Tous les fichiers au repos (fichiers signés et faxés) sont chiffrés à l'aide de la norme de chiffrement avancé (AES) 256 bits, avec des clés de chiffrement uniques pour chaque utilisateur. Pour protéger les données en transit entre nos applications (actuellement mobiles, API ou Web) et nos serveurs, nous utilisons Transport Layer Security (TLS) qui est une évolution d'un protocole de cryptage précédent appelé Secure Sockets Layer (SSL), pour le transfert de données, la création un tunnel sécurisé protégé par un cryptage Advanced Encryption Standard (AES) 128 bits ou supérieur. Nous prenons en charge TLS 1.3 qui est plus rapide et plus sécurisé que TLS 1.2 et ajoute une couche supplémentaire de confidentialité à une période chiffrée, en veillant à ce que les deux terminaux soient les seuls capables de déchiffrer le trafic.
Pour augmenter la stabilité, les performances et la sécurité, notre architecture système est basée sur une architecture à plusieurs niveaux avec plusieurs couches de protection, y compris le chiffrement, la configuration du réseau et les contrôles au niveau des applications répartis sur une infrastructure évolutive et sécurisée.
Notre équipe de sécurité effectue régulièrement des tests de sécurité des applications automatisés et manuels pour identifier et corriger les vulnérabilités de sécurité et les bogues potentiels sur nos applications Web et mobiles. Nous effectuons également des tests de sécurité annuels par le biais d'audits tiers, ce qui nous permet de résoudre rapidement tout problème éventuel détecté sur nos applications Web, API ou mobiles. Pour réduire davantage le risque d'incidents de sécurité, nous faisons également partie de plateformes de sécurité telles que HackerOne.
Notre infrastructure de gestion des clés utilisée pour le chiffrement des fichiers au repos (fichiers signés et fichiers faxés) est conçue avec des contrôles de sécurité opérationnels, techniques et procéduraux avec un accès direct très limité aux clés.
Outre les pare-feu complexes au niveau du réseau, nous utilisons des pare-feu d'applications Web (WAF) de classe entreprise pour protéger notre service contre les vulnérabilités telles que les attaques par injection SQL, les scripts intersites et la falsification intersites.
Tous les fichiers faxés et les fichiers signés sont uniquement stockés dans des centres de données suisses qui opèrent à partir d'emplacements conformes aux normes de sécurité les plus restrictives (ISO 27001) et font partie de la Cloud Security Alliance (CSA). L'un de nos centres de données est situé à Zurich enfoui sous les Alpes dans un ancien centre de commandement et de contrôle militaire anti-atomique et l'autre à Genève, à proximité des écosystèmes financiers européens et des marchés mondiaux. Pour répondre aux exigences régionales et nationales en matière de confidentialité et de résidence des données, les clients peuvent déplacer leurs fichiers entièrement cryptés entre des centres de données situés à différents endroits dans le monde. En savoir plus sur la résidence des données
Nous utilisons un CDN avec une capacité de réseau 15 fois supérieure à la plus grande attaque DDoS jamais enregistrée pour protéger notre service contre les attaques DDoS potentielles.
Le périmètre du système de management de la sécurité de l'information (SMSI) Alohi a obtenu la certification est d'assurer la protection des données de nos clients et s'applique à toutes les relations avec les parties prenantes Alohi , y compris les personnes, les processus et les outils nécessaires pour développer, soutenir et maintenir les services et produits fournis par Alohi .
Notre rapport SOC 2 est un niveau détaillé d'assurance basée sur les contrôles, couvrant les critères de service de confiance pour la sécurité (TSP Section 100). Il comprend également une description détaillée de Alohi et les nombreux contrôles mis en place pour protéger vos données. Ce rapport a été réalisé par EY CertifyPoint, mondialement connu et réputé, et il certifie la conception et le fonctionnement efficaces de nos contrôles.
Nous comprenons les sensibilités et le sérieux associés au maintien de la confidentialité et de la sécurité des données de santé des patients et c'est pourquoi nous avons examiné les détails de toutes les spécifications de sauvegarde administratives, physiques et techniques avec une grande précision, atténuant toutes les exigences HIPAA pour protéger les données de nos clients, les individus. informations de santé protégées (PHI) et informations de santé électroniques protégées (ePHI).
Nous maintenons la conformité avec la version actuelle de la norme PCI DSS pour assurer un traitement sûr et sécurisé des informations de carte de paiement des clients, et des normes de sécurité des données rigoureuses pour garantir que les informations de carte de crédit de nos clients restent sûres et sécurisées.
Nous ne stockons aucune information de carte de crédit, uniquement des jetons anonymisés, tels que fournis par ces services. Nous comptons sur Stripe et Paypal pour traiter les paiements sur nos applications Web et Android, les achats dans notre application iOS sont mis à disposition via le mécanisme d'achat intégré d'Apple.
En plus de toutes les mesures de sécurité que nous prenons pour assurer le plus haut niveau de sécurité et de confidentialité pour tous nos utilisateurs et leurs données, nous fournissons aux administrateurs de nos plans d'entreprise certains outils et fonctionnalités de sécurité pour avoir plus de contrôle sur la protection de leurs données. Journalisation des accès : des journaux d'accès détaillés sont disponibles à la fois pour les utilisateurs et les administrateurs des équipes de l'entreprise. Nous nous connectons chaque fois qu'un compte se connecte, en notant le type d'appareil utilisé et l'adresse IP de la connexion.
Actuellement, les contrôles de sécurité avancés ne sont disponibles que pour FAX.PLUS Forfaits d'entreprise.
Toutes les données des utilisateurs sont protégées par la loi fédérale sur la protection des données (LPD) et l'ordonnance fédérale sur la protection des données (DPO) qui offre l'une des protections de la vie privée les plus solides au monde pour les particuliers et les entreprises. Comme Alohi ( SIGN.PLUS et FAX.PLUS ) ne relève pas de la juridiction des États-Unis et de l'UE, seule une ordonnance du tribunal cantonal de Genève ou du Tribunal fédéral suisse peut nous obliger à divulguer les informations utilisateur extrêmement limitées dont nous disposons.
Notre priorité numéro un est la confidentialité et la sécurité des données de nos clients. Pour exceller dans ce domaine, nous saluons le rôle vital que jouent les chercheurs en sécurité dans la protection des systèmes et des données. Pour encourager le signalement responsable des vulnérabilités de sécurité potentielles, l'équipe de sécurité s'engage à travailler avec la communauté pour vérifier, reproduire et répondre aux signalements légitimes. Si vous pensez avoir identifié une faille de sécurité potentielle, veuillez nous le signaler immédiatement. Nous enquêterons sur tous les signalements légitimes et ferons de notre mieux pour résoudre rapidement les problèmes.
Vous pouvez soumettre votre rapport via notre programme de divulgation des vulnérabilités HackerOne .
