Alle Dateien im Ruhezustand (signierte und gefaxte Dateien) werden mit 256-Bit Advanced Encryption Standard (AES) verschlüsselt, mit eindeutigen Verschlüsselungsschlüsseln für jeden Benutzer. Um Daten bei der Übertragung zwischen unseren Apps (derzeit mobil, API oder Web) und unseren Servern zu schützen, verwenden wir Transport Layer Security (TLS), das aus einem früheren Verschlüsselungsprotokoll namens Secure Sockets Layer (SSL) für die Datenübertragung entwickelt wurde ein sicherer Tunnel, der durch 128-Bit- oder höhere Advanced Encryption Standard (AES)-Verschlüsselung geschützt ist. Wir unterstützen TLS 1.3, das schneller und sicherer als TLS 1.2 ist und einem verschlüsselten Zeitraum eine zusätzliche Datenschutzebene hinzufügt, um sicherzustellen, dass die beiden Endpunkte die einzigen sind, die den Datenverkehr entschlüsseln können.
Um die Stabilität, Leistung und Sicherheit zu erhöhen, basiert unsere Systemarchitektur auf einer N-Tier-Architektur mit mehreren Schutzebenen, einschließlich Verschlüsselung, Netzwerkkonfiguration und Kontrollen auf Anwendungsebene, die über eine skalierbare, sichere Infrastruktur verteilt sind.
Unser Sicherheitsteam führt regelmäßig automatisierte und manuelle Anwendungssicherheitstests durch, um potenzielle Sicherheitslücken und Fehler in unseren Web- und Mobilanwendungen zu identifizieren und zu patchen. Wir führen auch jährliche Sicherheitstests durch Audits von Drittanbietern durch, die es uns ermöglichen, alle möglichen Probleme, die in unseren Web-, API- oder mobilen Anwendungen gefunden werden, schnell zu lösen. Um das Risiko von Sicherheitsvorfällen weiter zu reduzieren, sind wir auch Teil von Sicherheitsplattformen wie HackerOne.
Unsere Schlüsselverwaltungsinfrastruktur, die für die Verschlüsselung ruhender Dateien (signierte Dateien und gefaxte Dateien) verwendet wird, ist mit betrieblichen, technischen und verfahrenstechnischen Sicherheitskontrollen mit sehr begrenztem direkten Zugriff auf Schlüssel ausgestattet.
Neben komplexen Firewalls auf Netzwerkebene verwenden wir Web Application Firewalls (WAF) der Enterprise-Klasse, um unseren Service vor Schwachstellen wie SQL-Injection-Angriffen, Cross-Site-Scripting und Cross-Site-Fälschung zu schützen.
Alle gefaxten und signierten Dateien werden nur in Schweizer Rechenzentren gespeichert, die von Standorten aus betrieben werden, die den strengsten Sicherheitsstandards (ISO 27001) entsprechen und Teil der Cloud Security Alliance (CSA) sind. Eines unserer Rechenzentren befindet sich in Zürich unter den Alpen in einem ehemaligen militärischen Anti-Atom-Kommando- und Kontrollzentrum und das andere in Genf, in der Nähe der europäischen Finanzökosysteme und der globalen Märkte. Um regionale und länderspezifische Datenschutz- und Wohnsitzanforderungen zu erfüllen, können Kunden ihre vollständig verschlüsselten Dateien zwischen Rechenzentren verschieben, die sich an verschiedenen Standorten weltweit befinden. Erfahren Sie mehr über Datenresidenz
Wir nutzen ein CDN mit einer Netzwerkkapazität, die 15-mal größer ist als der größte jemals aufgezeichnete DDoS-Angriff, um unseren Dienst vor potenziellen DDoS-Angriffen zu schützen.
Der Geltungsbereich des Informationssicherheits-Managementsystems (ISMS) Alohi zertifiziert wurde, soll den Schutz der Daten unserer Kunden sicherstellen und gilt für alle Stakeholder-Beziehungen Alohi , einschließlich der Personen, Prozesse und Tools, die für die Entwicklung, Unterstützung und Wartung der von bereitgestellten Dienstleistungen und Produkte erforderlich sind Alohi .
Unser SOC 2-Bericht ist eine detaillierte Ebene der kontrollbasierten Zusicherung, die die Trust Service Criteria for Security (TSP Section 100) abdeckt. Es enthält auch eine ausführliche Beschreibung von Alohi 's Prozesse und die zahlreichen Kontrollen zum Schutz Ihrer Daten. Dieser Bericht wurde vom weltweit bekannten und angesehenen EY CertifyPoint erstellt und bescheinigt die wirksame Gestaltung und Durchführung unserer Kontrollen.
Wir verstehen die Sensibilität und die Ernsthaftigkeit, die mit der Vertraulichkeit und Sicherheit von Gesundheitsdaten von Patienten verbunden sind, und deshalb haben wir uns mit höchster Präzision mit den Details aller administrativen, physischen und technischen Sicherheitsspezifikationen befasst und alle HIPAA-Anforderungen zum Schutz der Daten unserer Kunden und Einzelpersonen gemildert geschützte Gesundheitsinformationen (PHI) und elektronisch geschützte Gesundheitsinformationen (ePHI).
Wir halten uns an die aktuelle Version des PCI DSS, um eine sichere Handhabung der Zahlungskarteninformationen von Kunden zu gewährleisten, und an strenge Datensicherheitsstandards, um sicherzustellen, dass die Kreditkarteninformationen unserer Kunden sicher und geschützt bleiben.
Wir speichern keine Kreditkarteninformationen, sondern nur anonymisierte Token, wie sie von diesen Diensten bereitgestellt werden. Wir verlassen uns auf Stripe und Paypal, um Zahlungen in unseren Web- und Android-Anwendungen zu verarbeiten, Käufe innerhalb unserer iOS-Anwendung werden über den In-App-Kaufmechanismus von Apple verfügbar gemacht.
Zusätzlich zu allen Sicherheitsmaßnahmen, die wir ergreifen, um das höchste Maß an Sicherheit und Datenschutz für alle unsere Benutzer und ihre Daten zu gewährleisten, stellen wir den Administratoren unserer Unternehmenspläne bestimmte Sicherheitstools und -funktionen zur Verfügung, um mehr Kontrolle über den Schutz ihrer Daten zu haben. Zugriffsprotokollierung: Detaillierte Zugriffsprotokolle stehen sowohl Benutzern als auch Administratoren von Unternehmensteams zur Verfügung. Wir protokollieren jedes Mal, wenn sich ein Konto anmeldet, und notieren den Typ des verwendeten Geräts und die IP-Adresse der Verbindung.
Erweiterte Sicherheitskontrollen sind nur verfügbar für SIGN.PLUS Und FAX.PLUS Unternehmenspläne.
Alle Benutzerdaten sind durch das Schweizer Bundesdatenschutzgesetz (DSG) und die Schweizer Bundesdatenschutzverordnung (DSG) geschützt, die sowohl Einzelpersonen als auch Unternehmen einen der stärksten Datenschutz der Welt bieten. Wie Alohi ( SIGN.PLUS und FAX.PLUS ) außerhalb der Gerichtsbarkeit der USA und der EU liegt, kann uns nur ein Gerichtsbeschluss des Kantonsgerichts Genf oder des Schweizerischen Bundesgerichtshofs zwingen, die äußerst begrenzten Benutzerinformationen, die wir haben, herauszugeben.
Unsere oberste Priorität ist der Datenschutz und die Sicherheit der Daten unserer Kunden. Um dies zu übertreffen, begrüßen wir die wichtige Rolle, die Sicherheitsforscher dabei spielen, Systeme und Daten sicher zu halten. Um das verantwortungsbewusste Melden potenzieller Sicherheitslücken zu fördern, verpflichtet sich das Sicherheitsteam, mit der Community zusammenzuarbeiten, um legitime Meldungen zu überprüfen, zu reproduzieren und darauf zu reagieren. Wenn Sie glauben, dass Sie eine potenzielle Sicherheitslücke identifiziert haben, melden Sie uns diese bitte umgehend. Wir werden alle legitimen Meldungen untersuchen und unser Bestes tun, um die Probleme schnell zu beheben.
Sie können Ihren Bericht über unser HackerOne Vulnerability Disclosure Program einreichen.
