RELIANOID ISO/IEC 15408 (fælles kriterier) overholdelse

Sidst anmeldt: September 2025
Næste anmeldelse forfalder: September 2026

ISO/IEC 15408-overensstemmelseserklæring

Fælles kriterier for sikkerhedsjustering til RELIANOID Load Balancer og Organisation

RELIANOID er i overensstemmelse med principperne for ISO / IEC 15408: 2022, Også kendt som Fælles kriterier for evaluering af informationsteknologisikkerhed (CC)Denne internationalt anerkendte standard muliggør struktureret evaluering af IT-produkters sikkerhedsegenskaber og er ofte påkrævet i forbindelse med offentlige indkøb og indkøb af kritisk infrastruktur.

Mens RELIANOID har ikke gennemgået formel certificering i henhold til Common Criteria, vores organisatoriske kontroller og load balancing platformarkitektur er stærkt afstemt med Principper for fælles kriterier for evalueringssikringsniveau (EAL), især i forbindelse med cloud- og on-prem-implementeringer i miljøer med høj sikkerhed.

Hvad er ISO / IEC 15408?

ISO/IEC 15408 giver et rammeværk til evaluering af IT-produktsikkerhed gennem:

• Funktionelle sikkerhedskrav (SFR'er) – de funktioner og den beskyttelse, et produkt tilbyder
• Krav til sikkerhedssikring (SAR'er) – beviser og processer, der viser, hvordan disse funktioner implementeres sikkert

Det er bredt anvendt af nationale cybersikkerhedsagenturer og regulerede sektorer såsom forsvar, energi, finans og offentlige indkøb.

Produktomfang og evalueringsmål (TOE)

TOE omfatter alle RELIANOID Virksomhedskomponenter:

• Komponenter: Hardwareapparater, softwareplatform og administrationsgrænseflader (web UI, CLI, API).
• LTS-livscyklus: Alle Enterprise-versioner har langtidssupport. Nuværende hovedversion: v8 (støttet indtil juni 2029).
• Operativ system: Debian bogorm.
• Implementeringsmodeller: Primært on-premises; understøttes også i cloud- og hybridmiljøer.
• Topologier: Selvstændig, klynget og dobbelttilstand med nødgendannelse (DR).

Organisatorisk tilpasning til fælles kriterier

RELIANOID følger centrale principper for sikring og livscyklus i ISO/IEC 15408 på tværs af vores interne udviklings-, implementerings- og driftspraksis.

Sikkerhedsmål og trusselsmodel

Vi opretholder en intern Sikkerhedsmålsdokument i overensstemmelse med Common Criteria-strukturen, der definerer:

• Beskyttede aktiver (f.eks. netværkstrafik, konfigurationer, legitimationsoplysninger)
• Adresserede trusler (f.eks. eskalering af privilegier, man-in-the-middle, uautoriseret adgang)
• Antagelser og miljømæssige overvejelser (f.eks. sikker netværksplacering)

Design- og udviklingskontroller

Vores sikre softwareudviklingslivscyklus (SSDLC) omfatter:

• Daglig automatiseret sikkerhedstestning (SAST, DAST)
• Sårbarhedsscanning af tredjepartsbiblioteker
• Formel ændringskontrol og versionsbaseret udgivelsesdokumentation
• Kodesignering og integritetstjek af udgivelser

Kortlægning af sikkerhedsfunktionelle krav (SFR)

RELIANOID Load Balancer implementerer et bredt sæt af SFR-ækvivalente kontroller, herunder:

• Identifikation og autentificering (FIA): Brugere godkender via adgangskoder, nøglepar eller SSO. API-adgang er pr. bruger med genererede tokens; alle grænseflader understøtter sikre godkendelsesflows.
• Adgangskontrol (AC/FMT/FDP): Rollebaseret adgangskontrol håndhæves på tværs af alle komponenter og grænseflader (web, CLI, API), inklusive kontroller pr. objekt på load-balancing-tjenester.
• Revision og ansvarlighed (FAU): Revisions- og systemlogfiler gemmes som standard i 7 dage og kan eksporteres eller integreres med SIEM-platforme.
• Kryptografisk understøttelse (FCS): Robust kryptografi med lange nøglelængder. TLS v1.2 eller højere som standard (TLS v1.3 foretrækkes). Ældre protokoller/chiffere er deaktiveret som standard og kan aktiveres manuelt om nødvendigt. Valgfrie FIPS 140-validerede moduler.
• Brugerdatabeskyttelse (FDP): Brugerdata gemmes kun, når det er nødvendigt, og er altid krypteret i hviletilstand (f.eks. brugere og adgangskoder).
• Sikkerhedsstyring (FMT): Root-brugeren fungerer som den primære administratorkonto. Yderligere brugere, grupper og tilladelser kan konfigureres via RBAC-modulet.
• Beskyttelse af TOE-sikkerhedsfunktioner (FPT): Sikker opstart, signerede kernemoduler og GPG-beskyttet adgang til arkivet er implementeret.
• Kommunikationsbeskyttelse (FTP/FTA): Al kommunikation er krypteret; sessionsstyring omfatter udløbs- og gengodkendelseskontroller.

Tilpasning af sikkerhedskrav (SAR)

• Design og dokumentation: Intern dokumentation (moduler, arkitekturdiagrammer) er tilgængelig i vores Vidensdatabase.
• Kodegennemgang og -scanning: Automatiseret og AI-assisteret kodescanning med peer manual reviews.
• Sårbarhedshåndtering: Ugentlige sårbarhedsscanninger, kvartalsrapporter og CVE-sporede patch-udgivelser offentliggjort i vores tidslinje.
• Uafhængig test: Eksterne pentests og scanninger på applikations-, netværks- og infrastrukturniveau.
• Formel testning: Daglige automatiserede sikkerhedstests med udvidet dækning i hver udgivelsescyklus.

Udviklings- og vedligeholdelsesprocesser

• SSDLC: Krav → Design → Implementering → Test → Validering → Løbende forbedring. Administreres med Git, Gitea og interne automatiseringsværktøjer.
• Ændrings- og konfigurationsstyring: Godkendelsesarbejdsgange, rollback-procedurer og dokumentation af ændringer, der er anvendt på tværs af miljøer.
• Udgivelsesstyring: Opdateringer pakkes, testes og distribueres sikkert. Der udføres præproduktionsvalidering før oprykning til produktionslagre.

Operationel sikkerhed

• Hændelsesrespons: Definerede eskalerings- og løsningsprocedurer med en gennemsnitlig svartid på ~2 minutter.
• Overvågning: Realtidsmålinger med integrerede systemer til indtrængningsdetektion/forebyggelse. Trusselsinformation deles med fællesskabs- og brancheplatforme.
• Backup og fjernbetjening: Ugentlige krypterede sikkerhedskopier med månedlig gendannelsestest.

Brug i regulerede og certificerede miljøer

Selvom det ikke er formelt certificeret, RELIANOID bakker op:

• Integration i systemer evalueret af Common Criteria
• Evalueringer af klientindkøb i EAL-fokuserede miljøer
• Struktureret dokumentation i overensstemmelse med nationale ordninger (f.eks. CCN-STIC, NIAP, BSI TR)

Sikringsforanstaltninger og beviser

For at understøtte Common Criteria-afstemte kvalitetssikringsmål tilbyder vi:

• Udgivelsesnoter med detaljerede ændringslogge
• Dokumentation af trusselsdrevet sikkerhedsdesign
• Arkiverede sårbarhedsscanninger og programrettelsesrapporter
• Sikre implementeringsvejledninger og tjeklister til hærdning

Organisatorisk tilpasning

• Sikkerhedsstyring: Sikkerhedscompliance-team ledet af CEO, CTO og COO, der sikrer sikker udvikling, processer og tilpasning af compliance.
• Sikkerhedstræning for medarbejdere: Kvartalsvise træningssessioner og løbende opmærksomhed på trusler i branchen.
• Interne sikkerhedsrevisioner: Kvartalsvise revisioner med sporing af afhjælpning. Rapporter er offentligt tilgængelige.
• Politikker: Offentliggjorte politikker, der dækker privatliv, hændelsesrespons, forretningskontinuitet, global dataseparation, tredjepartsrisiko, adgangskontrol, acceptabel brug og datahåndtering.

Understøttende bevis

• Seneste RELIANOID Sikkerhedsrapport: Bekræftet som den mest opdaterede version.
• Vidensbase: Opdaterede hvidbøger, datablade og arkitekturdiagrammer: Vidensdatabase.
• Kundeforsikringserklæringer: Offentliggjorte udtalelser for regulerede brancher, i overensstemmelse med udviklende cybersikkerhedsregler.

Forpligtelse til fælles kriterier

RELIANOID er forpligtet til:

• Tilpasning af ny funktionsudvikling med Common Criteria-designmetoden
• Støtte til kundeledede evalueringsindsatser
• Opretholdelse af et trusselsbevidst og sikkert udviklingsmiljø
• Sikring af gennemsigtighed og integritet gennem hele produktets livscyklus

Dokumentanmeldelser

Kontakt og forsikring

Vi modtager gerne anmodninger om tekniske evalueringsmaterialer, resuméer af sikkerhedsmål eller støtte til indkøbsprojekter under Common Criteria.

Kontakt vores Compliance & Security-team

Download den seneste sikkerhedsrapport