거버넌스, 위험 및 규정 준수
정보 보안은 어떻게 구성되어 있습니까? Mendix?
Mendix ISO/IEC 27001 표준에 따라 정보보안 관리체계(ISMS)를 구축했습니다. 국제적으로 인정받는 이 프레임워크는 ISMS의 수립, 구현, 유지 관리 및 지속적인 개선을 포괄하는 포괄적인 보안 프로그램의 기반을 제공합니다. 또한, Mendix ISO/IEC 27017을 준수하며, 이는 이러한 통제를 클라우드 특화 보안 관행으로 확장하여 클라우드 서비스 고객과 공급업체에 대한 강화된 보안을 보장합니다. 이러한 표준들은 Mendix강력하고 클라우드를 인식하는 정보 보안 거버넌스에 대한 의 약속입니다.
어떤 제3자 보안 인증 및 보증 보고서가 있습니까? Mendix 있다?
Mendix 다양한 제3자 보안 인증 및 보증 보고서를 준수합니다. 이는 아래에 설명되어 있습니다.
ISO 22301 인증
Mendix 준수하도록 인증되었습니다. ISO 22301 표준. ISO 22301은 조직이 예상치 못하고 파괴적인 사고를 예방하고, 대비하고, 대응하고, 복구하는 데 도움을 주기 위해 설계된 비즈니스 연속성 관리를 위한 주요 국제 표준입니다.
ISO/IEC 27001 인증
Mendix 준수하도록 인증되었습니다. ISO / IEC 27001는 모든 Annex A 통제가 범위에 포함된 표준. ISO/IEC 27001:2022는 보안 관리 모범 사례와 포괄적인 보안 통제를 명시하는 보안 관리를 위한 주요 국제 표준입니다.
ISO/IEC 27017 인증
Mendix 준수하도록 인증되었습니다. ISO / IEC 27017는 모든 부록 A 통제가 포함된 표준입니다. ISO/IEC 27017은 클라우드 서비스의 정보 보안 통제를 위한 실무 규정을 규정하는 주요 국제 표준입니다.
ISO/IEC 27018 인증
Mendix 준수하도록 인증되었습니다. ISO / IEC 27018는 범위 내에 모든 부록 A 통제가 포함된 표준. ISO/IEC 27018은 PII 프로세서 역할을 하는 퍼블릭 클라우드에서 개인 식별 정보(PII)를 보호하기 위한 실무 규범에 대한 주요 국제 표준입니다.
ISO 27701 인증
Mendix 준수하도록 인증되었습니다. ISO / IEC 27701는 모든 부록 A 및 부록 B 통제가 적용되는 표준입니다. ISO/IEC 27701은 개인정보 보호 관련 요건을 명시하고 PII 처리에 대한 책임과 의무를 지는 PII 관리자와 PII 처리자에게 지침을 제공하는 개인정보 보호 관리를 위한 주요 국제 표준입니다.
ISO 9001 인증
Mendix 준수하도록 인증되었습니다. ISO 9001 표준. ISO 9001은 강력한 고객 중심, 최고 경영진의 동기 부여 및 영향, 프로세스 접근 방식 및 지속적인 개선을 포함한 여러 품질 관리 원칙을 기반으로 하는 품질 관리를 위한 주요 국제 표준입니다.
NEN 7510 인증
Mendix 준수하도록 인증되었습니다. 넨 7510 범위에 모든 Annex A 통제가 포함된 표준. NEN 7510은 ISO/IEC 27001:2022 및 ISO/IEC 27002 표준을 기반으로 의료 기관과 그 처리업체를 보호하기 위한 프레임워크를 제공하는 네덜란드 의료 인증입니다.
ISAE 3000 Type II 및 ISAE 3402 Type II 보증 보고서
이사에 3000 이사에 3402 서비스 조직의 통제에 대한 국제적인 보증 표준입니다. Mendix ISAE 3000 Type II 및 ISAE 3402 Type II 보고서를 보유하고 있으며 여기에는 다음이 공개됩니다. Mendix 지난 1년 동안 보안 통제가 관리되었습니다.
SOC 1 유형 II 및 SOC 2 유형 II 보증 보고서
SOC 1 SOC 2 서비스 조직의 통제에 대한 미국의 보증 표준입니다. Mendix SOC 1 유형 II 보고서와 SOC 2 유형 II 보고서를 보유하고 있으며 이를 통해 다음 사항을 공개합니다. Mendix 지난 1년 동안 보안 통제가 관리되었습니다.
PCI DSS V4 레벨 1 서비스 공급자 준수 증명
Mendix 준수하도록 인증되었습니다. PCI DSS PCI DSS 서비스 제공업체가 받을 수 있는 가장 높은 인증인 레벨 1 서비스 제공업체 표준을 충족합니다.
HIPAA/HITECH
Mendix 준수가 입증됨 HIPAA/HITECH. 1996년 건강보험 양도성 및 책임법(HIPAA)은 미국 보건복지부(HHS) 장관에게 특정 건강 정보의 프라이버시와 보안을 보호하는 규정을 개발하도록 요구했습니다.
사이버 에센셜(영국)
Mendix 준수하도록 인증되었습니다. 사이버 필수. Cyber Essentials 계획은 사이버 보안에 대한 가장 일반적인 인터넷 기반 위협을 다룹니다. 자세한 내용은 다음을 참조하세요. 추가 계획 정보.
CSA STAR 인증
CAIQ는 클라우드 보안 연합(CSA)이 개발한 표준화된 평가로, 모범 사례를 기반으로 클라우드 서비스 제공업체(CSP)의 보안 제어를 평가하기 위해 개발되었습니다.
클라우드 컴퓨팅을 위한 CSA 보안 지침. Mendix' 등록은 다음에서 찾을 수 있습니다. CSA STAR 레지스트리CSP가 자체 평가를 게시하여 투명성과 업계 모범 사례 준수를 입증할 수 있는 공개적으로 접근 가능한 레지스트리입니다.
FSQS 및 FSQS-NL
Mendix 준수하도록 인증되었습니다. FSQS. 금융 서비스 자격 시스템(FSQS)은 은행, 건축 조합, 보험 회사 및 투자 서비스를 포함한 금융 기관의 커뮤니티로, 규제 기관, 정책 및 거버넌스 통제 준수를 입증하는 데 필요한 제3자 및 제4자 정보의 증가하는 복잡성을 관리하기 위한 단일 표준에 동의하기 위해 협력하고 있습니다.
ENS
Mendix is Esquema Nacional de Seguridad(ENS) 높은 인증. 이 인증은 스페인의 모든 정부 기관 및 공공 기관과 공공 서비스가 의존하는 서비스 제공자에게 적용되는 보안 표준을 수립합니다. ENS 인증 제도는 재무부와 공공 행정부와 국가 암호 센터(CCN)에서 개발했습니다. 이는 정보를 적절하게 보호하는 데 필요한 기본 원칙과 최소 요구 사항으로 구성되어 있습니다. ENS 높은 인증을 받으려면 Mendix 공인된 독립 평가자에 의해 성공적으로 감사를 받았습니다.
FedRAMP® 인증
Mendix Cloud for Government는 FedRAMP® 인증을 받았으며, 미국 연방 기관이 안전하고 현대적인 애플리케이션을 신속하고 대규모로 개발하고 배포할 수 있도록 지원합니다. 이 환경은 AWS GovCloud(미국)에서 안전하게 호스팅되며 다음에서 운영합니다. Siemens 정부 기술(SGT)은 엄격한 정부 보안 및 운영 표준을 준수합니다.
NIS2 QM30
Mendix NIS2 품질 마크의 최고 수준인 NIS2 QM30을 준수하는 것으로 인증되었습니다. 이 제도는 EU의 NIS2 지침과 일치하며, 규정 준수를 입증하는 체계적인 방법을 제공합니다. QM30 인증은 NIS2의 직접적인 규제를 받는 기관에 요구되는 가장 엄격한 수준을 나타내며, 공급망 전반에 걸쳐 강력한 거버넌스, 위험 관리 및 사이버 보안 복원력을 보장합니다.
C5 유형 II 인증
Mendix ISAE 3000 Type II 보고서는 C5(클라우드 컴퓨팅 규정 준수 통제 카탈로그) 프레임워크를 포괄합니다. 독일 연방정보보안청(BSI)에서 개발한 이 인증 보고서는 클라우드 서비스 제공업체에 대한 최소 보안 요건을 정의합니다. C5 Type II에는 보안 조치가 효과적이고 일관되게 적용되도록 하기 위해 정해진 기간 동안 구현된 통제에 대한 독립적인 감사가 포함됩니다.
FIPS 준수
Mendix 당사의 비공개 서비스를 통해 규정 준수를 지원합니다. 또한, Mendix Studio Pro와 Mendix 런타임을 FIPS 규격에 맞게 만들 수 있습니다.
FIPS(연방 정보 처리 표준)는 민감한 정보를 보호하는 암호화 모듈에 대한 보안 요구 사항을 명시하는 미국 국립과학기술원(NIST) 표준입니다. 이를 통해 Mendix 데이터 암호화 및 암호화 작업에 대한 엄격한 연방 표준을 충족합니다.
얼마나 자주 Mendix 위험 평가를 수행하시겠습니까?
요구에 따라 Mendix ISO/IEC 27001:2022 인증의 경우, 위험 평가는 매년, 중대한 변경 사항이 발생할 때마다 그리고 사전에 반복적으로 수행됩니다. Mendix 위험 관리 프로그램은 다음과 같은 체계적인 접근 방식을 따릅니다. NIST 위험 관리 프레임워크(RMF)관련 위협, 취약성 및 잠재적 영향을 파악하여 정보 보안 위험을 체계적으로 평가합니다. 이를 통해 조직 전체의 위험 관리를 위한 선제적이고 반복 가능한 프로세스를 보장합니다.
어떤 종류의 보안 테스트가 수행됩니까? Mendix 플랫폼?
독립 감사 회사는 주기적으로 보안 감사를 수행합니다. MendixISO/IEC 27001, ISO/IEC 27017, 27018 및 NEN 7510 인증서, PCI DSS 레벨 1 서비스 공급자 규정 준수 증명, ISAE 3000 유형 II 증명 보고서, ISAE 3402 유형 II 증명 보고서, SOC 1 유형 II 증명 보고서 및 SOC 2 유형 II 증명 보고서를 통해 보고됩니다.
또한 공격적 보안을 전문으로 하는 회사들은 침투 테스트를 실시합니다. Mendix 최소 월 1회 플랫폼에서 실시합니다. 이러한 침투 테스트는 OWASP(Open Web Application Security Project), ISSAF(Information Systems Security Assessment Framework), OSSTMM(Open Source Security Testing Methodology Manual)을 기반으로 합니다.
Mendix 지속적인 보안을 보장하기 위해 포괄적인 취약성 관리 프로그램을 유지합니다. Mendix 플랫폼. 각 출시 전에 플랫폼은 정적 애플리케이션 보안 테스트(SAST) 및 소프트웨어 구성 분석(SCA)을 포함한 엄격한 보안 테스트를 거쳐 사용자 지정 코드와 타사 구성 요소의 취약점을 탐지합니다.
운영 단계에서는 취약점 스캐닝 도구, 책임 있는 정보 공개 및 버그 바운티 프로그램, 위협 인텔리전스 피드 등 다양한 방법을 활용하여 플랫폼을 지속적으로 모니터링합니다. 자세한 내용은 다음을 참조하세요. 클라우드 보안.
보안 제어의 기능 Mendix 직원들을 위해 어떤 제도를 도입했나요?
전부의 Mendix 직원은 정부 인증 배경 조사(양행 증명서)를 제공해야 하며 기밀 유지 계약에 포함된 엄격한 기밀 유지 의무를 준수해야 합니다. 또한, Mendix 모든 직원을 대상으로 해당 책임과 관련된 주제를 다루는 필수 보안 인식 프로그램을 시행했습니다. Mendix 보안 및 개인정보 보호 직원은 CISSP, CCSP, CIPP/E, CDPSE, CISM을 포함하되 이에 국한되지 않는 업계 표준 자격증을 보유하고 있습니다.
어떻게합니까 Mendix 고객이 규제 요건을 충족하도록 도와주세요.
Mendix 고객이 다양한 산업 분야의 광범위한 규제 및 규정 준수 의무를 충족할 수 있도록 지원하는 플랫폼을 제공합니다. 내장된 보안 제어, 감사 로깅, 전자 서명 지원 및 추적 기능을 결합하여 Mendix 조직이 DORA, PCI DSS, HIPAA, GxP 등의 프레임워크에 부합하는 애플리케이션을 구축할 수 있도록 지원합니다. 이 플랫폼은 구성 가능한 액세스 제어, 데이터 보호 메커니즘, 검증 지원을 제공하여 고객이 내부 정책과 외부 규제 표준을 모두 충족할 수 있도록 지원합니다. Mendix 클라우드 또는 규제된 온프레미스 환경에서 고객은 공유 책임 모델 내에서 규정 준수 책임에 대한 통제권을 유지하면서 다음을 활용합니다. Mendix독립적으로 감사된 인프라와 프로세스를 안전한 기반으로 사용합니다.
어떻게합니까 Mendix 보안 사고를 처리하시나요?
Mendix 잠재적 위협을 적시에 탐지, 대응 및 해결하기 위해 체계적이고 선제적인 보안 사고 관리 방식을 구축했습니다. 보안 사고는 ISO/IEC 27001 및 Mendix 통합 제어 프레임워크. 이 프로세스에는 지속적인 모니터링이 포함됩니다. Mendix 클라우드 환경, 사고 감지, 신속한 분류 및 분류는 물론, 격리, 근본 원인 분석 및 수정.
고객은 계약 의무 및 규제 요구 사항(해당되는 경우 데이터 침해 알림 일정 포함)에 따라 알림을 받습니다. Mendix 또한 사고 후 검토를 수행하여 통제를 개선하고 재발을 방지합니다.
온프레미스 또는 프라이빗 클라우드 배포의 경우 조직은 자체 사고 대응 절차를 구현해야 합니다. Mendix 필요에 따라 지침과 지원을 제공합니다. 이러한 체계적인 접근 방식은 보안 이벤트 관리의 투명성, 책임성, 그리고 지속적인 개선을 보장합니다.