Mendix 安全性组织和合规性 - 认证和标准 | Mendix 评估指南

Skip navigation

Organization & Compliance

在 Mendix 中如何组织信息安全?

Mendix 已依据 ISO/IEC 27001 标准实施了信息安全管理系统 (ISMS)。这一 ISO 标准的基础是对严格安全程序的开发和实施,其中包括 ISMS 的开发和实施并要求 Mendix 做到以下几个方面:

  • 考虑威胁和漏洞的影响,系统评估信息安全风险
  • 设计并实施一套全面的信息安全控制措施和其他形式的风险处理措施,以解决安全风险
  • 利用总体管理流程来确保信息安全控制措施不断满足我们的需求

Mendix 拥有哪些第三方安全认证和鉴证报告?

Mendix 符合各种第三方安全认证和鉴证报告。如下所述。

ISO/IEC 27001 认证

Mendix 经认证符合包括所有 Annex A 控制标准在内的 ISO/IEC 27001 认证要求。ISO/IEC 27001 是安全管理方面的一个重要国际标准,它指定了安全管理的最佳实践和全面的安全控制。

BSI Certificate of Registration

ISO/IEC 27017 认证

Mendix 经认证符合包括所有 Annex A 控制标准在内的 ISO/IEC 27017 认证要求。ISO/IEC 27017 是针对云服务信息安全控制实施规则的一个重要国际标准。

ISO/IEC 27018 认证

Mendix 经认证符合包括所有 Annex A 控制标准在内的 ISO/IEC 27018 认证要求。ISO/IEC 27018 是保护作为 PII 处理器的公有云中个人可识别信息 (PII) 实施规则的一个重要国际标准。

NEN 7510 认证

Mendix 经认证符合包括所有 Annex A 控制标准在内的 ISO/IEC 7510 认证要求。NEN 7510 是一项荷兰医疗保健认证,它提供基于 ISO/IEC 27001 和 ISO/IEC 27002 标准的框架,以保护医疗保健组织及其处理器。

ISAE 3000 Type II 和 ISAE 3402 Type II 鉴证报告

ISAE 3000ISAE 3402 是服务组织控制方面的国际鉴证标准。Mendix 拥有一份 ISAE 3000 Type II 和一份 ISAE 3402 Type II 报告,披露了过去一年 Mendix 安全控制的管理方式。

SOC 1 Type II、SOC 2 Type II 和 SOC 3 Type II 鉴证报告

SOC 1SOC 2SOC 3 是服务组织控制方面的美国鉴证标准。Mendix 拥有一份 SOC 1 Type II 报告、一份 SOC 2 Type II 报告和一份 SOC 3 Type II 报告,披露了过去一年 Mendix 安全控制的管理方式。

PCI DSS Level 1 服务提供商合规性证明

Mendix 经认证符合 PCI DSS Level 1 服务提供商标准,这是 PCI DSS 服务提供商可以获得的最高认证。

HIPAA

Mendix 经认证符合 HIPAA。1996 年的《健康保险流通与责任法案》(HIPAA) 要求健康与社会服务部 (HHS) 的部长制定保护特定健康信息的隐私和安全性法规。

Cyber Essentials(英国)

Mendix 经认证符合 Cyber Essentials。Cyber Essentials 计划解决了最常见的基于互联网的网络安全威胁。有关更多信息,请参见更多计划信息

CSA STAR 认证

CSA STAR 是针对云上安全保证的程序。STAR 由基于云控制目标综合列表的三个级别的保证组成。

Mendix 已完成了 CSA STAR 一级自我评估,可应客户要求提供。

FSQS 和 FSQS-NL

Mendix 经认证符合 FSQS。金融服务资格系统 (FSQS) 是包括银行、建房互助协会、保险公司和投资服务机构在内的金融机构群体,这一群体正在共同商定统一的标准来管理越来越复杂的第三方和第四方信息以用于展示对监管机构、政策和管理控制的合规情况。

Mendix 为员工配备了哪些安全性控制措施?

所有 Mendix 员工均需提供政府认证的背景调查(行为良好证明),并受保密协议中包含的严格保密义务的约束。此外,Mendix 还针对所有员工实施了一项安全意识计划。Mendix 的安全和隐私人员拥有行业标准认证,包括但不限于 CISSP、CCSP、CIPP/E、CDPSE 及 CISM。

Mendix 应用程序中数据的所有者是谁?

如 Mendix 主协议和最终用户协议所述,Mendix 客户拥有其 Mendix 应用程序的数据和知识产权。

有关更多信息,请参见无供应商锁定中的导出您的数据。

谁有权访问我的数据?

客户可以控制对其数据的所有访问。实施严格的管理控制措施,禁止 Mendix 人员访问客户数据,并且只有在获得客户的明确批准后才能进行授权访问。

Mendix 多久执行一次风险评估?

根据 Mendix ISO/IEC 27001 认证的要求,至少每年应进行一次风险评估,并在发生重大变化时也应进行风险评估。Mendix 风险计划综合考虑威胁、漏洞和影响来系统地检查信息安全风险。

合同终止后,Mendix 是否可以安全消除我的数据?

合同终止后,包括备份在内的所有适用的应用程序环境均会被安全销毁。

Mendix 是否有灾难恢复计划?

灾难恢复和业务连续性是 Mendix 安全框架的一部分。为确保灾难后可以恢复客户服务,Mendix 已经制定了灾难恢复程序。我们会每季度对这个程序进行一次测试。此外,Mendix 还提供灾难恢复服务,其中包括跨多个可用区的高可用性、应用程序环境的水平扩展以及意外中断情况下的自动恢复。

有关 Mendix Cloud 架构的更多信息,请参见云架构