Sicherheit bei Alohi
Wir bieten robuste Sicherheits- und Datenschutzmaßnahmen, um Ihre Daten in allen unseren Diensten zu schützen, einschließlich Sign.Plus, Fax.Plus und Scan.Plus.
Wir implementieren fortschrittliche Verschlüsselung, strenge Zugriffskontrollen und Echtzeit-Bedrohungserkennung, um Ihre Daten in unseren Diensten zu schützen. Unsere Sicherheitsmaßnahmen entsprechen internationalen Standards und gewährleisten robusten Schutz und Privatsphäre. Wir entwickeln unsere Abwehrmechanismen kontinuierlich weiter, um neuen Cyberbedrohungen entgegenzuwirken und Ihre Informationen sicher zu halten.
Technologie
Datenverschlüsselung während der Übertragung und im Ruhezustand
Alle gespeicherten Dateien im Ruhezustand, einschließlich signierter und gefaxter Dokumente, werden mit dem 256-Bit Advanced Encryption Standard (AES) verschlüsselt. Jeder Benutzer profitiert von eindeutigen Verschlüsselungsschlüsseln, um die Sicherheit seiner Daten zu gewährleisten.
Für Daten, die zwischen unseren Apps (ob mobil, API oder Web) und unseren Servern übertragen werden, verwenden wir Transport Layer Security (TLS), eine moderne und verbesserte Version des vorherigen Verschlüsselungsprotokolls Secure Sockets Layer (SSL). Dies schafft einen sicheren Tunnel, der durch 128-Bit oder höherwertige Advanced Encryption Standard (AES)-Verschlüsselung verstärkt wird.
Wir unterstützen stolz TLS 1.3, das nicht nur die Geschwindigkeit erhöht, sondern auch die Sicherheit über TLS 1.2 hinaus verbessert. Es fügt eine zusätzliche Ebene des Datenschutzes hinzu und stellt sicher, dass nur die beiden Endpunkte den Datenverkehr entschlüsseln können, wodurch höchste Vertraulichkeit gewährleistet wird.
Anwendungssicherheitstests
Unser Sicherheitsteam führt routinemäßige automatisierte und manuelle Sicherheitsbewertungen durch, um potenzielle Schwachstellen und Fehler in unseren Web- und mobilen Anwendungen zu erkennen und zu beheben. Darüber hinaus unterziehen wir uns jährlichen Sicherheitstests durch Audits von Drittanbietern, die es uns ermöglichen, alle identifizierten Probleme in unseren Web-, API- und mobilen Anwendungen umgehend zu beheben. Um unser Engagement für Sicherheit zu unterstreichen, beteiligen wir uns aktiv an Sicherheitsplattformen wie HackerOne, wodurch die Wahrscheinlichkeit von Sicherheitsvorfällen weiter minimiert wird.
Systemarchitektur
Zur Verbesserung von Stabilität, Leistung und Sicherheit basiert unsere Systemarchitektur auf einem N-Tier-Framework, das mehrere Schutzebenen umfasst. Diese Schutzschichten umfassen Verschlüsselung, Netzwerkkonfiguration und Kontrollen auf Anwendungsebene, die alle durchdacht über eine skalierbare und sichere Infrastruktur verteilt sind.
DDoS-Schutz
Wir nutzen ein Content Delivery Network (CDN) mit einer Netzwerkkapazität, die 15-mal größer ist als der größte jemals aufgezeichnete DDoS-Angriff. Diese robuste Infrastruktur ist unsere vorderste Verteidigungslinie und gewährleistet den Schutz unseres Dienstes vor potenziellen DDoS-Angriffen.
Schlüsselverwaltung
Unsere Schlüsselverwaltungsinfrastruktur, die für die Verschlüsselung von Dateien im Ruhezustand (sowohl signierte als auch gefaxte Dateien) verantwortlich ist, ist sorgfältig mit robusten betrieblichen, technischen und verfahrenstechnischen Sicherheitskontrollen konzipiert. Der Zugriff auf Schlüssel ist stark eingeschränkt, um höchste Sicherheit zu gewährleisten.
WAF
Neben komplexen Firewalls auf Netzwerkebene verwenden wir Web Application Firewalls (WAF) der Enterprise-Klasse, um unseren Dienst vor Schwachstellen wie SQL-Injection-Angriffen, Cross-Site-Scripting und Cross-Site-Forgery zu schützen.
Sicherheit auf Hardware-Ebene
Alle gefaxten und signierten Dateien finden ihr exklusives Zuhause in Schweizer Rechenzentren, die sorgfältig aufgrund ihrer Einhaltung der strengsten Sicherheitsstandards wie ISO 27001 ausgewählt wurden. Diese Rechenzentren sind auch stolze Mitglieder der Cloud Security Alliance (CSA). Interessanterweise liegt eines unserer Rechenzentren sicher tief in den Schweizer Alpen, untergebracht in einem ehemaligen militärischen Anti-Atom-Kommando- und Kontrollzentrum in der Nähe von Zürich. Das andere befindet sich in Genf, strategisch günstig in der Nähe europäischer Finanzzentren und globaler Märkte.
Um spezifische Datenschutz- und Aufbewahrungsanforderungen basierend auf Regionen und Ländern zu erfüllen, haben unsere Kunden die Flexibilität, ihre vollständig verschlüsselten Dateien zwischen Rechenzentren an verschiedenen globalen Standorten zu verschieben. Erfahren Sie mehr über Data Residency, um zu verstehen, wie dies funktioniert.
Compliance
ISO/IEC 27001-Konformität
Das zertifizierte Informationssicherheits-Managementsystem (ISMS) bei Alohi wurde entwickelt, um die Sicherheit der Daten unserer Kunden zu gewährleisten. Es umfasst alle Interaktionen mit den Stakeholdern von Alohi, einschließlich der Personen, Prozesse und Tools, die für die Entwicklung, den Support und die Wartung unserer Dienstleistungen und Produkte unerlässlich sind.
SOC 2 Typ 2-Konformität
Unser SOC 2-Bericht bietet eine umfassende, kontrollorientierte Zusicherung, die die Trust Service Criteria for Security (TSP Section 100) behandelt. Er bietet einen umfassenden Überblick über die Verfahren von Alohi und die vielfältigen Schutzmaßnahmen, die zum Schutz Ihrer Daten implementiert wurden. EY CertifyPoint, eine weltweit anerkannte und angesehene Stelle, führte diese Bewertung durch und zertifizierte die effektive Gestaltung und den Betrieb unserer Kontrollen.
HIPAA-Konformität
Wir respektieren die Bedeutung der Wahrung höchster Privatsphäre und Sicherheit von Patientengesundheitsdaten. Um dies zu erreichen, haben wir jede administrative, physische und technische Schutzanforderung sorgfältig geprüft und die vollständige Einhaltung aller HIPAA-Spezifikationen sichergestellt. Dieser umfassende Ansatz schützt die Daten unserer Kunden, einschließlich der geschützten Gesundheitsinformationen (PHI) und der elektronisch geschützten Gesundheitsinformationen (ePHI) von Einzelpersonen.
PCI-DSS-Konformität
Wir halten die Einhaltung der neuesten Version des PCI DSS aufrecht, um die sichere Handhabung der Zahlungskarteninformationen unserer Kunden zu gewährleisten. Unsere strengen Datensicherheitsstandards sind eingerichtet, um die fortwährende Sicherheit Ihrer Kreditkartendaten zu gewährleisten.
Erweiterte Sicherheit
Erweiterte Sicherheitskontrollen
Zusätzlich zu allen Sicherheitsmaßnahmen, die wir ergreifen, um das höchste Maß an Sicherheit und Datenschutz für alle unsere Benutzer und ihre Daten zu gewährleisten, stellen wir den Administratoren unserer Enterprise-Pläne bestimmte Sicherheitstools und -funktionen zur Verfügung, um mehr Kontrolle über den Schutz ihrer Daten zu haben. Zugriffsprotokollierung: Detaillierte Zugriffsprotokolle stehen sowohl Benutzern als auch Administratoren von Enterprise-Teams zur Verfügung. Wir protokollieren jede Anmeldung eines Kontos und notieren den verwendeten Gerätetyp und die IP-Adresse der Verbindung.
Benutzer blockieren: Wir machen es einfach, einen Benutzer zu blockieren, falls er nicht mehr Teil Ihrer Organisation ist oder in Notfallsituationen oder bei Datenschutzverletzungen
Business Associate Agreement (BAA): Wir unterzeichnen ein BAA mit Benutzern unserer Enterprise-Pläne, die ein BAA benötigen, um den Health Insurance Portability and Accountability Act (HIPAA) einzuhalten.
*Erweiterte Sicherheitskontrollen sind nur für Sign.Plus- und Fax.Plus Enterprise-Pläne verfügbar.
Schweizer Unternehmen
Alle Benutzerdaten sind durch das Schweizer Bundesgesetz über den Datenschutz (DSG) und die Schweizerische Verordnung über den Datenschutz (DSV) geschützt, die sowohl für Einzelpersonen als auch für Unternehmen einen der stärksten Datenschutz weltweit bieten. Da sich Alohi außerhalb der US-amerikanischen und EU-Gerichtsbarkeit befindet, kann nur eine gerichtliche Verfügung des Kantonsgerichts Genf oder des Schweizerischen Bundesgerichts uns zwingen, die äußerst begrenzten Benutzerinformationen, die wir haben, freizugeben.
Eine Sicherheitslücke melden
Unsere oberste Priorität ist die Privatsphäre und Sicherheit der Daten unserer Kunden. Um dies zu erreichen, begrüßen wir die wichtige Rolle, die Sicherheitsforscher bei der Sicherheit von Systemen und Daten spielen. Um die verantwortungsvolle Meldung potenzieller Sicherheitslücken zu fördern, setzt sich das Sicherheitsteam dafür ein, mit der Community zusammenzuarbeiten, um legitime Berichte zu überprüfen, zu reproduzieren und darauf zu reagieren. Wenn Sie glauben, eine potenzielle Sicherheitslücke identifiziert zu haben, melden Sie uns diese bitte umgehend. Wir werden alle legitimen Berichte untersuchen und unser Bestes tun, um die Probleme schnell zu beheben.
Sie können Ihren Bericht über unser HackerOne Vulnerability Disclosure Program einreichen.
Confédération Suisse
Confederazione Svizzera
Confederaziun Svizra
Swiss Confederation
Innosuisse - Schweizerische Agentur für Innovation
