RELIANOID ISO/IEC 27034-Konformität

Zuletzt bewertet: Juli 2025
Nächste Überprüfung fällig: Juli 2026

Konformitätserklärung zu ISO/IEC 27034

Ausrichtung der Anwendungssicherheit für RELIANOID Load Balancer und organisatorische Praktiken

At RELIANOIDSicherheit ist in jeder Phase unseres Produkts und Betriebs integriert. Wir sind ziehen an einem Strang. mit den Prinzipien und Prozessen der ISO / IEC 27034 (Anwendungssicherheit), Integration von Sicherheitsanforderungen, Validierung und Governance über den gesamten Anwendungslebenszyklus der RELIANOID Lastenausgleicher und unsere unterstützenden Dienstleistungen.

Während RELIANOID ist nicht nach ISO/IEC 27034 zertifiziert, unsere Richtlinien, Kontrollen und technischen Maßnahmen sind auf seine Anwendungssicherheits-Managementprozess (ASMP) um Kunden in regulierten Sektoren – darunter Finanzen, Gesundheitswesen, Regierung und Unternehmen – dabei zu helfen, sichere Implementierungen zu erreichen. auf dem Gelände und Cloud Umgebungen.

Unternehmens- und Organisationskontext

  • Juristische Personen: RELIANOID LLC (New Mexico, USA) und RELIANOID SL (Spanien, EU)
  • Industrien, die bedient werden: Telekommunikation, Gesundheitswesen, öffentlicher Sektor, Finanzen u. a.
  • Schlüsselmärkte: USA und Europa, mit starkem Fokus auf der Einhaltung gesetzlicher Vorschriften
  • Governance: Die Einhaltung der Sicherheitsvorschriften wird von unserem CEO, CTO und COO zusammen mit dem Compliance-Team überwacht, um eine robuste Sicherheit auf Organisations- und Produktebene zu gewährleisten.

Umfang der Ausrichtung

Unsere Ausrichtung umfasst:

  • Plattform: RELIANOID Load Balancer (vor Ort, private/öffentliche Cloud, Hybrid)
  • Prozesse: Sichere Softwareentwicklung, Tests, Veröffentlichung, Bereitstellung und Support
  • Organisation: Sicherheits-Governance, Risikomanagement, Überwachung durch Dritte und Reaktion auf Vorfälle

Anwendungssicherheits-Governance (ASMP)

Wir wenden die Governance-Konzepte von ISO/IEC 27034 an, um eine konsistente und überprüfbare Anwendungssicherheit zu gewährleisten:

Richtlinien- und Risikomanagement

  • Dokumentierte Anwendungssicherheitsrichtlinien im internen Wiki mit automatischer Versionskontrolle gepflegt und nach jeder Veröffentlichung überprüft
  • Sicherheitsanforderungen werden über Probleme in unserem Gitea-Plattform, die von Kunden, internen Teams oder Pre-Sales-Anfragen gestellt werden
  • Lebenszyklus-Risikobewertungen durch Tests auf Funktions-, Integrations- und Plattformebene

Rollen, Verantwortlichkeiten und gemeinsame Verantwortung

  • Definierte Zuständigkeiten für Produkt, Entwicklung, Sicherheit und Betrieb
  • Transparent geteilte Verantwortung Anleitung für Kunden in Cloud- und On-Premise-Bereitstellungen
  • Nutzen Sie Open Source-Komponenten, die öffentliche Audits, Codeüberprüfungen und verbesserte Lieferkettensicherheit

Sicherer Entwicklungslebenszyklus (SSDLC)

RELIANOID integriert Sicherheit in Design, Build und Release:

  • Sichere Designprüfungen, Brainstorming und Bedrohungsmodellierung mit Fokus auf Verfügbarkeit, Skalierbarkeit und Benutzerfreundlichkeit
  • Automated SAST (perlkritische Skripte in CI/CD integriert), DAST (Online-Pentesting-Tools) und vierteljährliche Berichte mit Verbesserungen
  • Abhängigkeitsmanagement über offizielle GPG-Repositories, um die Authentizität der Software sicherzustellen
  • Einhaltung OWASP ASVS und CERT sichere Codierungsstandards
  • Dedizierte lokale, organisatorische und Vorproduktionsumgebungen, getrennt von der Produktion

Funktionale Sicherheitskontrollen

Die Plattform umfasst:

  • Zugangskontrolle: RBAC-, SSO-, LDAP- und Active Directory-Integrationen
  • Authentifizierung: MFA-Portale integriert mit RADIUS-, LDAP-, AD-, Google Captcha v2- und TOTP-Apps
  • Kryptographie: TLS v1.2 und v1.3, Verschlüsselung im Ruhezustand, vom Kunden verwaltete Schlüssel und standardmäßig starke SSL-Chiffren
  • Überprüfbarkeit: Protokollaufbewahrung für 7 Tage, mehrere Protokollebenen und SIEM-Integration
  • Sicherheitsmodule (IPDS): Blacklists/Whitelists (vorinstalliert, geolokalisiert und benutzerdefiniert), DNS-BL (RBL), DDoS-Schutz (Ratenbegrenzung, SYN/RST/TCP-Filter), Web Application Firewall (OWASP CRS und benutzerdefinierte Regeln)
  • Konfigurationssicherheit: Sichere Standardeinstellungen und Maßnahmen zur Erzielung geringstmöglicher Rechte sind von Grund auf integriert

Überprüfung und Prüfung der Anwendungssicherheit

  • Interne Penetrationstests durchgeführt zweimal pro Quartal
  • Externe Bewertungen durch unabhängige Tester unter RELIANOID's Aufsicht
  • SLA zur Behebung von Sicherheitslücken: Kritisch < 24h, Mittel < 7 Tage, Niedrig < 30 Tage
  • Derzeit ausgerichtet mit ISO/IEC 27001, SOC 2 und andere Sicherheitsstandards

Betriebssicherheit und Überwachung

  • Es folgt das Änderungs- und Releasemanagement 3-monatige Iterationszyklen (Community- und Enterprise-Editionen)
  • Reaktion auf Vorfälle über das Kundenportal → Gitea-Eskalation → Hotfix-Bereitstellung nach QA-Validierung
  • Die Überwachung umfasst externe Schwachstellen-Feeds, Zero-Day-Erkennung und interne Infrastrukturüberwachung
  • Sichere Bereitstellung und Außerbetriebnahme mit automatisierten Ansible-Workflows

Lebenszyklus und Außerbetriebnahme

  • Versionierte Releases mit ausführlichen Versionshinweisen und Migrationsleitfaden
  • Patch-Hinweise für Sicherheitsupdates
  • Automatisierte sichere Schlüsselverwaltung und Außerbetriebnahme

Kundenleitfaden für regulierte Umgebungen

Wir unterstützen Kunden mit:

  • Bereitstellung und Leitfäden zur Sicherheitshärtung für On-Premise- und Cloud-Plattformen
  • Unterstützung für Sicherheitsfragebögen und Bescheinigungen, die von unserem Compliance-Team verwaltet werden
  • SLA-gestützter Unternehmenssupport mit Techniker-Eskalation für dringende Fälle

Verpflichtung zur kontinuierlichen Verbesserung

RELIANOID verbessert kontinuierlich die Anwendungssicherheit durch:

  • Vierteljährliche Sicherheitsschulung für Entwickler und Mitarbeiter
  • Geplanter jährlicher Fahrplan für Plattform- und Infrastruktursicherheitsverbesserungen
  • Kontinuierliche vierteljährliche Sicherheitsberichte mit Verbesserungen und neuen Kontrollen
  • Progressive Ausrichtung an ISO/IEC 27001, 27017, 27018 und branchenspezifischen Rahmenwerken

Dokumentenprüfungen

DatumKommentar
31st Juli 2025Dokumentenerstellung
3rd September 2025Hinzugefügter Unternehmenskontext, ASMP-Details, SSDLC-Praktiken, erweiterte Sicherheitsfunktionen, Verifizierung/Test, Betriebssicherheit, Kundenberatung und kontinuierliche Verbesserung

Kontakt und Versicherung

Wir freuen uns über Anfragen nach detaillierter Sicherheitsdokumentation, Risikomatrizen oder Compliance-Offenlegungen.

Kontaktieren Sie unser Compliance- und Sicherheitsteam

Aktuellen Sicherheitsbericht herunterladen