Sicherheit

Der Schutz Ihrer Daten ist unsere Priorität und wir sorgen für Sicherheit und Schutz auf allen Ebenen

Erfahren Sie mehr über den kontinuierlichen Weg von CORSANO in die Cloud und unseren innovativen Einsatz von Sicherheitsangeboten zur Reduzierung von Risiken und zur Verbesserung des Datenschutzes. Hier ist ein Überblick darüber, wie wir die Sicherheit bei Corsano aufgebaut haben:

Datensicherheit

Die Daten von CORSANO-Kunden – und die Sicherheit dieser Daten – sind für uns von größter Bedeutung, weshalb wir unseren Kunden die vollständige Kontrolle über ihre Daten geben. Datensicherheit und Datenschutz haben Priorität, und wir zielen darauf ab, eine Plattform zu schaffen, auf der Daten sicher zwischen Benutzern und Angehörigen der Gesundheitsberufe ausgetauscht werden können.

CORSANO schützt personenbezogene Daten durch die Best Practices in der Softwareentwicklung und Cloud-Architektur und erfüllt verschiedene Sicherheits- und Datenschutzstandards (DSGVO, HIPAA, ISO 27001).

Sichere Cloud-Infrastruktur

Die beste Cloud-Infrastruktur ist entscheidend für die Sicherheit von Daten. Aus diesem Grund wählen wir die besten Partner aus und verwenden die besten Technologien und Praktiken, um Sicherheit, Datenschutz und ein Höchstmaß an Service für unsere Benutzer und Kunden zu gewährleisten.

CORSANO speichert alle Produktionsdaten in physisch sicheren Rechenzentren. Wir verwenden Lösungen von Amazon Web Services (AWS), Pionier in der Unterstützung von Gesundheitsdaten, um alle Aspekte der Datensicherheit zu meistern. Als AWS Business Associate können wir die Einhaltung höchster Datensicherheit und Datenschutz garantieren.

https://aws.amazon.com/ru/health/healthcare-compliance/

Daten Center

Sicheres Design

Die Sicherheit wird durch das Design gewährleistet, beginnend mit der sorgfältigen Standortauswahl, basierend auf einer anfänglichen geografischen Bewertung, um Umweltrisiken zu vermeiden.

Rechenzentrumsredundanz und automatisches Verkehrsmanagement ermöglichen die Aufrechterhaltung des höchsten Serviceniveaus.

Physischer Zugang

Der Zugriff wird nur zugelassenen Mitarbeitern nach dem Prinzip der geringsten Rechte gewährt. Jeder Zugriff wird zeitlich und örtlich auf das notwendige Minimum begrenzt und regelmäßig neu evaluiert.

Überwachung und Erkennung

Unsere Rechenzentren verfügen über gemeinsame Sicherheitspraktiken, einschließlich Closed-Circuit-Videoüberwachung und rund um die Uhr besetzte Wachen, und erfordern die Verwendung biometrischer Zugangskontrollen zu unseren verschlossenen Käfigen.

Betriebsunterstützungssysteme

Strom, Klima und Temperatur werden rund um die Uhr gesteuert und überwacht. Rechenzentren sind mit Brandmelde- und Brandbekämpfungsausrüstung ausgestattet, um ein Höchstmaß an Sicherheit zu gewährleisten.

Lesen Sie weitere Informationen zu AWS-Rechenzentrumskontrollen:

https://aws.amazon.com/compliance/data-center/controls/

Netzwerksicherheit

Schutzschaltungen

Das CORSANO-Netzwerk wird durch die Verwendung von AWS-Sicherheitsdiensten (Access Control List, Firewall, Anti-Malware, Sicherung von Daten während der Übertragung über TLS, VPN…) geschützt.

Architektur

Unsere Cloud-Architektur besteht aus mehreren Sicherheitsebenen, getrennten Datenclustern, die in mehreren Verfügbarkeitszonen repliziert werden. Jede Ebene wird von Load Balancern gesteuert und durch Firewalls geschützt.

Infrastrukturanalyse

Die Infrastruktursicherheit wird von AWS-Tools analysiert, um sicherzustellen, dass sie den strengsten Praktiken in Bezug auf operative Exzellenz, Sicherheit, Zuverlässigkeit und Leistung entspricht.

Backups

CORSANO hat automatisierte Backup-Mechanismen für Daten, Software und Tools implementiert. Backups werden regelmäßig ausgeführt, getestet und auf sichere Speicher übertragen.

Ereignisprotokollierung

CORSANO überwacht kontinuierlich rund um die Uhr alle Ereignisse und ergreift je nach Schweregrad rechtzeitig geeignete Maßnahmen. Das Qualitätsmanagementsystem ISO 24 definiert klar die Vorgehensweise für das Vorfallmanagement.

Verschlüsselung

CORSANO verwendet ein hohes Maß an Verschlüsselung in allen Schichten und auf allen Kommunikationsebenen und verwendet robuste Authentifizierungstechnologien (OAuth, JWT) und die neuesten Standards verschlüsselter Protokolle (HTTPS, TLS).

Daten werden gelöscht, wenn ihre Verwendung für die beabsichtigte Verwendung des Produkts nicht unbedingt erforderlich ist. Gespeicherte Daten müssen AES-256 oder höher verwenden.

Sicherheit von Diensten und Anwendungen

Für Dienste und Anwendungen liefern, warten und verwalten wir Datenschutz und Sicherheit in allen Phasen ihres Lebenszyklus.

Gesicherte Entwicklung

Best Practices für die Codeentwicklung

Unsere Entwickler verwenden die Best Practices für die Programmierung (OWASP Top 10 Sicherheitsrisiken) und halten eine API-Sicherheitscheckliste auf dem neuesten Stand.

Agile Organisation, Code Review und Testing

Alle Entwicklungsaktivitäten werden in AGILE-Methode mit Sprints und klarer Priorisierung der Aufgaben organisiert. Der Entwicklungsprozess umfasst Code-Reviews, Unit-Tests, funktionale Integrationstests und Sicherheitstests.

Software Qualitätssicherung

Der Software-Lebenszyklus, einschließlich Entwicklung, Tests, Konfiguration und Releases, ist vollständig konform mit dem IEC 62304-Standard für medizinische Software.

Schwachstellenmanagement

Automatisierte Sicherheitstests

An jedem Block der Cloud-Infrastruktur werden automatisierte Sicherheitstests durchgeführt, um potenzielle Schwachstellen aufzudecken.

Penetrationstests von Drittanbietern

Harte Penetrationstests werden regelmäßig von erfahrenen Unternehmen durchgeführt, die auf Penetrationstests und ethisches Hacken spezialisiert sind.

Authentifizierungssicherheit

Kennwortrichtlinie

CORSANO erfordert die Verwendung eines starken Passworts und erfüllt internationale Empfehlungen in Bezug auf Robustheit.

Multi-Faktor-Authentifizierung

MFA wird für den gesamten Zugriff auf kritische Daten und Ressourcen verwendet.

APIs

CORSANO-APIs verwenden die Methoden OAuth 2.0 und JWT, um Anwendungen zu authentifizieren. Komplexe Schlüssel, Token-Ablauf und andere Best Practices werden zum Schutz vor Brute Force und anderen Sicherheitsangriffen verwendet.

Rollenbasierte Zugriffskontrollen

Rollenbasierte Zugriffskontrollen werden mit dem Ansatz der geringsten Rechte verwendet, um den Datenschutz zu gewährleisten und die Risiken zu begrenzen.

Sicherung von Daten während der Übertragung

Die gesamte Kommunikation über das öffentliche Netzwerk wird mit den besten Industriestandards von HTTPS/TLS (TLS 1.2 oder höher) verschlüsselt.

Zertifizierungen & Standards

Um den Datenschutz und die Sicherheit unserer Produkte und Dienstleistungen zu gewährleisten, halten wir uns an die höchsten Standards des Gesundheitsdatenschutzes.

Zertifizierungen

Unsere Rechenzentren sind für Informationssicherheit zertifiziert.

AWS ist für die Einhaltung von ISO/IEC 27001:2013, 27017:2015, 27018:2019, 27701:2019, 9001:2015 und CSA STAR CCM v3.0.1 zertifiziert.

Lesen Sie mehr über die AWS-Zertifizierung:

https://aws.amazon.com/compliance/iso-certified/

Standards

Allgemeine Datenschutzverordnung – Europäische Union 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Health Insurance Portability and Accountability Act (HIPAA) von 1996. Standard für das Hosting personenbezogener Gesundheitsdaten.

Kontinuierliche Verbesserung

Als nach ISO 13485 zertifiziertes Unternehmen hat CORSANO ein Qualitätsmanagementsystem (QMS) für die Entwicklung und Produktion von Medizinprodukten etabliert. Das Unternehmen strebt eine kontinuierliche Verbesserung an, um seinen Kunden die besten Produkte zu liefern.

Interne Audits

Interner Revisionsplan

Ein Auditplan wird jährlich festgelegt. Audits mit externen und internen Experten werden regelmäßig durchgeführt. Die QMS- und Produktkonformität wird in vierteljährlichen Überprüfungssitzungen überprüft.

Managementbewertung

Management Reviews stellen sicher, dass das Management jährlich systematisch die Compliance der Prozesse, der Produkte und des Unternehmens überprüft. Dies ermöglicht es, Verbesserungsmöglichkeiten zu bewerten und über strategische Maßnahmen zur Verbesserung der langfristigen Qualität der Produkte zu entscheiden.

Externe Audits

Audits des Qualitätsmanagementsystems

CORSANO wird jährlich von der Benannten Stelle Kiwa-Dare auf die Einhaltung der Norm ISO 13485 für Qualitätsmanagementsysteme für Medizinprodukte geprüft.

Security Audit

Expertenunternehmen führen regelmäßig Sicherheitsaudits und Penetrationstests durch, um sicherzustellen, dass das Unternehmen auf dem neuesten Stand ist und die höchsten Datensicherheits- und Datenschutzstandards anwendet.

Audits zur Konformitätsbewertung

Konformitätsbewertungsaudits werden von akkreditierten und unabhängigen externen Experten durchgeführt. Dadurch wird die Konformität der Unternehmensabläufe und -technologie mit den Vorschriften (DSGVO, HIPAA) sichergestellt.

Richtlinien, Verträge und Projektsicherungen

Um den Datenschutz in unseren Produkten und Dienstleistungen zu gewährleisten, wenden wir die höchsten Standards des Gesundheitsdatenschutzes an.

Verwaltung von Subunternehmern

CORSANO arbeitet mit mehreren Subunternehmern zusammen, die sorgfältig ausgewählt wurden und regelmäßig nach dem Lieferantenmanagementverfahren unseres zertifizierten QMS bewertet werden.

CORSANO hat spezielle DPAs (Datenschutzvereinbarungen) mit den kritischen Lieferanten, wenn es um die Datenverarbeitung geht, um sicherzustellen, dass die Datenschutz- und Sicherheitsrichtlinien des Unternehmens in allen Phasen der Produkt- und Serviceerstellung und -bereitstellung eingehalten werden.

Vereinbarung zum Mitarbeitergeheimnis

Alle Mitarbeiter müssen Geheimhaltungs- und Vertraulichkeitsvereinbarungen unterzeichnen. Diese Geheimhaltungsvereinbarung gilt auch nach Beendigung des Arbeitsverhältnisses.

Sicherheitsbewusstsein

Sicherheitsrichtlinien

CORSANO und seine Partner haben eine umfassende Reihe von Richtlinien und Verfahren entwickelt, um die Vertraulichkeitspflicht der Mitarbeiter, bewährte Sicherheitspraktiken, Kunden- und interne Privatsphäre sowie das Management von Vorfällen abzudecken. CORSANO hat einen DPO (Data Privacy Officer) benannt, der für den Datenschutz und die Sicherheit im Unternehmen verantwortlich ist und den Aufsichtsbehörden Bericht erstattet.

Bewusstsein für Informationssicherheit

Datensicherheit und Datenschutz werden als Priorität angesehen und alle Mitglieder von CORSANO HEALTH werden ermutigt, ihr Wissen in Schulungen und Veranstaltungen zu erweitern, damit die Datensicherheit Teil der Unternehmenskultur ist.

Einhaltung der Datenschutz-Grundverordnung (DSGVO)

CORSANO setzt sich leidenschaftlich dafür ein, dass unsere Kunden die Datenschutzbestimmungen einhalten können, einschließlich der DSGVO der Europäischen Union, die im Mai 2018 in Kraft tritt. Wir bieten unseren Kunden Kontrollen auf Unternehmensniveau, um den Zugriff zu verwalten, zu regeln und die Sicherheit von Personen zu gewährleisten Daten, die in der Corsano Health Cloud gespeichert sind. Wie von der DSGVO gefordert, ermöglicht CORSANO Kunden, personenbezogene Daten zu korrigieren, zu exportieren oder dauerhaft zu löschen. Wir löschen auch personenbezogene Daten aus internen Verarbeitungssystemen, um die Daten, die wir gemäß Artikel 5 der DSGVO speichern, zu minimieren. Bitte besuchen Sie unsere DSGVO Seite, um mehr darüber zu erfahren, wie CORSANO die Messlatte für den Schutz personenbezogener Kundendaten setzt.

Um einen Vorfall, ein Anliegen oder allgemeine Sicherheitsfragen zu melden, senden Sie bitte eine E-Mail privacy@corsano.com

 

 

 

 

Übersetzen