Bezpieczeństwo w Alohi
Zapewniamy solidne środki bezpieczeństwa i prywatności w celu ochrony danych we wszystkich naszych usługach, w tym Sign.Plus, Fax.Plus i Scan.Plus.
Wdrażamy zaawansowane szyfrowanie, rygorystyczne kontrole dostępu i wykrywanie zagrożeń w czasie rzeczywistym w celu ochrony danych we wszystkich naszych usługach. Nasze środki bezpieczeństwa są zgodne z międzynarodowymi standardami, zapewniając solidną ochronę i prywatność. Nieustannie rozwijamy nasze mechanizmy obronne, aby przeciwdziałać pojawiającym się cyberzagrożeniom, zapewniając bezpieczeństwo informacji.
Technologia
Szyfrowanie danych w transporcie i w spoczynku
Wszystkie przechowywane pliki, w tym podpisane i przefaksowane dokumenty, są szyfrowane przy użyciu 256-bitowego Advanced Encryption Standard (AES). Każdy użytkownik korzysta z unikalnych kluczy szyfrowania, aby zapewnić bezpieczeństwo swoich danych.
W przypadku danych przesyłanych między naszymi aplikacjami (mobilnymi, API lub internetowymi) a naszymi serwerami używamy Transport Layer Security (TLS), nowoczesnej i ulepszonej wersji poprzedniego protokołu szyfrowania znanego jako Secure Sockets Layer (SSL). Tworzy to bezpieczny tunel wzmocniony 128-bitowym lub wyższym szyfrowaniem Advanced Encryption Standard (AES).
Z dumą wspieramy TLS 1.3, który nie tylko zwiększa szybkość, ale także wzmacnia bezpieczeństwo w stosunku do TLS 1.2. Dodaje dodatkową warstwę prywatności, zapewniając, że tylko dwa punkty końcowe mogą odszyfrować ruch, gwarantując w ten sposób najwyższą poufność.
Testowanie bezpieczeństwa aplikacji
Nasz zespół ds. bezpieczeństwa przeprowadza rutynowe zautomatyzowane i ręczne oceny bezpieczeństwa w celu wykrycia i usunięcia potencjalnych luk i błędów w naszych aplikacjach internetowych i mobilnych. Ponadto przechodzimy coroczne testy bezpieczeństwa za pośrednictwem audytów zewnętrznych, co pozwala nam szybko rozwiązywać wszelkie zidentyfikowane problemy w naszych aplikacjach internetowych, API i mobilnych. Aby wzmocnić nasze zaangażowanie w bezpieczeństwo, aktywnie uczestniczymy w platformach bezpieczeństwa, takich jak HackerOne, dodatkowo minimalizując prawdopodobieństwo wystąpienia incydentów bezpieczeństwa.
Architektura systemu
Aby zwiększyć stabilność, wydajność i bezpieczeństwo, nasza architektura systemu opiera się na n-warstwowej strukturze, która obejmuje wiele warstw ochrony. Te warstwy ochronne obejmują szyfrowanie, konfigurację sieci i kontrole na poziomie aplikacji, wszystkie starannie rozmieszczone w skalowalnej i bezpiecznej infrastrukturze.
Ochrona przed atakami DDoS
Korzystamy z sieci dostarczania treści (CDN) o przepustowości 15 razy większej niż największy atak DDoS, jaki kiedykolwiek zarejestrowano. Ta solidna infrastruktura stanowi naszą pierwszą linię obrony, zapewniając ochronę naszych usług przed potencjalnymi atakami DDoS.
Zarządzanie kluczami
Nasza infrastruktura zarządzania kluczami, odpowiedzialna za szyfrowanie plików w spoczynku (zarówno podpisanych, jak i przefaksowanych), jest skrupulatnie zaprojektowana z solidnymi operacyjnymi, technicznymi i proceduralnymi kontrolami bezpieczeństwa. Dostęp do kluczy jest ściśle ograniczony, co zapewnia najwyższy poziom bezpieczeństwa.
WAF
Oprócz złożonych zapór sieciowych używamy zapór sieciowych klasy korporacyjnej (WAF), aby chronić nasze usługi przed lukami w zabezpieczeniach, takimi jak ataki typu SQL injection, cross-site scripting i cross-site forgery.
Bezpieczeństwo na poziomie sprzętowym
Wszystkie przefaksowane i podpisane pliki znajdują swój wyłączny dom w szwajcarskich centrach danych, starannie wybranych ze względu na ich zgodność z najbardziej rygorystycznymi standardami bezpieczeństwa, takimi jak ISO 27001. Te centra danych są również dumnymi członkami Cloud Security Alliance (CSA). Co ciekawe, jeden z naszych centrów danych jest bezpiecznie położony głęboko w szwajcarskich Alpach, mieszcząc się w byłym wojskowym centrum dowodzenia i kontroli przeciwatomowej w pobliżu Zurychu. Drugi znajduje się w Genewie, w strategicznej lokalizacji w pobliżu europejskich centrów finansowych i globalnych rynków.
Aby spełnić określone wymagania dotyczące prywatności danych i rezydencji w oparciu o regiony i kraje, nasi klienci mają możliwość elastycznego przenoszenia w pełni zaszyfrowanych plików między centrami danych znajdującymi się w różnych lokalizacjach na całym świecie. Dowiedz się więcej o rezydencji danych, aby zrozumieć, jak to działa.
Zgodność
Zgodność z normą ISO/IEC 27001
Certyfikowany System Zarządzania Bezpieczeństwem Informacji (ISMS) w Alohi ma na celu zapewnienie bezpieczeństwa danych naszych klientów. Obejmuje on wszystkie interakcje z interesariuszami Alohi, w tym osoby, procesy i narzędzia niezbędne do rozwoju, wsparcia i utrzymania naszych usług i produktów.
Zgodność z normą SOC 2 typu 2
Nasz raport SOC 2 zapewnia kompleksowe, skoncentrowane na kontroli zapewnienie, odnoszące się do kryteriów usług zaufania w zakresie bezpieczeństwa (TSP sekcja 100). Oferuje on obszerny przegląd procedur Alohi i wielu zabezpieczeń wdrożonych w celu ochrony danych. EY CertifyPoint, znany na całym świecie i renomowany podmiot, przeprowadził tę ocenę, poświadczając skuteczny projekt i działanie naszych kontroli.
Zgodność z HIPAA
Szanujemy znaczenie zachowania najwyższej prywatności i bezpieczeństwa danych medycznych pacjentów. Aby to osiągnąć, skrupulatnie przeanalizowaliśmy każdy wymóg dotyczący zabezpieczeń administracyjnych, fizycznych i technicznych, zapewniając pełną zgodność ze wszystkimi specyfikacjami HIPAA. To kompleksowe podejście zabezpiecza dane naszych klientów, w tym chronione informacje zdrowotne (PHI) i elektronicznie chronione informacje zdrowotne (ePHI).
Zgodność z PCI-DSS
Utrzymujemy zgodność z najnowszą wersją PCI DSS, aby zagwarantować bezpieczną obsługę informacji o kartach płatniczych naszych klientów. Nasze rygorystyczne standardy bezpieczeństwa danych mają na celu zapewnienie ciągłego bezpieczeństwa danych karty kredytowej.
Zaawansowane zabezpieczenia
Zaawansowane mechanizmy kontroli bezpieczeństwa
Oprócz wszystkich środków bezpieczeństwa, które podejmujemy w celu zapewnienia najwyższego poziomu bezpieczeństwa i prywatności dla wszystkich naszych użytkowników i ich danych, zapewniamy administratorom naszych planów Enterprise pewne narzędzia i funkcje bezpieczeństwa, aby mieć większą kontrolę nad ochroną ich danych. Rejestrowanie dostępu: Szczegółowe dzienniki dostępu są dostępne zarówno dla użytkowników, jak i administratorów zespołów Enterprise . Rejestrujemy każde logowanie konta, odnotowując typ używanego urządzenia i adres IP połączenia.
Blokowanie użytkowników: Ułatwiamy blokowanie użytkowników w przypadku, gdy nie są już częścią organizacji lub w sytuacjach awaryjnych lub naruszenia danych
Umowa o partnerstwie Business (BAA): Podpisujemy umowę BAA z użytkownikami naszych planów Enterprise , którzy potrzebują umowy BAA w celu zapewnienia zgodności z ustawą o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA).
*Zaawansowana kontrola bezpieczeństwa jest dostępna tylko dla planów Sign.Plus i Fax.Plus Enterprise .
Szwajcarska firma
Wszystkie dane użytkowników są chronione przez szwajcarską federalną ustawę o ochronie danych (DPA) i szwajcarskie federalne rozporządzenie o ochronie danych (DPO), które oferują jedne z najsilniejszych na świecie zabezpieczeń prywatności zarówno dla osób fizycznych, jak i korporacji. Ponieważ Alohi znajduje się poza jurysdykcją USA i UE, tylko nakaz sądowy wydany przez Sąd Kantonalny w Genewie lub Szwajcarski Federalny Sąd Najwyższy może zmusić nas do ujawnienia bardzo ograniczonych informacji o użytkownikach, które posiadamy.
Zgłoś lukę w zabezpieczeniach
Naszym priorytetem numer jeden jest prywatność i bezpieczeństwo danych naszych klientów. Aby osiągnąć doskonałość w tym zakresie, z zadowoleniem przyjmujemy istotną rolę, jaką badacze bezpieczeństwa odgrywają w utrzymywaniu bezpieczeństwa systemów i danych. Aby zachęcić do odpowiedzialnego zgłaszania potencjalnych luk w zabezpieczeniach, zespół ds. bezpieczeństwa zobowiązuje się do współpracy ze społecznością w celu weryfikacji, powielania i reagowania na uzasadnione zgłoszenia. Jeśli uważasz, że zidentyfikowałeś potencjalną lukę w zabezpieczeniach, zgłoś ją nam natychmiast. Zbadamy wszystkie uzasadnione zgłoszenia i dołożymy wszelkich starań, aby szybko rozwiązać problemy.
Możesz przesłać swój raport za pośrednictwem naszego programu ujawniania luk w zabezpieczeniach HackerOne.
Confédération Suisse
Confederazione Svizzera
Confederaziun Svizra
Swiss Confederation
Innosuisse - Swiss Innovation Agency
