ガバナンス、リスク、およびコンプライアンス
情報セキュリティはどのように組織化されているか Mendix?
Mendix 当社は、ISO/IEC 27001規格に準拠した情報セキュリティマネジメントシステム(ISMS)を導入しています。この国際的に認められたフレームワークは、ISMSの確立、導入、維持、そして継続的な改善を網羅する包括的なセキュリティプログラムの基盤となります。さらに、 Mendix ISO/IEC 27017に準拠しており、クラウド固有のセキュリティプラクティスをこれらの管理策に拡張することで、クラウドサービスの顧客とプロバイダーの保護を強化しています。これらの標準は、 Mendix堅牢なクラウド対応の情報セキュリティガバナンスへの取り組み。
第三者によるセキュリティ認証と保証レポートは Mendix 持ってる?
Mendix さまざまなサードパーティのセキュリティ認証および保証レポートに準拠しています。これらについては以下で説明します。
ISO 22301認証
Mendix に準拠していることが認定されています ISO 22301 標準。ISO 22301 は、組織が予期しない中断を伴うインシデントを防止、準備、対応、回復できるように設計された、事業継続管理に関する重要な国際標準です。
ISO/IEC 27001認証
Mendix に準拠していることが認定されています ISO / IEC 27001 すべての Annex A 制御を対象範囲とする標準です。ISO/IEC 27001:2022 は、セキュリティ管理のベスト プラクティスと包括的なセキュリティ制御を規定する、セキュリティ管理に関する重要な国際標準です。
ISO/IEC 27017認証
Mendix に準拠していることが認定されています ISO / IEC 27017 すべての附属書Aのコントロールを対象とする標準です。ISO/IEC 27017は、クラウドサービスの情報セキュリティコントロールに関する実践規範の主要な国際規格です。
ISO/IEC 27018認証
Mendix に準拠していることが認定されています ISO / IEC 27018 すべての Annex A 制御を対象とする標準です。ISO/IEC 27018 は、PII プロセッサとして機能するパブリック クラウドにおける個人識別情報 (PII) の保護に関する実践規範の主要な国際標準です。
ISO 27701認証
Mendix に準拠していることが認定されています ISO / IEC 27701 すべての附属書Aおよび附属書Bのコントロールを対象とする標準。ISO/IEC 27701は、プライバシー管理に関する重要な国際規格であり、プライバシー関連の要件を規定し、PII処理の責任と説明責任を負うPII管理者とPII処理者のためのガイダンスを提供します。
ISO 9001認証
Mendix に準拠していることが認定されています ISO 9001 標準。ISO 9001 は、強力な顧客重視、トップマネジメントの動機付けと関与、プロセスアプローチ、継続的な改善など、いくつかの品質管理原則に基づいた品質管理の重要な国際標準です。
NEN 7510 認証
Mendix に準拠していることが認定されています ネン7510 すべての Annex A 制御を対象範囲とする標準です。NEN 7510 は、医療機関とその処理者を保護するために ISO/IEC 27001:2022 および ISO/IEC 27002 標準に基づくフレームワークを提供するオランダの医療認証です。
ISAE 3000 タイプ II および ISAE 3402 タイプ II 保証報告書
ISAE3000 および ISAE3402 サービス組織の管理に関する国際的な保証基準です。 Mendix ISAE 3000タイプIIおよびISAE 3402タイプIIレポートを保持しており、 Mendix セキュリティ管理は過去 1 年間にわたって管理されてきました。
SOC 1 タイプ II および SOC 2 タイプ II 保証レポート
SOC 1 および SOC 2 サービス組織の管理に関する米国の保証基準です。 Mendix SOC 1 Type IIレポートとSOC 2 Type IIレポートを保持しており、 Mendix セキュリティ管理は過去 1 年間にわたって管理されてきました。
PCI DSS V4 レベル 1 サービス プロバイダー準拠証明書
Mendix に準拠していることが認定されています PCI DSS PCI DSS サービス プロバイダーが取得できる最高レベルの認定であるレベル 1 サービス プロバイダーとして標準に準拠しています。
HIPAA/ハイテック
Mendix 準拠していることが証明されています HIPAA/ハイテック1996 年の医療保険の携行性と責任に関する法律 (HIPAA) により、米国保健福祉省 (HHS) 長官は、特定の医療情報のプライバシーとセキュリティを保護する規制を策定することが義務付けられました。
サイバーエッセンシャルズ(英国)
Mendix に準拠していることが認定されています サイバーエッセンシャルサイバーエッセンシャルスキームは、サイバーセキュリティに対する最も一般的なインターネットベースの脅威に対処します。詳細については、 制度に関する詳細情報.
CSASTAR認証
CAIQは、クラウドセキュリティアライアンス(CSA)が、クラウドサービスプロバイダ(CSP)のセキュリティ管理を、クラウドセキュリティアライアンスに準拠したベストプラクティスに基づいて評価するために開発した標準化された評価です。
クラウドコンピューティングに関するCSAセキュリティガイダンス. Mendix'登録については、 CSA STAR レジストリは、CSP が自己評価を公開して透明性と業界のベスト プラクティスへの準拠を実証できる、公開アクセス可能なレジストリです。
FSQS および FSQS-NL
Mendix に準拠していることが認定されています FSQS金融サービス資格システム (FSQS) は、銀行、住宅金融組合、保険会社、投資サービスなどの金融機関のコミュニティであり、規制、ポリシー、ガバナンス管理への準拠を証明するために必要な、ますます複雑化するサードパーティおよびフォースパーティ情報を管理するための単一の標準に合意するために協力しています。
ENS
Mendix is セグリダード国立エスケマ (ENS) 高度認証。この認証は、スペインのすべての政府機関と公的機関、および公共サービスが依存するサービスプロバイダーに適用されるセキュリティ基準を確立します。ENS 認定制度は、財務行政省と国立暗号センター (CCN) によって開発されました。これは、情報を適切に保護するために必要な基本原則と最小要件で構成されています。ENS 高度認証を取得するには、 Mendix 認定された独立評価者による監査に合格しました。
FedRAMP®認定
Mendix Cloud for GovernmentはFedRAMP®認定を受けており、米国連邦政府機関が安全で最新のアプリケーションを迅速かつ大規模に開発・導入することを可能にします。この環境はAWS GovCloud(米国)上で安全にホストされ、AWSによって運営されています。 Siemens 政府テクノロジー (SGT) は、厳格な政府のセキュリティおよび運用基準への準拠を保証します。
NIS2 QM30
Mendix NIS2品質マークの最高レベルであるNIS2 QM30の認証を取得しています。このスキームはEUのNIS2指令に準拠しており、コンプライアンスを体系的に証明する方法を提供します。QM30認証は、NIS2の直接規制対象となる事業体に求められる最も厳格なレベルであり、サプライチェーン全体にわたる堅牢なガバナンス、リスク管理、サイバーセキュリティのレジリエンスを確保します。
C5タイプII認証
Mendix C5(クラウドコンピューティングコンプライアンスコントロールカタログ)フレームワークを網羅したISAE 3000タイプIIレポートを保有しています。ドイツ連邦情報セキュリティ庁(BSI)が作成したこの認証レポートは、クラウドサービスプロバイダーに対する最低限のセキュリティ要件を定義しています。C5タイプIIには、セキュリティ対策が効果的かつ一貫して適用されていることを確認するために、規定期間にわたって実施されたコントロールに対する独立した監査が含まれています。
FIPS 準拠
Mendix プライベートオファーを通じてコンプライアンスをサポートします。さらに、 Mendix Studio Proと Mendix ランタイムを FIPS 準拠にすることができます。
FIPS(連邦情報処理標準)は、米国国立科学技術研究所(NIST)が策定した、機密情報を保護する暗号モジュールのセキュリティ要件を規定する標準規格です。これにより、 Mendix データ暗号化および暗号化操作に関する厳格な連邦基準を満たしています。
どのくらいの頻度で Mendix リスク評価を実行しますか?
必要に応じて Mendix ISO/IEC 27001:2022認証では、リスクアセスメントは毎年、重要な変更が発生したとき、そして定期的に実施されます。 Mendix リスク管理プログラムは、 NIST リスク管理フレームワーク (RMF)関連する脅威、脆弱性、潜在的な影響を特定することで、情報セキュリティリスクを体系的に評価します。これにより、組織全体のリスク管理のためのプロアクティブで反復可能なプロセスが確保されます。
どのようなセキュリティテストが実施されますか? Mendix プラットホーム?
独立した監査会社が定期的にセキュリティ監査を実施しています。 Mendixこれらは、当社の ISO/IEC 27001、ISO/IEC 27017、27018、および NEN 7510 証明書、PCI DSS レベル 1 サービス プロバイダー準拠証明書、ISAE 3000 タイプ II 証明書レポート、ISAE 3402 タイプ II 証明書レポート、SOC 1 タイプ II 証明書レポート、および SOC 2 タイプ II 証明書レポートを通じて報告されます。
さらに、攻撃的なセキュリティに特化した企業は、 Mendix プラットフォームのセキュリティを少なくとも毎月チェックします。これらの侵入テストは、オープンWebアプリケーションセキュリティプロジェクト(OWASP)、情報システムセキュリティ評価フレームワーク(ISSAF)、オープンソースセキュリティテスト方法論マニュアル(OSSTMM)に基づいています。
Mendix 包括的な脆弱性管理プログラムを維持し、継続的なセキュリティを確保します。 Mendix プラットフォーム。各リリースの前に、プラットフォームは静的アプリケーションセキュリティテスト(SAST)やソフトウェアコンポジション分析(SCA)などの厳格なセキュリティテストを受け、カスタムコードとサードパーティコンポーネントの両方の脆弱性を検出します。
本番環境では、脆弱性スキャンツール、責任ある情報開示とバグ報奨金プログラム、脅威インテリジェンスフィードなど、さまざまな方法を用いてプラットフォームを継続的に監視しています。詳細については、以下をご覧ください。 クラウドセキュリティ.
セキュリティコントロールとは Mendix 従業員向けにどのような制度を設けていますか?
All Mendix 従業員は政府認定の身元調査(善行証明書)を提出する必要があり、機密保持契約に定められた厳格な機密保持義務を負います。さらに、 Mendix 全従業員を対象に、各自の責任に関連するトピックを網羅した必須のセキュリティ意識向上プログラムを実施しています。 Mendix セキュリティおよびプライバシー スタッフは、CISSP、CCSP、CIPP/E、CDPSE、CISM などを含む業界標準の認定資格を保持しています。
どのように Mendix 顧客が規制要件を満たすのを支援しますか?
Mendix 幅広い業界における規制およびコンプライアンス義務の遵守を支援するために設計されたプラットフォームを提供します。組み込みのセキュリティ制御、監査ログ、電子署名サポート、トレーサビリティ機能を組み合わせることで、 Mendix DORA、PCI DSS、HIPAA、GxPなどのフレームワークに準拠したアプリケーションの構築を可能にします。このプラットフォームは、設定可能なアクセス制御、データ保護メカニズム、検証サポートをサポートし、お客様が社内ポリシーと外部規制基準の両方を満たすのに役立ちます。 Mendix クラウドまたは規制されたオンプレミス環境において、顧客は共有責任モデル内でコンプライアンス責任を管理しながら、 Mendix安全な基盤として、独立監査済みのインフラストラクチャとプロセスを採用しています。
どのように Mendix セキュリティインシデントを処理しますか?
Mendix 潜在的な脅威を迅速に検知、対応、解決するために、セキュリティインシデント管理に対する構造化されたプロアクティブなアプローチを確立しています。セキュリティインシデントは、ISO/IEC 27001に準拠した正式なインシデント対応プロセスを通じて管理され、 Mendix 統合管理フレームワーク。このプロセスには、継続的な監視が含まれます。 Mendix クラウド環境、インシデントの検出、迅速なトリアージ、分類、および封じ込め、根本原因分析、修復。
該当する場合はデータ侵害通知のタイムラインを含む、契約上の義務および規制要件に従って顧客に通知されます。 Mendix また、コントロールを改善し、再発を防ぐために、事後レビューも実施します。
オンプレミスまたはプライベートクラウドの導入では、組織は独自のインシデント対応手順を実施する責任がありますが、 Mendix 必要に応じてガイダンスとサポートを提供します。この構造化されたアプローチにより、セキュリティイベントの管理における透明性、説明責任、継続的な改善が確保されます。