Programa de Segurança do Oracle Health and AI (OHAI)

Os produtos apresentados destinam-se a ser exemplos do que foi fornecido em casos específicos. Cada produto/dispositivo médico é projetado para cumprir os regulamentos da geografia onde é usado. No entanto, não podemos garantir sua disponibilidade ou conformidade em outras regiões específicas. Adaptações locais podem ser necessárias para atender aos requisitos regionais.

Este Programa de Segurança da OHAI é projetado em torno das plataformas hospedadas da OHAI – o hardware e os sistemas operacionais nos quais aplicativos e soluções são implantados pela OHAI nos ambientes hospedados da OHAI em nome de seus clientes. Oracle Health Millenium®, HealtheIntent® e CareAware® são exemplos de plataformas. Assumimos a propriedade e responsabilidade pela segurança cibernética e gerenciamento de incidentes de sistemas de operações de hospedagem para proteger a confidencialidade, integridade e disponibilidade de dados de clientes hospedados. Os clientes são responsáveis por gerenciar certos aspectos da segurança, incluindo o controle do acesso do usuário final, a adição de extensões/integrações personalizadas e o processamento legal de dados.

A OHAI oferece serviços de hospedagem em todo o mundo, utilizando o mesmo programa de conformidade de segurança e políticas de segurança da informação, independentemente da instalação em que os dados do cliente estão hospedados. Os dados do cliente serão armazenados e hospedados no mesmo país em que o cliente está localizado, a menos que seja mutuamente acordado. Existem algumas diferenças operacionais dependendo do tipo de data center utilizado, mas o nosso programa de segurança da informação não muda.

  • OHAI Cloud Hosting – A opção de hospedagem em nuvem da OHAI permite que nossos clientes usem soluções habilitadas para nuvem para se manterem facilmente atualizados sobre a funcionalidade e a tecnologia de aplicativos usadas para fornecer os aplicativos aos usuários finais. A Oracle Cloud Infrastructure (OCI), o ambiente de computação em nuvem da Oracle, é uma plataforma de nuvem escalável, altamente disponível e econômica. A OCI tem regiões de nuvem pública comercial e governamental e está localizada em todo o mundo. A OHAI também utiliza um provedor de nuvem pública de terceiros para alguns serviços hospedados.
  • Instalações do Data Center da OHAI – As instalações do data center da OHAI são construídas levando em consideração quaisquer riscos de desastres naturais para as áreas geográficas em que estão localizadas. Os data centers têm medidas de segurança física e ambiental em uma abordagem estratégica em camadas para deter, atrasar e detectar qualquer tentativa de intrusão. Essas medidas são projetadas para fornecer um ambiente reforçado, seguro e confiável.
  • Fornecedores de Serviço de Dados Co-localizados – A OHAI utiliza provedores de serviço de co-localização de data center equivalentes de Nível 3 em algumas regiões. Os serviços fornecidos pelos provedores de data center incluem operações de data center (ou seja, entrega de energia, resfriamento, supressão de incêndios) e segurança física até os gaiolas de data center da OHAI. O equipamento de computador e o equipamento de rede (como servidores, firewalls ou cabeamento de rede) são de propriedade e mantidos pela OHAI e não compartilhados com outros tenants de data center. Os prestadores de serviços não têm acesso a nenhum dado hospedado nas gaiolas do data center da OHAI e não processam nenhum dado pertencente aos clientes da OHAI. As certificações de provedores de serviços de localização incluem certificações de segurança, ambientais e de saúde e segurança reconhecidas pelo setor, como as certificações ISO 27001 e ISO 14001 e os relatórios SOC 2 Tipo II.

Usar um provedor de serviços de colocation de data center de terceiros não altera a maneira como gerenciamos nosso programa de segurança, nem fornece ao provedor de serviços acesso aos nossos sistemas ou redes.

Políticas e Procedimentos

A OHAI mantém um programa documentado de privacidade de informações, segurança e risk management com funções, responsabilidades, políticas e procedimentos claramente definidos que são projetados para proteger as informações mantidas nas plataformas da OHAI. Programa da OHAI, no mínimo:

  • Atribuir responsabilidades e responsabilidades de segurança de dados a indivíduos específicos;
  • Descreve o uso aceitável da plataforma da OHAI;
  • Fornecer atributos de controle de acesso e senha para usuários finais, administradores e sistemas operacionais da OHAI;
  • Reforçar os requisitos de autenticação do usuário final da OHAI;
  • Descreve o registro de auditoria e o monitoramento de ambientes de produção hospedados no OHAI;
  • Detalha o plano de resposta a incidentes da OHAI;
  • Descreve controles apropriados do risk management, certificações de segurança e avaliações periódicas de risco; e
  • Descreve os requisitos de segurança física e ambiental para as redes, escritórios e data centers da OHAI.

A OHAI controla e não distribui cópias escritas ou eletrônicas de suas políticas e procedimentos de segurança. A OHAI analisa e modifica regularmente seu programa de segurança para refletir as mudanças na tecnologia, regulamentos, leis, riscos, práticas do setor e segurança e outras necessidades de negócios.


Segurança Técnica

Gerenciamento de identidade e acesso

A OHAI concede acesso aos sistemas clientes com base na função, na conclusão do treinamento necessário e no princípio do privilégio mínimo necessário para as responsabilidades do cargo. Os processos de aprovação de acesso são rigorosamente aplicados, garantindo que o acesso seja apropriado e atenda aos requisitos de conformidade.

As equipes são obrigadas a monitorar o acesso e verificar a inatividade a cada mês, revogando a autorização de acesso conforme apropriado. As identidades dos funcionários são validadas por meio de autenticação de dois fatores ao usar uma conexão VPN. A autenticação usando uma VPN aprovada é necessária para acessar ambientes de nuvem, que são separados das redes corporativas.

O acesso a recursos e sistemas é revisado quando um funcionário altera a função, com o acesso revogado quando apropriado. O acesso do funcionário também é revogado quando o emprego é encerrado (voluntária ou involuntariamente).

Gerenciamento de Configuração e Proteções de Rede

A OHAI usa vários aplicativos de segurança sobrepostos e contramedidas em seu programa de segurança para proteger as plataformas. A seguir estão alguns exemplos das tecnologias de segurança que a OHAI implementa para proteger as plataformas:

  • Software Antivírus – O software Antivírus (AV), o software antimalware e os controles de compensação são usados, conforme apropriado, em todo o ambiente hospedado. As atualizações do arquivo de padrões são implantadas diariamente. Os dados de entrada são digitalizados em tempo real e as unidades do sistema são digitalizadas semanalmente. Além de manter as assinaturas de vírus atualizadas, o software AV e os mecanismos de varredura são atualizados para manter e melhorar sua eficácia.
  • Network Firewalls – As conexões de rede de perímetro e infraestrutura crítica são protegidas por tecnologias de firewall de rede padrão do setor.
  • Sistemas de Prevenção de Invasão (IPS) – Os appliances em linha são colocados estrategicamente dentro da infraestrutura de rede para identificar comportamento malicioso ou anômalo. Cada conexão que atravessa as interfaces do firewall e cada conexão principal que atravessa a rede principal é inspecionada para garantir a validade.
  • Negação de Serviço – A OHAI trabalha em estreita colaboração com seus provedores de serviços de Internet para detectar e se defender contra ataques de acesso de negação de serviço.
  • Servidores Proxy – O acesso de aplicativos externos em redes públicas é verificado por worms e vírus antes de estabelecer a conexão com o servidor de destino. As solicitações de saída via web e FTP são filtradas em uma lista autorizada e verificadas quanto a worms e vírus.
  • Proteção do Sistema – Os modelos de servidor são atualizados para práticas padrão do setor em configurações seguras. Novas imagens são carregadas em todos os novos servidores e em servidores mais antigos, conforme necessário.
  • Gerenciamento de patches – A OHAI mantém um sistema automatizado de inventário e aplicação de patches do sistema, fornecendo visibilidade às alterações do sistema. A OHAI obtém notificação atualizada de patches por meio de seus relacionamentos com parceiros e testa patches usando vários processos antes de aplicar os patches nas plataformas aplicáveis.
  • Separação de Ambientes – A OHAI mantém a separação lógica e física apropriada de seus ambientes de desenvolvimento, teste e produção do cliente.

Gerenciamento do Sistema

Logs no Nível do Sistema

A OHAI registra o acesso e a atividade em dispositivos de rede, componentes de infraestrutura de segurança e sistemas de servidor em um repositório de registro de segurança empresarial. Os logs são transferidos para uma ferramenta SIEM (Security Information and Event Management) para monitoramento, análise, solução de problemas, conformidade e auditoria de eventos do sistema. Usando o SIEM, o pessoal de segurança elabora perfis de eventos comuns para se concentrar em atividades incomuns, evitar falsos positivos, identificar anomalias e evitar alertas insignificantes.

Criptografia e Armazenamento Criptográfico

A OHAI usa mecanismos de criptografia adequados para proteger os dados. A OHAI realiza avaliações de risco para avaliar como os dados estão sendo consumidos e a sensibilidade geral dos dados. Os dados são criptografados na transmissão por redes públicas. A OHAI gerencia a infraestrutura de chave pública e privada da rede do cliente. OHAI se esforça para usar algoritmos FIPS 140-2 quando suportados pelo módulo criptográfico. A OHAI também suporta os protocolos de criptografia AES (Advanced Encryption Standard) e TLS (Transport Layer Security).

Gerenciamento de Vulnerabilidades e Ameaças

O teste de penetração é realizado por profissionais de segurança da OHAI que possuem certificações e credenciais apropriadas do setor. Além disso, a OHAI envolve anualmente um terceiro para realizar testes de penetração externos. Como parte do programa de gerenciamento de vulnerabilidades e ameaças da OHAI, os profissionais de segurança da OHAI analisam e quantificam o potencial de risco de vulnerabilidades e ameaças identificadas para a OHAI e seus clientes.

A OHAI realiza varredura contínua da produção das plataformas da OHAI. A OHAI pontua vulnerabilidades com base no impacto esperado no ambiente e na exposição externa. Quando a vulnerabilidade é pontuada, um processo para mitigar ou remediar a vulnerabilidade é iniciado.

As vulnerabilidades identificadas são avaliadas quanto ao risco e mitigadas ou corrigidas de acordo com seu nível de severidade. Essa análise inclui o uso de padrões do setor, como o sistema de pontuação de vulnerabilidade comum do NIST (NIST CVSS), e a verificação de penetração interna de ambientes usando ferramentas padrão do setor. A OHAI se esforça para corrigir vulnerabilidades dentro dos prazos estabelecidos abaixo:

  • Urgente – duas semanas se um método de solução alternativa aprovado estiver disponível ou 48 horas quando nenhuma solução alternativa associada estiver disponível
  • Crítico – 30 dias
  • Crítico – 90 dias
  • Crítico – 180 dias
  • Crítico – 365 dias

Segurança Física e Ambiental

Medidas de segurança física e ambiental são implementadas em uma abordagem estratégica em camadas para deter, atrasar e detectar qualquer tentativa de intrusão. Essas medidas são projetadas de acordo com as necessidades exclusivas da instalação e para garantir que os sistemas críticos recebam um ambiente reforçado, seguro e confiável.

No mínimo, a OHAI garante que os seguintes controles de segurança física e ambiental sejam mantidos nos data centers da Oracle Health e em qualquer provedor de serviços em co-localização aproveitado pela OHAI:

  • Sistemas de controle de acesso para restringir a entrada exclusivamente ao pessoal da OHAI e a terceiros autorizados.
  • Instalação projetada com controles ambientais padrão da indústria (como sistemas de detecção e supressão de incêndio, sistemas de resfriamento, controles de umidade, controles de distribuição de energia, fonte de alimentação ininterrupta e capacidade de gerador de backup).
  • Instalação projetada com controles de parâmetros padrão da indústria (como estações de guarda, barreiras físicas, vigilância por vídeo e design adequado resistente a intempéries).

Gerenciamento do Incidente

Centro de Resposta Imediata (IRC)

O principal dever do IRC é responder a chamadas de suporte de segundo e terceiro níveis dos help desks do cliente e resolver problemas relatados. Os problemas relatados são documentados e armazenados em um repositório central. A equipe do IRC usa ferramentas de monitoramento do sistema para rastrear e responder a alarmes e avisos e tomar as medidas apropriadas. O IRC da OHAI é está disponível todos os dias da semana.

Centro de Resposta a Incidentes de Segurança Computacional (CSIRC)

O Centro de Resposta a Incidentes de Segurança Computacional (CSIRC) da OHAI é o centro de controle para gerenciamento de eventos de incidentes de segurança e é responsável pelo monitoramento contínuo de ameaças das plataformas da OHAI. A equipe do CSIRC ingere e coordena respostas a informações de inteligência de ameaças internacionais, federais e do setor de tecnologia, em um esforço para proteger os ambientes OHAI. Além disso, a equipe aproveita as ferramentas padrão do setor para analisar sistematicamente os registros para identificar possíveis atividades não autorizadas e se concentrar em possíveis ameaças.

Incidentes de Segurança

A OHAI mantém um processo de gerenciamento de incidentes de segurança para investigar, mitigar e comunicar eventos de segurança do sistema que ocorrem em uma plataforma. Os clientes afetados são informados de incidentes de segurança relevantes em tempo hábil e aconselhados sobre as medidas corretivas recomendadas a serem tomadas.

Gerenciamento de Eventos de Segurança

A OHAI não notifica os clientes ou fala publicamente sobre eventos de vulnerabilidade "nomeados". A critério exclusivo da OHAI, a OHAI pode emitir uma resposta específica a uma vulnerabilidade que a OHAI determinou exigir atenção imediata com base na inteligência contra ameaças coletada. Caso contrário, a OHAI não notificará clientes ou atenderá a solicitações de clientes para revisar um ambiente em busca de vulnerabilidades.


Gerenciamento de Alterações

A OHAI mantém processos de gerenciamento de mudanças, com base nas melhores práticas da Biblioteca de Infraestrutura de Tecnologia da Informação (ITIL), que são projetadas em torno do tipo de mudança e do nível de risco associado a essa mudança. As políticas da OHAI exigem que a OHAI comunique as alterações relevantes não rotineiras que ela faz ao sistema de um cliente com o cliente afetado. As alterações são validadas, revisadas e recebem aprovações de acordo com o risco da alteração. A OHAI usa Change Advisory Boards (CABs) para revisar alterações significativas com tempo de inatividade conhecido ou risco aumentado. As alterações são registradas e mantidas no sistema centralizado de solicitação de alterações da OHAI. Os clientes são responsáveis por controlar e documentar todas as modificações do sistema que realizam.


Planejamento de Contingência

O programa de contingência da OHAI é baseado na ISO 22301 e é projetado para garantir a operação contínua de tecnologia essencial, apoiando funções internas e externas do cliente durante qualquer incidente (por exemplo, uma situação que pode ser, ou pode levar a, uma interrupção prolongada, perda, emergência ou crise).

Recuperação de Desastres e Resiliência

A OHAI fornece uma infraestrutura redundante e altamente disponível para minimizar interrupções nos ambientes de produção. Se ocorrer um incidente disruptivo, a OHAI segue um programa de contingência estabelecido, exercido e documentado para restaurar o serviço da forma mais rápida e eficaz possível, usando medidas comercialmente razoáveis. A parte de gerenciamento de incidentes do programa de planejamento de contingência da OHAI é testada, revisada e atualizada anualmente. A OHAI oferece diferentes níveis de serviços de recuperação de desastres com base na plataforma aplicável.


Ciclo de vida de desenvolvimento do software

A OHAI está alinhando suas práticas de segurança com a Oracle. Para o desenvolvimento de novos produtos, a OHAI aproveita o Oracle Software Security Assurance (OSSA), que abrange todas as fases do ciclo de vida de desenvolvimento de produtos e é a metodologia da Oracle para integrar a segurança ao design, à criação, aos testes e à manutenção de seus produtos. As práticas de desenvolvimento seguro da Oracle visam prevenir vulnerabilidades comuns, incluindo aquelas identificadas no Top 10 do OWASP. Para obter mais informações, consulte https://www.oracle.com/corporate/security-practices/assurance/development/


Equipe

Conscientização de Segurança

O programa de conscientização de segurança da OHAI exige que os associados participem de atividades obrigatórias de educação e treinamento relacionadas ao seu papel específico. Essas atividades são projetadas para manter a eficácia da postura de segurança da OHAI e incluem:

  • Campanhas de educação continuada;
  • Formação anual de segurança;
  • Treinamento de segurança localizado;
  • Phishing e outros golpes de reconhecimento; e
  • Boletins de segurança direcionados.

Diretrizes de Requisitos de Emprego

Em 2003, a OHAI iniciou seu processo de triagem regular de seus candidatos a emprego em estágio de oferta por meio de um processo de verificação de antecedentes. A partir de 2012, a OHAI começou a exigir que os candidatos se submetessem a uma triagem de drogas antes de iniciar o emprego.

Verificações de Experiência Anterior

O processo de verificação de antecedentes do candidato da OHAI varia de acordo com a função potencial do candidato e a lei aplicável. Por exemplo, na medida permitida pela lei aplicável, as verificações de antecedentes nos EUA e no Canadá consistem em:

  • Histórico de emprego que remonta a cinco anos;
  • Verificação de educação (grau mais alto), conforme exigido com base na função;
  • Busca criminal que remonta a sete anos;
  • Rastreamento do Número de Seguridade Social (apenas nos EUA);
  • Verificação de sanções de saúde (apenas nos EUA);
  • Sanções globais e verificação da execução;
  • Testes de drogas (apenas para certas posições): e
  • Certificados profissionais (apenas para determinadas posições).

Subcontratantes

A OHAI exige que os subcontratados garantam a competência e a elegibilidade de seus funcionários que prestam serviços aos clientes da OHAI. O pessoal do subcontratante é obrigado a concluir verificações de antecedentes aplicáveis aos serviços prestados; tais verificações de antecedentes devem ser pelo menos tão prescritivas quanto as verificações de antecedentes exigidas pela OHAI para os associados da OHAI.

Gerenciamento de riscos de terceiros

A OHAI exige acordos de associação comercial e acordos de confidencialidade com seus provedores de serviços de co-localização e os fornecedores que usa para fornecer a plataforma, conforme apropriado, com base no acesso dessa entidade a dados e outras informações confidenciais. A OHAI exige que seus fornecedores preencham um questionário de segurança de dados como parte do processo de avaliação da OHAI para o fornecedor. Além disso, a OHAI realiza avaliações anuais dos riscos de segurança dos fornecedores com base no perfil de risco desse fornecedor.

Recursos Internacionais

A OHAI é uma empresa global com escritórios e associados em todo o mundo. O atual modelo operacional e de suporte da OHAI inclui o uso de associados globais. A OHAI pode fornecer acesso temporário às plataformas de fora do país onde a plataforma aplicável está hospedada. Todos os associados com acesso à plataforma são obrigados a participar de atividades de educação e treinamento obrigatórias relacionadas à sua função específica e são obrigados a seguir as políticas e processos de segurança da OHAI. Os registros de treinamento são rastreados e mantidos para fins de conformidade.

Destruição da mídia

Todos os meios de armazenamento utilizados para a prestação dos serviços de hospedagem da OHAI são limpos e descartados de acordo com a política da OHAI para o descarte de mídia eletrônica. A política segue a Regra de Segurança HIPAA, ISO 27001 e NIST 800-88.

A OHAI poderá fornecer hardware aos clientes para uso em seus locais. Qualquer informação armazenada no hardware fornecido pela OHAI, mas localizada no local do cliente, é considerada de responsabilidade do cliente. Nesses casos, os clientes são responsáveis por decisões relativas à sanitização ou destruição de mídia de armazenamento de dados no final do ciclo de vida de uso do hardware.


Certificações e auditorias

A OHAI realiza regularmente avaliações internas e é submetida a auditorias externas para examinar os controles presentes na plataforma e nas operações da OHAI e validar se a OHAI está operando efetivamente de acordo com seu Programa de Segurança da OHAI.

HIPAA - Lei de Portabilidade e Responsabilidade do Seguro Saúde de 1996

A OHAI estabeleceu e mantém os controles necessários para a conformidade com a HIPAA (conforme alterado pela HITECH). Avaliações HIPAA (internas ou externas) ocorrem anualmente e examinam todos os ambientes corporativos e de clientes apropriados em nossos locais nos EUA.

Atestados SOC 1 e SOC 2 Tipo II

Os atestados de terceiros são realizados nos ambientes hospedados da OHAI, medindo e testando a eficácia das mitigações de risco da OHAI relacionadas aos Princípios de Serviço Confiável da AICPAs relevantes para segurança, disponibilidade e confidencialidade. Os relatórios SOC são preparados de acordo com as diretrizes da AICPAs SSAE e são específicos dos serviços e controles de hospedagem gerenciados pela OHAI e atualmente incluem os seguintes locais de hospedagem: EUA, Canadá e Suécia. Os locais de relatórios SOC estão sujeitos a alterações à medida que a OHAI analisa suas necessidades de negócios em constante mudança. Trabalharemos com os clientes para ajudá-los a obter o relatório SOC apropriado da OHAI, conforme aplicável, ou um provedor de colocation.

ISO 27001/27002:2022

O ISMF (Information Security Management Framework) da OHAI está em conformidade com os princípios da norma ISO 27001/27002:2022 e as políticas da ISMF são aplicáveis à maioria das plataformas da OHAI.

Temos uma dependência de data centers de co-localização no Canadá, Suécia, Reino Unido, França e Austrália e provedores públicos de cloud service para seus controles de segurança física e ambiental. De acordo com nossos auditores independentes, somente os data centers e escritórios de propriedade da Oracle Health podem ser identificados e incluídos na certificação ISO da Oracle Health. Os processos que gerenciam data centers de co-localização são cobertos pelos escritórios da Oracle Health identificados na certificação ISO. A Oracle Health pode confirmar que seus processos que gerenciam data centers em provedores de serviços de data center de co-localização foram incluídos na certificação ISO da Oracle Health. Isso é consistente com os vários provedores de serviços de data center de co-localização usados em todo o mundo. A Oracle Health possui apenas data centers nos Estados Unidos, e é por isso que eles são identificados na certificação. Para operações específicas de provedores de serviços de data center de colocation, os clientes precisariam confiar na própria certificação ISO do provedor.

Relatório de Resumo de Testes de Penetração

A OHAI envolve anualmente um terceiro para realizar testes de penetração externos nas plataformas da OHAI. A OHAI recebe um relatório resumido de testes de penetração que descreve os testes de penetração realizados, confirma que uma metodologia padrão do setor, ferramentas de teste e um banco de dados nacional de vulnerabilidade foram usados na realização dos testes de penetração e identifica vulnerabilidades conhecidas dentro das Plataformas. A OHAI corrige as vulnerabilidades identificadas com base no risco e resolve essas vulnerabilidades por meio de um plano de correção monitorado ativamente.

PCI-DSS – Payment Card Industry Data Security Standard

A OHAI recebe um Atestado de Conformidade de terceiros (AoC) para demonstrar a conformidade com o PCI DSS como um provedor de Serviço de Nível 1 para o processamento de pagamentos suportados por determinadas soluções da OHAI. Para obter mais informações sobre quais soluções da OHAI são suportadas por este AoC, entre em contato com seu representante da OHAI.

Escudo de Proteção da Privacidade UE-EUA

A OHAI tem autocertificação para os EU-EUA. Privacy Shield e a Suíça-EUA. Escudo de Privacidade.

Suporte a questionários de segurança do cliente

Mediante solicitação de um cliente para preencher um questionário ou avaliação de segurança, a OHAI fornecerá documentação de terceiros aplicável de nosso Programa de Conformidade de Segurança, conforme descrito acima. Documentação adicional pode ser fornecida quando está disponível, como questionários de segurança padronizados pré-preenchidos (CAIQs) ou uma Visão Geral do Supplier Risk Management de um aplicativo de terceiros. Os clientes podem aproveitar esses relatórios para avaliar a postura de segurança da OHAI e a conformidade com os termos contratuais. Colaboraremos com os clientes para responder a perguntas de avaliação de segurança razoáveis e específicas não tratadas por meio desses resultados padrão.

Um dos nossos muitos controles de segurança inclui garantir que não fornecemos informações confidenciais e confidenciais que expõem a OHAI ou nossos clientes a riscos adicionais. Nós levamos a segurança de seus dados muito a sério, e não vamos prejudicá-lo para satisfazer os pedidos de informações sensíveis específicas quando auditores terceiros validaram nosso programa de segurança.