RELIANOID Kepatuhan ISO/IEC 15408 (Kriteria Umum)

Terakhir Ditinjau: September 2025
Ulasan Berikutnya Jatuh Tempo: September 2026

Pernyataan Kepatuhan ISO/IEC 15408

Penyelarasan Keamanan Kriteria Umum untuk RELIANOID Penyeimbang Beban dan Organisasi

RELIANOID selaras dengan prinsip-prinsip ISO / IEC 15408: 2022, juga dikenal sebagai Kriteria Umum untuk Evaluasi Keamanan Teknologi Informasi (CC)Standar yang diakui secara internasional ini memungkinkan evaluasi terstruktur terhadap properti keamanan produk TI dan sering kali diwajibkan dalam pengadaan pemerintah dan infrastruktur penting.

Sementara RELIANOID belum menjalani sertifikasi formal berdasarkan Kriteria Umum, kontrol organisasi ke arsitektur platform penyeimbangan beban sangat selaras dengan Prinsip-prinsip Tingkat Jaminan Evaluasi Kriteria Umum (EAL), terutama dalam konteks penerapan cloud dan on-prem di lingkungan dengan jaminan tinggi.

Apa itu ISO / IEC 15408?

ISO/IEC 15408 menyediakan kerangka kerja untuk mengevaluasi keamanan produk TI melalui:

• Persyaratan Fungsional Keamanan (SFR) – fitur dan perlindungan yang diberikan suatu produk
• Persyaratan Jaminan Keamanan (SAR) – bukti dan proses yang menunjukkan bagaimana fitur-fitur tersebut diimplementasikan dengan aman

Ini diadopsi secara luas oleh badan keamanan siber nasional ke sektor yang diatur seperti pertahanan, energi, keuangan, dan pengadaan pemerintah.

Cakupan Produk dan Target Evaluasi (TOE)

The TOE mencakup semua RELIANOID Komponen perusahaan:

• Komponen: Peralatan perangkat keras, platform perangkat lunak, dan antarmuka manajemen (UI Web, CLI, API).
• Siklus Hidup LTS: Semua versi Enterprise adalah Dukungan Jangka Panjang. Versi utama saat ini: v8 (didukung sampai Juni 2029).
• Sistem operasi: Debian Bookworm.
• Model Penerapan: Terutama di lokasi; juga didukung di lingkungan cloud dan hybrid.
• Topologi: Mandiri, berkelompok, dan mode ganda dengan Pemulihan Bencana (DR).

Penyelarasan Organisasi dengan Kriteria Umum

RELIANOID mengikuti prinsip jaminan dan siklus hidup utama ISO/IEC 15408 di seluruh praktik pengembangan, penerapan, dan operasional internal kami.

Model Target dan Ancaman Keamanan

Kami menjaga internal Dokumen Target Keamanan selaras dengan struktur Kriteria Umum, yang mendefinisikan:

• Aset yang dilindungi (misalnya, lalu lintas jaringan, konfigurasi, kredensial)
• Ancaman yang ditangani (misalnya, peningkatan hak istimewa, perantara, akses tidak sah)
• Asumsi dan pertimbangan lingkungan (misalnya, penempatan jaringan yang aman)

Kontrol Desain dan Pengembangan

Siklus Hidup Pengembangan Perangkat Lunak Aman (SSDLC) kami mencakup:

• Pengujian keamanan otomatis harian (SAST, DAST)
• Pemindaian kerentanan pustaka pihak ketiga
• Kontrol perubahan formal dan dokumentasi rilis versi
• Penandatanganan kode dan pemeriksaan integritas rilis

Pemetaan Persyaratan Fungsional Keamanan (SFR)

RELIANOID Load Balancer mengimplementasikan serangkaian kontrol setara SFR yang luas, termasuk:

• Identifikasi & Autentikasi (FIA): Pengguna melakukan autentikasi melalui kata sandi, pasangan kunci, atau SSO. Akses API diberikan per pengguna dengan token yang dihasilkan; semua antarmuka mendukung alur autentikasi yang aman.
• Kontrol Akses (AC/FMT/FDP): Kontrol Akses Berbasis Peran diberlakukan di semua komponen dan antarmuka (Web, CLI, API), termasuk kontrol per objek pada layanan penyeimbangan beban.
• Audit & Akuntabilitas (FAU): Log audit dan sistem disimpan secara default selama 7 hari dan dapat diekspor atau diintegrasikan dengan platform SIEM.
• Dukungan Kriptografi (FCS): Kriptografi yang kuat dengan panjang kunci yang tinggi. TLS v1.2 atau lebih tinggi secara default (TLS v1.3 lebih disukai). Protokol/cipher lama dinonaktifkan secara default dan dapat diaktifkan secara manual jika diperlukan. Modul opsional yang divalidasi FIPS 140.
• Perlindungan Data Pengguna (FDP): Data pengguna hanya disimpan saat diperlukan dan selalu dienkripsi saat tidak digunakan (misalnya, pengguna dan kata sandi).
• Manajemen Keamanan (FMT): Pengguna root berfungsi sebagai akun administratif utama. Pengguna, grup, dan izin tambahan dapat dikonfigurasi melalui modul RBAC.
• Perlindungan Fungsi Keamanan TOE (FPT): Boot Aman, modul kernel yang ditandatangani, dan akses repositori yang dilindungi GPG diterapkan.
• Perlindungan Komunikasi (FTP/FTA): Semua komunikasi dienkripsi; manajemen sesi mencakup kontrol kedaluwarsa dan autentikasi ulang.

Penyelarasan Persyaratan Jaminan Keamanan (SAR)

• Desain & Dokumentasi: Dokumentasi internal (modul, diagram arsitektur) tersedia di Basis Pengetahuan.
• Tinjauan & Pemindaian Kode: Pemindaian kode otomatis dan dibantu AI dengan tinjauan manual sejawat.
• Manajemen Kerentanan: Pemindaian kerentanan mingguan, laporan triwulanan, dan rilis patch yang dilacak CVE diterbitkan di waktu.
• Pengujian Independen: Pengujian penetrasi dan pemindaian eksternal pada tingkat aplikasi, jaringan, dan infrastruktur.
• Pengujian Formal: Pengujian keamanan otomatis harian dengan cakupan yang diperluas setiap siklus rilis.

Proses Pengembangan dan Pemeliharaan

• SSDLC: Persyaratan → Desain → Implementasi → Pengujian → Validasi → Peningkatan Berkelanjutan. Dikelola dengan Git, Gitea, dan perangkat otomatisasi internal.
• Manajemen Perubahan & Konfigurasi: Alur kerja persetujuan, prosedur pengembalian, dan dokumentasi perubahan yang diterapkan di seluruh lingkungan.
• Manajemen Rilis: Pembaruan dikemas, diuji, dan didistribusikan dengan aman. Validasi praproduksi dilakukan sebelum dipromosikan ke repositori produksi.

Keamanan Operasional

• Tanggapan Insiden: Menetapkan prosedur eskalasi dan penyelesaian dengan waktu respons rata-rata ~2 menit.
• Monitoring: Metrik waktu nyata dengan sistem deteksi/pencegahan intrusi terintegrasi. Intelijen ancaman dibagikan dengan platform komunitas dan industri.
• Pencadangan & DR: Pencadangan terenkripsi mingguan dengan pengujian pemulihan bulanan.

Penggunaan di Lingkungan yang Diatur dan Bersertifikat

Meskipun belum disertifikasi secara resmi, RELIANOID mendukung:

• Integrasi ke dalam sistem yang dievaluasi Kriteria Umum
• Evaluasi pengadaan klien di lingkungan yang berfokus pada EAL
• Dokumentasi terstruktur yang selaras dengan skema nasional (misalnya, CCN-STIC, NIAP, BSI TR)

Tindakan Jaminan dan Bukti

Untuk mendukung tujuan jaminan yang selaras dengan Kriteria Umum, kami menyediakan:

• Catatan rilis dengan changelog terperinci
• Dokumentasi desain keamanan berbasis ancaman
• Arsip pemindaian kerentanan dan laporan patch
• Panduan penerapan yang aman dan daftar periksa penguatan

Penyelarasan Organisasi

• Tata Kelola Keamanan: Tim kepatuhan keamanan yang dipimpin oleh CEO, CTO, dan COO memastikan pengembangan yang aman, proses, dan keselarasan kepatuhan.
• Pelatihan Keamanan Karyawan: Sesi pelatihan triwulanan dan kesadaran berkelanjutan terhadap ancaman industri.
• Audit Keamanan Internal: Audit triwulanan dengan pelacakan remediasi. Laporan tersedia untuk umum.
• Kebijakan: Kebijakan yang diterbitkan mencakup Privasi, Respons Insiden, Kelangsungan Bisnis, Pemisahan Data Global, Risiko Pihak Ketiga, Kontrol Akses, Penggunaan yang Dapat Diterima, dan Penanganan Data.

Bukti Pendukung

• Update RELIANOID Laporan Keamanan: Dikonfirmasi sebagai versi terkini.
• Dasar pengetahuan: Dokumen resmi, lembar data, dan diagram arsitektur yang diperbarui: Basis Pengetahuan.
• Pernyataan Jaminan Pelanggan: Pernyataan yang diterbitkan untuk industri yang diatur, selaras dengan peraturan keamanan siber yang terus berkembang.

Komitmen terhadap Prinsip Kriteria Umum

RELIANOID berkomitmen untuk:

• Menyelaraskan pengembangan fitur baru dengan metodologi desain Kriteria Umum
• Mendukung upaya evaluasi yang dipimpin pelanggan
• Mempertahankan lingkungan pengembangan yang aman dan sadar ancaman
• Memastikan transparansi dan integritas di seluruh siklus hidup produk

Tinjauan Dokumen

Kontak dan Jaminan

Kami menerima permintaan materi evaluasi teknis, ringkasan Target Keamanan, atau dukungan untuk proyek pengadaan Kriteria Umum.

Hubungi Tim Kepatuhan & Keamanan kami

Unduh Laporan Keamanan Terbaru