Sicherheit
Der Schutz Ihrer Daten ist unsere Priorität und wir sorgen für Sicherheit und Schutz auf allen Ebenen
Erfahren Sie mehr über den kontinuierlichen Weg von CORSANO in die Cloud und unseren innovativen Einsatz von Sicherheitsangeboten zur Reduzierung von Risiken und zur Verbesserung des Datenschutzes. Hier ist ein Überblick darüber, wie wir die Sicherheit bei Corsano aufgebaut haben:
Datensicherheit
Die Daten von CORSANO-Kunden – und die Sicherheit dieser Daten – sind für uns von größter Bedeutung, weshalb wir unseren Kunden die vollständige Kontrolle über ihre Daten geben. Datensicherheit und Datenschutz haben Priorität, und wir zielen darauf ab, eine Plattform zu schaffen, auf der Daten sicher zwischen Benutzern und Angehörigen der Gesundheitsberufe ausgetauscht werden können.
CORSANO schützt personenbezogene Daten durch die Best Practices in der Softwareentwicklung und Cloud-Architektur und erfüllt verschiedene Sicherheits- und Datenschutzstandards (DSGVO, HIPAA, ISO 27001).
Sichere Cloud-Infrastruktur
Die beste Cloud-Infrastruktur ist entscheidend für die Sicherheit von Daten. Aus diesem Grund wählen wir die besten Partner aus und verwenden die besten Technologien und Praktiken, um Sicherheit, Datenschutz und ein Höchstmaß an Service für unsere Benutzer und Kunden zu gewährleisten.
CORSANO speichert alle Produktionsdaten in physisch sicheren Rechenzentren. Wir verwenden Lösungen von Amazon Web Services (AWS), Pionier in der Unterstützung von Gesundheitsdaten, um alle Aspekte der Datensicherheit zu meistern. Als AWS Business Associate können wir die Einhaltung höchster Datensicherheit und Datenschutz garantieren.
https://aws.amazon.com/ru/health/healthcare-compliance/
Daten Center
Sicheres Design
Die Sicherheit wird durch das Design gewährleistet, beginnend mit der sorgfältigen Standortauswahl, basierend auf einer anfänglichen geografischen Bewertung, um Umweltrisiken zu vermeiden.
Rechenzentrumsredundanz und automatisches Verkehrsmanagement ermöglichen die Aufrechterhaltung des höchsten Serviceniveaus.
Physischer Zugang
Der Zugriff wird nur zugelassenen Mitarbeitern nach dem Prinzip der geringsten Rechte gewährt. Jeder Zugriff wird zeitlich und örtlich auf das notwendige Minimum begrenzt und regelmäßig neu evaluiert.
Überwachung und Erkennung
Unsere Rechenzentren verfügen über gemeinsame Sicherheitspraktiken, einschließlich Closed-Circuit-Videoüberwachung und rund um die Uhr besetzte Wachen, und erfordern die Verwendung biometrischer Zugangskontrollen zu unseren verschlossenen Käfigen.
Betriebsunterstützungssysteme
Strom, Klima und Temperatur werden rund um die Uhr gesteuert und überwacht. Rechenzentren sind mit Brandmelde- und Brandbekämpfungsausrüstung ausgestattet, um ein Höchstmaß an Sicherheit zu gewährleisten.
Lesen Sie weitere Informationen zu AWS-Rechenzentrumskontrollen:
https://aws.amazon.com/compliance/data-center/controls/
Netzwerksicherheit
Schutzschaltungen
Das CORSANO-Netzwerk wird durch die Verwendung von AWS-Sicherheitsdiensten (Access Control List, Firewall, Anti-Malware, Sicherung von Daten während der Übertragung über TLS, VPN…) geschützt.
Architektur
Unsere Cloud-Architektur besteht aus mehreren Sicherheitsebenen, getrennten Datenclustern, die in mehreren Verfügbarkeitszonen repliziert werden. Jede Ebene wird von Load Balancern gesteuert und durch Firewalls geschützt.
Infrastrukturanalyse
Die Infrastruktursicherheit wird von AWS-Tools analysiert, um sicherzustellen, dass sie den strengsten Praktiken in Bezug auf operative Exzellenz, Sicherheit, Zuverlässigkeit und Leistung entspricht.
Backups
CORSANO hat automatisierte Backup-Mechanismen für Daten, Software und Tools implementiert. Backups werden regelmäßig ausgeführt, getestet und auf sichere Speicher übertragen.
Ereignisprotokollierung
CORSANO überwacht kontinuierlich rund um die Uhr alle Ereignisse und ergreift je nach Schweregrad rechtzeitig geeignete Maßnahmen. Das Qualitätsmanagementsystem ISO 24 definiert klar die Vorgehensweise für das Vorfallmanagement.
Verschlüsselung
CORSANO verwendet ein hohes Maß an Verschlüsselung in allen Schichten und auf allen Kommunikationsebenen und verwendet robuste Authentifizierungstechnologien (OAuth, JWT) und die neuesten Standards verschlüsselter Protokolle (HTTPS, TLS).
Daten werden gelöscht, wenn ihre Verwendung für die beabsichtigte Verwendung des Produkts nicht unbedingt erforderlich ist. Gespeicherte Daten müssen AES-256 oder höher verwenden.
Sicherheit von Diensten und Anwendungen
Für Dienste und Anwendungen liefern, warten und verwalten wir Datenschutz und Sicherheit in allen Phasen ihres Lebenszyklus.
Gesicherte Entwicklung
Best Practices für die Codeentwicklung
Unsere Entwickler verwenden die Best Practices für die Programmierung (OWASP Top 10 Sicherheitsrisiken) und halten eine API-Sicherheitscheckliste auf dem neuesten Stand.
Agile Organisation, Code Review und Testing
Alle Entwicklungsaktivitäten werden in AGILE-Methode mit Sprints und klarer Priorisierung der Aufgaben organisiert. Der Entwicklungsprozess umfasst Code-Reviews, Unit-Tests, funktionale Integrationstests und Sicherheitstests.
Software Qualitätssicherung
Der Software-Lebenszyklus, einschließlich Entwicklung, Tests, Konfiguration und Releases, ist vollständig konform mit dem IEC 62304-Standard für medizinische Software.
Schwachstellenmanagement
Automatisierte Sicherheitstests
An jedem Block der Cloud-Infrastruktur werden automatisierte Sicherheitstests durchgeführt, um potenzielle Schwachstellen aufzudecken.
Penetrationstests von Drittanbietern
Harte Penetrationstests werden regelmäßig von erfahrenen Unternehmen durchgeführt, die auf Penetrationstests und ethisches Hacken spezialisiert sind.
Authentifizierungssicherheit
Kennwortrichtlinie
CORSANO erfordert die Verwendung eines starken Passworts und erfüllt internationale Empfehlungen in Bezug auf Robustheit.
Multi-Faktor-Authentifizierung
MFA wird für den gesamten Zugriff auf kritische Daten und Ressourcen verwendet.
APIs
CORSANO-APIs verwenden die Methoden OAuth 2.0 und JWT, um Anwendungen zu authentifizieren. Komplexe Schlüssel, Token-Ablauf und andere Best Practices werden zum Schutz vor Brute Force und anderen Sicherheitsangriffen verwendet.
Rollenbasierte Zugriffskontrollen
Rollenbasierte Zugriffskontrollen werden mit dem Ansatz der geringsten Rechte verwendet, um den Datenschutz zu gewährleisten und die Risiken zu begrenzen.
Sicherung von Daten während der Übertragung
Die gesamte Kommunikation über das öffentliche Netzwerk wird mit den besten Industriestandards von HTTPS/TLS (TLS 1.2 oder höher) verschlüsselt.
Zertifizierungen & Standards
Um den Datenschutz und die Sicherheit unserer Produkte und Dienstleistungen zu gewährleisten, halten wir uns an die höchsten Standards des Gesundheitsdatenschutzes.
Zertifizierungen
Unsere Rechenzentren sind für Informationssicherheit zertifiziert.
AWS ist für die Einhaltung von ISO/IEC 27001:2013, 27017:2015, 27018:2019, 27701:2019, 9001:2015 und CSA STAR CCM v3.0.1 zertifiziert.
Lesen Sie mehr über die AWS-Zertifizierung:
https://aws.amazon.com/compliance/iso-certified/
Standards
Allgemeine Datenschutzverordnung – Europäische Union 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
Health Insurance Portability and Accountability Act (HIPAA) von 1996. Standard für das Hosting personenbezogener Gesundheitsdaten.
Kontinuierliche Verbesserung
Als nach ISO 13485 zertifiziertes Unternehmen hat CORSANO ein Qualitätsmanagementsystem (QMS) für die Entwicklung und Produktion von Medizinprodukten etabliert. Das Unternehmen strebt eine kontinuierliche Verbesserung an, um seinen Kunden die besten Produkte zu liefern.
Interne Audits
Interner Revisionsplan
Ein Auditplan wird jährlich festgelegt. Audits mit externen und internen Experten werden regelmäßig durchgeführt. Die QMS- und Produktkonformität wird in vierteljährlichen Überprüfungssitzungen überprüft.
Managementbewertung
Management Reviews stellen sicher, dass das Management jährlich systematisch die Compliance der Prozesse, der Produkte und des Unternehmens überprüft. Dies ermöglicht es, Verbesserungsmöglichkeiten zu bewerten und über strategische Maßnahmen zur Verbesserung der langfristigen Qualität der Produkte zu entscheiden.
Externe Audits
Audits des Qualitätsmanagementsystems
CORSANO wird jährlich von der Benannten Stelle Kiwa-Dare auf die Einhaltung der Norm ISO 13485 für Qualitätsmanagementsysteme für Medizinprodukte geprüft.
Security Audit
Expertenunternehmen führen regelmäßig Sicherheitsaudits und Penetrationstests durch, um sicherzustellen, dass das Unternehmen auf dem neuesten Stand ist und die höchsten Datensicherheits- und Datenschutzstandards anwendet.
Audits zur Konformitätsbewertung
Konformitätsbewertungsaudits werden von akkreditierten und unabhängigen externen Experten durchgeführt. Dadurch wird die Konformität der Unternehmensabläufe und -technologie mit den Vorschriften (DSGVO, HIPAA) sichergestellt.
Richtlinien, Verträge und Projektsicherungen
Um den Datenschutz in unseren Produkten und Dienstleistungen zu gewährleisten, wenden wir die höchsten Standards des Gesundheitsdatenschutzes an.
Verwaltung von Subunternehmern
CORSANO arbeitet mit mehreren Subunternehmern zusammen, die sorgfältig ausgewählt wurden und regelmäßig nach dem Lieferantenmanagementverfahren unseres zertifizierten QMS bewertet werden.
CORSANO hat spezielle DPAs (Datenschutzvereinbarungen) mit den kritischen Lieferanten, wenn es um die Datenverarbeitung geht, um sicherzustellen, dass die Datenschutz- und Sicherheitsrichtlinien des Unternehmens in allen Phasen der Produkt- und Serviceerstellung und -bereitstellung eingehalten werden.
Vereinbarung zum Mitarbeitergeheimnis
Alle Mitarbeiter müssen Geheimhaltungs- und Vertraulichkeitsvereinbarungen unterzeichnen. Diese Geheimhaltungsvereinbarung gilt auch nach Beendigung des Arbeitsverhältnisses.
Sicherheitsbewusstsein
Sicherheitsrichtlinien
CORSANO und seine Partner haben eine umfassende Reihe von Richtlinien und Verfahren entwickelt, um die Vertraulichkeitspflicht der Mitarbeiter, bewährte Sicherheitspraktiken, Kunden- und interne Privatsphäre sowie das Management von Vorfällen abzudecken. CORSANO hat einen DPO (Data Privacy Officer) benannt, der für den Datenschutz und die Sicherheit im Unternehmen verantwortlich ist und den Aufsichtsbehörden Bericht erstattet.
Bewusstsein für Informationssicherheit
Datensicherheit und Datenschutz werden als Priorität angesehen und alle Mitglieder von CORSANO HEALTH werden ermutigt, ihr Wissen in Schulungen und Veranstaltungen zu erweitern, damit die Datensicherheit Teil der Unternehmenskultur ist.
Einhaltung der Datenschutz-Grundverordnung (DSGVO)
CORSANO setzt sich leidenschaftlich dafür ein, dass unsere Kunden die Datenschutzbestimmungen einhalten können, einschließlich der DSGVO der Europäischen Union, die im Mai 2018 in Kraft tritt. Wir bieten unseren Kunden Kontrollen auf Unternehmensniveau, um den Zugriff zu verwalten, zu regeln und die Sicherheit von Personen zu gewährleisten Daten, die in der Corsano Health Cloud gespeichert sind. Wie von der DSGVO gefordert, ermöglicht CORSANO Kunden, personenbezogene Daten zu korrigieren, zu exportieren oder dauerhaft zu löschen. Wir löschen auch personenbezogene Daten aus internen Verarbeitungssystemen, um die Daten, die wir gemäß Artikel 5 der DSGVO speichern, zu minimieren. Bitte besuchen Sie unsere DSGVO Seite, um mehr darüber zu erfahren, wie CORSANO die Messlatte für den Schutz personenbezogener Kundendaten setzt.
Um einen Vorfall, ein Anliegen oder allgemeine Sicherheitsfragen zu melden, senden Sie bitte eine E-Mail privacy@corsano.com