 3000 Typ II und einen ISAE 3402 Typ II Bericht, der offenlegt, wie Mendix Sicherheitskontrollen wurden im vergangenen Jahr durchgeführt.

SOC 1 Typ II und SOC 2 Typ II Assurance-Berichte

SOC 1 und SOC 2 sind amerikanische Sicherheitsstandards für Kontrollen in einer Dienstleistungsorganisation. Mendix verfügt über einen SOC 1 Typ II-Bericht und einen SOC 2 Typ II-Bericht, in denen dargelegt wird, wie Mendix Sicherheitskontrollen wurden im vergangenen Jahr durchgeführt.

PCI DSS V4 Level 1-Konformitätsbescheinigung für Dienstanbieter

Mendix ist zertifiziert für die Einhaltung der PCI DSS Standard als Service Provider der Stufe 1, die höchste Zertifizierung, die ein PCI DSS-Service Provider erhalten kann.

HIPAA/HITECH

Mendix ist konform mit HIPAA/HITECH. Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) verpflichtete den Minister des US-Gesundheitsministeriums (HHS), Vorschriften zum Schutz der Privatsphäre und Sicherheit bestimmter Gesundheitsinformationen zu erarbeiten.

Cyber ​​Essentials (Großbritannien)

Mendix ist zertifiziert konform mit Cyber-Grundlagen. Das Cyber ​​Essentials-Programm befasst sich mit den häufigsten internetbasierten Bedrohungen der Cybersicherheit. Weitere Einzelheiten finden Sie unter Weitere Informationen zum Programm.

CSA STAR-Zertifizierung

Der CAIQ ist eine standardisierte Bewertung, die von der Cloud Security Alliance (CSA) entwickelt wurde, um die Sicherheitskontrollen eines Cloud-Service-Providers (CSP) auf der Grundlage von Best Practices zu bewerten, die auf die
CSA-Sicherheitsleitfaden für Cloud Computing. MendixDie Registrierung finden Sie auf der CSA STAR-Register, ein öffentlich zugängliches Register, in dem CSPs ihre Selbsteinschätzungen veröffentlichen können, um Transparenz und die Einhaltung bewährter Branchenpraktiken nachzuweisen.

FSQS und FSQS-NL

Mendix ist zertifiziert konform mit FSQS. Das Financial Services Qualification System (FSQS) ist eine Gemeinschaft von Finanzinstituten, darunter Banken, Bausparkassen, Versicherungsgesellschaften und Investmentdienstleister, die zusammenarbeiten, um sich auf einen einzigen Standard für die Verwaltung der zunehmenden Komplexität von Informationen Dritter und Vierter zu einigen, die zum Nachweis der Einhaltung von Vorschriften, Richtlinien und Governance-Kontrollen erforderlich sind.

ENS

Mendix is Esquema Nacional de Seguridad (ENS) Hoch zertifiziert. Diese Zertifizierung legt Sicherheitsstandards fest, die für alle Regierungsbehörden und öffentlichen Organisationen in Spanien sowie für Dienstleister gelten, von denen die öffentlichen Dienste abhängig sind. Das ENS-Akkreditierungssystem wurde vom Finanz- und öffentlichen Verwaltungsministerium und dem Nationalen Kryptologiezentrum (CCN) entwickelt. Es besteht aus Grundprinzipien und Mindestanforderungen, die für einen angemessenen Schutz von Informationen erforderlich sind. Um die ENS-Hochzertifizierung zu erhalten, Mendix wurde erfolgreich von einem akkreditierten, unabhängigen Gutachter auditiert.

FedRAMP®-autorisiert

Mendix Cloud for Government ist FedRAMP®-autorisiert und ermöglicht US-Bundesbehörden die schnelle und skalierbare Entwicklung und Bereitstellung sicherer, moderner Anwendungen. Die Umgebung wird sicher auf AWS GovCloud (US) gehostet und betrieben von Siemens Government Technologies (SGT) gewährleistet die Einhaltung strenger Sicherheits- und Betriebsstandards der Regierung.

NIS2 QM30

Mendix ist zertifiziert nach NIS2 QM30, der höchsten Stufe des NIS2-Qualitätssiegels. Dieses System entspricht der NIS2-Richtlinie der EU und bietet eine strukturierte Möglichkeit, die Konformität nachzuweisen. Die QM30-Zertifizierung stellt die strengste Stufe dar, die für Unternehmen erforderlich ist, die direkt unter NIS2 reguliert sind. Sie gewährleistet eine robuste Governance, ein robustes Risikomanagement und eine robuste Cybersicherheit entlang der gesamten Lieferkette.

C5 Typ II-Zertifizierung

Mendix verfügt über den ISAE 3000 Typ II-Bericht, der das C5-Framework (Cloud Computing Compliance Controls Catalogue) abdeckt. Dieser vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Testbericht definiert Mindestsicherheitsanforderungen für Cloud-Dienstanbieter. C5 Typ II umfasst eine unabhängige Prüfung der implementierten Kontrollen über einen definierten Zeitraum, um sicherzustellen, dass die Sicherheitsmaßnahmen wirksam sind und konsequent angewendet werden.

FIPS-Konformität

Mendix unterstützt die Einhaltung der Vorschriften durch unsere privaten Angebote. Darüber hinaus Mendix Studio Pro und die Mendix Die Laufzeit kann FIPS-kompatibel gemacht werden.
FIPS (Federal Information Processing Standard) ist ein Standard des US-amerikanischen National Institute of Science and Technology (NIST), der Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. Dadurch wird sichergestellt, dass Mendix erfüllt strenge Bundesstandards für Datenverschlüsselung und kryptografische Vorgänge.

Wie oft tut Mendix Risikobewertungen durchführen?

Wie von der gefordert Mendix Im Rahmen der ISO/IEC 27001:2022-Zertifizierung werden Risikobewertungen jährlich, bei signifikanten Änderungen und proaktiv auf wiederkehrender Basis durchgeführt. Die Mendix Das Risikomanagementprogramm folgt einem strukturierten Ansatz, der sich an den NIST-Risikomanagementrahmen (RMF), indem wir Informationssicherheitsrisiken systematisch bewerten, indem wir relevante Bedrohungen, Schwachstellen und potenzielle Auswirkungen identifizieren. Dies gewährleistet einen proaktiven und wiederholbaren Prozess für das Risikomanagement im gesamten Unternehmen.

Welche Art von Sicherheitstests werden durchgeführt auf dem Mendix Plattform?

Unabhängige Wirtschaftsprüfungsgesellschaften führen regelmäßig Sicherheitsprüfungen durch Mendix, die durch unser ISO/IEC 27001-, ISO/IEC 27017-, 27018- und NEN 7510-Zertifikat, die PCI DSS Level 1 Service Provider-Konformitätsbescheinigung, den ISAE 3000 Typ II-Bescheinigungsbericht, den ISAE 3402 Typ II-Bescheinigungsbericht, den SOC 1 Typ II-Bescheinigungsbericht und den SOC 2 Typ II-Bescheinigungsbericht gemeldet werden.

Darüber hinaus führen auf offensive Sicherheit spezialisierte Unternehmen Penetrationstests auf Mendix Plattform mindestens monatlich. Diese Penetrationstests basieren auf dem Open Web Application Security Project (OWASP), dem Information Systems Security Assessment Framework (ISSAF) und dem Open Source Security Testing Methodology Manual (OSSTMM).

Mendix unterhält ein umfassendes Programm zum Schwachstellenmanagement, um die fortlaufende Sicherheit der Mendix Plattform. Vor jeder Veröffentlichung wird die Plattform strengen Sicherheitstests unterzogen – darunter Static Application Security Testing (SAST) und Software Composition Analysis (SCA) – um Schwachstellen sowohl im benutzerdefinierten Code als auch in Komponenten von Drittanbietern zu erkennen.

In der Produktion überwachen wir die Plattform kontinuierlich mit verschiedenen Methoden wie Schwachstellen-Scanning-Tools, einem verantwortungsvollen Offenlegungs- und Bug-Bounty-Programm sowie Threat Intelligence Feeds. Weitere Informationen finden Sie unter Cloud-Sicherheit.

Was Security Controls tut Mendix für seine Mitarbeiter eingerichtet haben?

Alle Mendix Mitarbeiter müssen eine staatlich zertifizierte Zuverlässigkeitsüberprüfung (Führungszeugnis) vorlegen und unterliegen strengen Geheimhaltungspflichten, die in einer Vertraulichkeitsvereinbarung verankert sind. Darüber hinaus Mendix hat für alle Mitarbeiter ein obligatorisches Sicherheitsbewusstseinsprogramm eingeführt, das relevante Themen im Zusammenhang mit ihren Verantwortlichkeiten abdeckt. Mendix Das Sicherheits- und Datenschutzpersonal verfügt über branchenübliche Zertifizierungen, insbesondere CISSP, CCSP, CIPP/E, CDPSE und CISM.

Wie schneidet Mendix Kunden dabei helfen, gesetzliche Anforderungen zu erfüllen?

Mendix bietet eine Plattform, die Kunden bei der Erfüllung einer Vielzahl von regulatorischen und Compliance-Verpflichtungen branchenübergreifend unterstützt. Durch die Kombination integrierter Sicherheitskontrollen, Audit-Protokollierung, Unterstützung elektronischer Signaturen und Rückverfolgbarkeitsfunktionen Mendix ermöglicht Unternehmen die Entwicklung von Anwendungen, die mit Frameworks wie DORA, PCI DSS, HIPAA und GxP konform sind. Die Plattform unterstützt konfigurierbare Zugriffskontrollen, Datenschutzmechanismen und Validierungsunterstützung, um Kunden dabei zu unterstützen, sowohl interne Richtlinien als auch externe regulatorische Standards zu erfüllen. Ob im Einsatz in der Mendix Ob in der Cloud oder in einer regulierten On-Premises-Umgebung, Kunden behalten die Kontrolle über ihre Compliance-Verantwortlichkeiten im Rahmen eines Modells der geteilten Verantwortung und nutzen gleichzeitig MendixDie unabhängig geprüfte Infrastruktur und Prozesse von bilden die sichere Grundlage.

Wie schneidet Mendix Sicherheitsvorfälle bewältigen?

Mendix hat einen strukturierten und proaktiven Ansatz für das Sicherheitsvorfallmanagement etabliert, um die rechtzeitige Erkennung, Reaktion und Lösung potenzieller Bedrohungen zu gewährleisten. Sicherheitsvorfälle werden durch einen formalen Vorfallreaktionsprozess gemäß ISO/IEC 27001 und Mendix einheitlichen Kontrollrahmen. Dieser Prozess beinhaltet die kontinuierliche Überwachung von Mendix Cloud-Umgebungen, Erkennung, schnelle Sichtung und Klassifizierung von Vorfällen sowie Eindämmung, Ursachenanalyse und Behebung.

Kunden werden gemäß den vertraglichen Verpflichtungen und gesetzlichen Anforderungen benachrichtigt, gegebenenfalls einschließlich der Fristen für die Benachrichtigung über Datenschutzverletzungen. Mendix führt außerdem Nachuntersuchungen nach Vorfällen durch, um die Kontrollen zu verbessern und Wiederholungen zu verhindern.

Bei On-Premise- oder Private-Cloud-Bereitstellungen sind die Organisationen für die Implementierung ihrer eigenen Verfahren zur Reaktion auf Vorfälle verantwortlich, obwohl Mendix bietet bei Bedarf Anleitung und Unterstützung. Dieser strukturierte Ansatz gewährleistet Transparenz, Verantwortlichkeit und kontinuierliche Verbesserung bei der Bewältigung von Sicherheitsereignissen.

Wählen Sie Ihre Sprache