RELIANOID ISO/IEC 27034-overholdelse

Sidst anmeldt: Juli 2025
Næste anmeldelse forfalder: Juli 2026

ISO/IEC 27034-overensstemmelseserklæring

Sikkerhedsjustering af applikationer for RELIANOID Load Balancer og organisatoriske praksisser

At RELIANOID, sikkerhed er indbygget i alle faser af vores produkt og drift. Vi er justeret med principperne og processerne for ISO / IEC 27034 (Applikationssikkerhed), der integrerer sikkerhedskrav, validering og styring på tværs af hele applikationens livscyklus RELIANOID Load Balancer og vores støttetjenester.

Mens RELIANOID ikke er certificeret i henhold til ISO/IEC 27034, er vores politikker, kontroller og tekniske foranstaltninger knyttet til dens Administrationsproces for applikationssikkerhed (ASMP) at hjælpe kunder i regulerede sektorer – herunder finans, sundhedsvæsen, regering og virksomheder – med at opnå sikre implementeringer gennem design på tværs af i det lokale miljø og cloud miljøer.

Virksomheds- og organisatorisk kontekst

• Juridiske enheder: RELIANOID LLC (New Mexico, USA) og RELIANOID SL (Spanien, EU)
• Industrier betjent: Telekommunikation, sundhedsvæsen, offentlig sektor, finans m.fl.
• Nøglemarkeder: USA og Europa, med stærkt fokus på overholdelse af lovgivningen
• Forvaltning: Sikkerhedsoverholdelse overvåges af vores administrerende direktør, tekniske direktør og driftsdirektør sammen med compliance-teamet for at sikre robust sikkerhed på organisations- og produktniveau.

Omfang af tilpasning

Vores tilpasning omfatter:

• Platform: RELIANOID Load Balancer (on-prem, privat/offentlig cloud, hybrid)
• Processer: Sikker softwareudvikling, testning, udgivelse, implementering og support
• Organisation: Sikkerhedsstyring, risikostyring, tredjepartstilsyn og hændelsesrespons

Administration af applikationssikkerhed (ASMP)

Vi anvender ISO/IEC 27034's governance-koncepter for at sikre ensartet og auditerbar applikationssikkerhed:

Politik og risikostyring

• dokumenteret applikationssikkerhedspolitikker vedligeholdes i intern wiki med automatisk versionskontrol og gennemgås efter hver udgivelse
• Sikkerhedskrav sporet via problemer i vores Gitea-platformen, rejst af kunder, interne teams eller anmodninger før salg
• Livscyklusrisikovurderinger gennem funktionel, integrations- og platformsniveautestning

Roller, ansvar og delt ansvar

• Defineret ejerskab på tværs af produkt, teknik, sikkerhed og drift
• Slet valg fælles ansvar Vejledning til kunder i cloud- og on-prem-implementeringer
• Udnyt open source-komponenter, der muliggør offentlige revisioner, kodegennemgange og forbedret sikkerhed i forsyningskæden

Sikker udviklingslivscyklus (SSDLC)

RELIANOID integrerer sikkerhed i design, byggeri og udgivelse:

• Anmeldelser af sikre designs, brainstorming og trusselsmodellering med fokus på tilgængelighed, skalerbarhed og brugervenlighed
• Automatiseret CEST (perlkritiske scripts integreret med CI/CD), DAST (online pentestværktøjer) og kvartalsrapporter med forbedringer
• Afhængighedsstyring via officielle GPG-lagre for at sikre softwareægthed
• Overholdelse OWASP ASVS og CERT sikre kodningsstandarder
• Dedikerede lokale, organisatoriske og præproduktionsmiljøer adskilt fra produktion

Sikkerhedsfunktionelle kontroller

Platformen inkluderer:

• Adgangskontrol: RBAC-, SSO-, LDAP- og Active Directory-integrationer
• Godkendelse: MFA-portaler integreret med RADIUS-, LDAP-, AD-, Google Captcha v2- og TOTP-apps
• Kryptografi: TLS v1.2 og v1.3, kryptering i hviletilstand, kundeadministrerede nøgler og stærke SSL-chiffere som standard
• Reviderbarhed: Logopbevaring i 7 dage, flere logniveauer og SIEM-integration
• Sikkerhedsmoduler (IPDS): Sortlister/hvidlister (forudindlæste, geolokaliserede og brugerdefinerede), DNS-BL (RBL), DDoS-beskyttelse (hastighedsbegrænsning, SYN/RST/TCP-filtre), webapplikationsfirewall (OWASP CRS og brugerdefinerede regler)
• Konfigurationssikkerhed: Sikre standarder og foranstaltninger med færrest rettigheder indlejret i designet

Verifikation og test af applikationssikkerhed

• Interne penetrationstest udført to gange per kvartal
• Eksterne vurderinger udført af uafhængige testere under RELIANOIDs tilsyn
• SLA for afhjælpning af sårbarheder: Kritisk < 24 timer, Mellem < 7 dage, Lav < 30 dage
• Lige nu i overensstemmelse med ISO/IEC 27001, SOC 2 og andre sikkerhedsstandarder

Operationel sikkerhed og overvågning

• Ændrings- og udgivelseshåndtering følger 3-måneders iterationscyklusser (Community- og Enterprise-udgaver)
• Hændelsesrespons via kundeportal → Gitea-eskalering → hotfix-implementering efter QA-validering
• Overvågning omfatter eksterne sårbarhedsfeeds, zero-day detection og intern infrastrukturovervågning
• Sikker klargøring og nedlukning med automatiseret Ansible-arbejdsgange

Livscyklus og nedlukning

• Versionsbaserede udgivelser med detaljerede udgivelsesnoter og migreringsvejledning
• Programrettelsesvejledninger til sikkerhedsopdateringer
• Automatiseret sikker nøglehåndtering og nedlukning

Kundevejledning til regulerede miljøer

Vi støtter kunder med:

• Implementering og Vejledninger til sikkerhedshærdning til on-prem og cloud-platforme
• Støtte til sikkerhedsspørgeskemaer og attester administreret af vores compliance-team
• SLA-understøttet virksomhedssupport med teknikereskalering i hastesager

Forpligtelse til løbende forbedringer

RELIANOID forbedrer løbende applikationssikkerheden gennem:

• Kvartalsvis sikkerhedstræning for udviklere og personale
• Planlagt årlig køreplan for forbedringer af platform- og infrastruktursikkerhed
• Løbende kvartalsvise sikkerhedsrapporter med forbedringer og nye kontroller
• Gradvis tilpasning til ISO/IEC 27001, 27017, 27018 og sektorspecifikke rammer

Dokumentanmeldelser

Kontakt og forsikring

Vi modtager gerne anmodninger om detaljeret sikkerhedsdokumentation, risikokortlægningsmatricer eller overholdelse af regler.

Kontakt vores Compliance & Security-team

Download den seneste sikkerhedsrapport