Programme de sécurité Oracle Health and AI (OHAI)

Les produits présentés sont fournis à titre d'exemple pour illustrer certains cas spécifiques. Chaque dispositif ou produit médical est conçu pour être conforme aux réglementations de la zone géographique dans laquelle il est utilisé. Cependant, nous ne pouvons garantir sa disponibilité ou sa conformité dans d'autres régions. Des adaptations locales peuvent être nécessaires pour répondre aux exigences régionales.

Ce programme de sécurité OHAI est conçu autour des plates-formes hébergées par OHAI : le matériel et les systèmes d'exploitation sur lesquels les applications et les solutions sont déployées par OHAI dans les environnements hébergés par OHAI pour le compte de ses clients. Oracle Health Millennium®, HealtheIntent® et CareAware® sont des exemples de plates-formes. Nous assumons la responsabilité de la cybersécurité et de la gestion des incidents des systèmes d'exploitation d'hébergement afin de protéger la confidentialité, l'intégrité et la disponibilité des données client hébergées. Les clients sont responsables de la gestion de certains aspects de la sécurité, notamment le contrôle des accès des utilisateurs finaux, l'ajout d'extensions/intégrations personnalisées et le traitement légal des données.

OHAI propose des services d'hébergement dans le monde entier, en appliquant le même programme de conformité de sécurité et les mêmes règles de sécurité de l'information, quel que soit le lieu d'hébergement des données client. Sauf accord contraire, les données client seront entreposées et hébergées dans le pays où se trouve le client. Il existe certaines différences opérationnelles selon le type de centre de données utilisé, mais notre programme de sécurité de l'information ne change pas.

  • Hébergement Cloud OHAI – L'option d'hébergement cloud d'OHAI permet à nos clients qui utilisent des solutions cloud de s'assurer que les fonctionnalités et les technologies utilisées pour fournir les applications aux utilisateurs finaux sont toujours à jour. Oracle Cloud Infrastructure (OCI), l'environnement de cloud computing d'Oracle, est une plate-forme cloud évolutive, hautement disponible et rentable. OCI dispose de régions de cloud public commerciales et gouvernementales partout dans le monde. OHAI fait également appel à un fournisseur de cloud public tiers pour certains services hébergés.
  • Centres de données OHAI – Les centres de données OHAI sont construits en tenant compte des risques de catastrophe naturelle dans les régions où ils se situent. Ils disposent de mesures de sécurité physique et environnementale selon une approche stratégique à plusieurs niveaux pour dissuader, retarder et détecter toute tentative d'intrusion. Ces mesures visent à fournir un environnement renforcé, sécurisé et fiable.
  • Fournisseurs de services de données colocalisés – Dans certaines régions, OHAI fait appel à des fournisseurs de services de colocalisation de centres de données de niveau 3. Les services fournis par ces fournisseurs comprennent l'exploitation de centres de données (c'est-à-dire, l'alimentation électrique, le refroidissement, l'extinction d'incendie) et la sécurité physique jusqu'aux cages des centres de données OHAI. L'équipement informatique et réseau (tel que les serveurs, les pare-feu ou le câblage réseau) est détenu et entretenu par OHAI et n'est partagé avec aucun autre locataire du centre de données. Les fournisseurs de services n'ont accès à aucune donnée hébergée dans les cages du centre de données OHAI et ne traitent aucune donnée relative aux clients OHAI. Les certifications des fournisseurs de services de colocalisation comprennent des certifications reconnues par l'industrie en matière de sécurité, d'environnement, de santé et sécurité, telles que les certifications ISO 27001 et ISO 14001 et les rapports SOC 2 Type II.

Le recours à un fournisseur de services de colocalisation de centre de données tiers ne change pas la façon dont nous gérons notre programme de sécurité et ne donne pas au fournisseur de services l'accès à nos systèmes ou réseaux.

Règles et procédures

OHAI maintient un programme documenté de confidentialité, de sécurité et de gestion des risques, avec des rôles, des responsabilités, des règles et des procédures clairement définis, conçus pour sécuriser les informations conservées sur ses plates-formes. Au minimum, ce programme :

  • assigne les responsabilités et les obligations en matière de sécurité des données à des personnes spécifiques ;
  • décrit l'utilisation acceptable de la plate-forme OHAI ;
  • fournit des attributs de contrôle d'accès et de mot de passe pour les utilisateurs finaux, les administrateurs et les systèmes d'exploitation OHAI ;
  • applique les exigences d'authentification des utilisateurs finaux OHAI ;
  • décrit la journalisation des audits et la surveillance des environnements de production hébergés par OHAI ;
  • détaille le plan de réponse aux incidents d'OHAI ;
  • décrit les contrôles de gestion des risques appropriés, les certifications de sécurité et les évaluations périodiques des risques ; et
  • décrit les exigences de sécurité physique et environnementale pour les réseaux, les bureaux et les centres de données OHAI.

OHAI contrôle étroitement ses règles et procédures de sécurité et ne distribue pas de copies écrites ou électroniques. OHAI révise et modifie régulièrement son programme de sécurité afin de tenir compte de l'évolution des technologies, des réglementations, des lois, des risques, des pratiques sectorielles et de sécurité, ainsi que d'autres besoins commerciaux.


Sécurité technique

Gestion de l'identification et de l'accès

OHAI accorde l'accès aux systèmes client en fonction du rôle, de la réussite de la formation requise et du principe du moindre privilège nécessaire aux responsabilités du poste. Les processus d'approbation des accès sont strictement appliqués afin de garantir un accès approprié et conforme aux exigences de conformité.

Les équipes doivent surveiller les accès et vérifier l'inactivité chaque mois, en révoquant les autorisations d'accès, le cas échéant. L'identité des employés est validée par une authentification à deux facteurs lors de l'utilisation d'une connexion VPN. L'authentification à l'aide d'un VPN approuvé est requise pour accéder aux environnements cloud, qui sont séparés des réseaux d'entreprise.

L'accès aux ressources et aux systèmes est réexaminé lors du changement de rôle d'un employé, et son accès est révoqué, le cas échéant. L'accès est également révoqué en cas de cessation d'emploi (volontaire ou involontaire).

Gestion de la configuration et protections réseau

OHAI utilise plusieurs applications et contre-mesures de sécurité complémentaires dans son programme de sécurité pour protéger les plates-formes. Voici quelques exemples des technologies de sécurité déployées par OHAI pour protéger ses plates-formes :

  • Logiciel antivirus – Des logiciels antivirus et antimaliciels, et des contrôles compensatoires sont utilisés, le cas échéant, dans l'ensemble de l'environnement hébergé. Les mises à jour de fichiers modèles sont déployées quotidiennement. Les données entrantes sont analysées en temps réel et les lecteurs système le sont chaque semaine. En plus des signatures de virus maintenues à jour, les logiciels antivirus et les moteurs d'analyse sont mis à jour pour maintenir et améliorer leur efficacité.
  • Pare-feu réseau – Les connexions au réseau et aux infrastructures critiques du périmètre sont protégées par des technologies de pare-feu réseau standard du secteur.
  • Systèmes de prévention des intrusions – Des dispositifs intégrés sont placés de manière stratégique sur le réseau pour identifier les comportements malveillants ou anormaux. Chaque connexion traversant les interfaces du pare-feu et chaque connexion principale traversant le réseau central sont analysées pour en garantir la validité.
  • Déni de service – OHAI travaille en étroite collaboration avec ses fournisseurs de services Internet pour détecter et se défendre contre les attaques par déni de service.
  • Serveurs proxy – L'accès aux applications externes sur les réseaux publics est analysé à la recherche de vers et de virus avant l'établissement de la connexion avec le serveur de destination. Les requêtes web et FTP sortantes sont filtrées selon une liste autorisée et analysées à la recherche de vers et de virus.
  • Sécurisation du système – Les modèles de serveur sont mis à jour pour les pratiques standard du secteur dans les configurations sécurisées. Les nouvelles images sont chargées sur tous les nouveaux serveurs et sur les anciens, si nécessaire.
  • Gestion des correctifs – OHAI gère un système automatisé d'inventaire et de correctifs système offrant une visibilité sur les modifications du système. OHAI reçoit des notifications de correctifs à jour par le biais de ses partenariats et teste les correctifs avec plusieurs processus avant de les appliquer aux plates-formes concernées.
  • Séparation des environnements – OHAI maintient une séparation logique et physique appropriée de ses environnements de développement, de test et de production client.

Gestion du système

Journaux au niveau du système

OHAI enregistre les accès et les activités sur les dispositifs réseau, les composants de l'infrastructure de sécurité et les systèmes de serveur dans un référentiel de journalisation de sécurité d'entreprise. Les journaux sont transférés vers le SIEM (un outil de gestion des informations et des événements de sécurité) pour la surveillance, l'analyse, la résolution d'incidents, la conformité et l'audit des événements système. Grâce au SIEM, le personnel de sécurité établit des profils d'événements courants afin de se concentrer sur les activités inhabituelles, d'éviter les faux positifs, d'identifier les anomalies et de prévenir les alertes insignifiantes.

Chiffrement et stockage cryptographique

OHAI utilise des mécanismes de chiffrement appropriés pour protéger les données. OHAI effectue des évaluations des risques afin d'estimer la consommation et la sensibilité globale des données. Les données sont chiffrées lors de leur transmission sur les réseaux publics. OHAI gère l'infrastructure à clés publiques et privées du réseau client. OHAI s'efforce d'utiliser des algorithmes FIPS 140-2 lorsqu'ils sont pris en charge par le module cryptographique. OHAI prend également en charge les protocoles de chiffrement AES (Advanced Encryption Standard) et TLS (Transport Layer Security).

Gestion des vulnérabilités et des menaces

Les tests d'intrusion sont réalisés par des professionnels de la sécurité OHAI qui possèdent les certifications et les qualifications requises par le secteur. De plus, OHAI confie chaque année des tests d'intrusion externes à un tiers. Dans le cadre du programme de gestion des vulnérabilités et des menaces d'OHAI, les professionnels de la sécurité OHAI analysent et quantifient le risque des vulnérabilités et des menaces identifiées pour OHAI et ses clients.

OHAI effectue une analyse continue de la production de ses plates-formes. OHAI évalue les vulnérabilités en fonction de leur impact attendu sur l'environnement et du risque externe. Une fois la vulnérabilité évaluée, un processus d'atténuation ou de correction est démarré.

Les vulnérabilités identifiées sont évaluées en fonction de leur risque et atténuées ou corrigées en fonction de leur gravité. Cette analyse comprend l'utilisation des normes du secteur, telles que le système commun de notation des vulnérabilités du NIST (NIST CVSS), et d'analyses d'intrusion internes des environnements à l'aide d'outils standard. OHAI s'efforce de corriger les vulnérabilités dans les délais indiqués ci-dessous :

  • Urgent : deux semaines, si une méthode de contournement approuvée est disponible, ou 48 heures, si aucune solution de contournement associée n'est disponible.
  • Critique :30 jours
  • Élevé :90 jours
  • Moyen :180 jours
  • Faible :365 jours

Sécurité physique et environnementale

Des mesures de sécurité physique et environnementale sont mises en œuvre selon une approche stratégique à plusieurs niveaux pour dissuader, retarder et détecter toute tentative d'intrusion. Ces mesures sont conçues en fonction des besoins spécifiques de l'établissement et pour garantir aux systèmes critiques un environnement renforcé, sécurisé et fiable.

Au minimum, OHAI garantit que les contrôles de sécurité physique et environnementale suivants sont maintenus dans les centres de données Oracle Health et au sein de tout fournisseur de services colocalisé exploité par OHAI :

  • Systèmes de contrôle d'accès pour limiter l'entrée uniquement au personnel OHAI et aux tiers autorisés.
  • Établissement conçu avec des contrôles environnementaux standard du secteur (tels que des systèmes de détection et d'extinction d'incendie, des systèmes de refroidissement, des contrôles d'humidité, des contrôles de distribution d'énergie, une alimentation sans interruption et une capacité de générateur de secours).
  • Établissement conçu avec des contrôles de paramètres standard du secteur (tels que des postes de garde, des barrières physiques, une vidéosurveillance et une conception appropriée résistante aux intempéries).

Gestion des incidents

Centre de réaction immédiate (IRC)

La mission principale de l'IRC est de répondre aux appels de soutien des deuxième et troisième niveaux des services d'assistance client et de résoudre les problèmes signalés. Ces derniers sont documentés et stockés dans un référentiel central. L'équipe IRC utilise des outils de surveillance système pour suivre les alarmes et les avertissements, y répondre et prendre les mesures appropriées. L'IRC d'OHAI est disponible 24 heures sur 24, 7 jours sur 7 et 365 jours par an.

Centre de réponse aux incidents liés à la sécurité informatique (CSIRC)

Le CSIRC d'OHAI est le centre de contrôle pour la gestion des incidents liés à la sécurité. Il est chargé de surveiller en continu les menaces envers les plates-formes d'OHAI, 24 heures sur 24, 7 jours sur 7 et 365 jours par an. L'équipe CSIRC collecte et coordonne les réponses aux renseignements sur les menaces internationales, fédérales et du secteur technologique, afin de protéger les environnements OHAI. De plus, l'équipe utilise des outils standard du secteur pour analyser systématiquement les journaux afin d'identifier les activités non autorisées potentielles et de se concentrer sur les menaces.

Incidents liés à la sécurité

OHAI maintient un processus de gestion des incidents liés à la sécurité afin d'enquêter, d'atténuer et de communiquer les événements de sécurité du système qui ont lieu sur une plate-forme. Les clients concernés sont rapidement informés des incidents liés à leur sécurité et reçoivent des conseils sur les mesures correctives à prendre.

Gestion des événements de sécurité

OHAI n'informe pas ses clients ni ne communique publiquement au sujet des événements de vulnérabilité « nommés ». OHAI peut, à sa seule discrétion, émettre une réponse spécifique à une vulnérabilité dont elle juge que l'attention immédiate est nécessaire en fonction des renseignements recueillis sur les menaces. Dans le cas contraire, OHAI n'informe pas ses clients et ne répond pas à leurs demandes d'analyse des vulnérabilités d'un environnement.


Gestion des changements

OHAI maintient des processus de gestion des changements, fondés sur les meilleures pratiques de l'ITIL (Information Technology Infrastructure Library), qui sont conçues en fonction du type de changement et du niveau de risque associé. Selon ses propres règles, OHAI est tenue de communiquer au client concerné les modifications non routinières pertinentes apportées à son système. Les modifications sont validées, examinées et approuvées en fonction du risque qu'elles présentent. OHAI fait appel à des comités consultatifs sur les changements (CAB) pour examiner les modifications importantes présentant des temps d'arrêt ou des risques accrus. Les modifications sont enregistrées et conservées dans le système centralisé de demandes de modification d'OHAI. Les clients sont responsables du contrôle et de la documentation des modifications qu'ils apportent eux-mêmes au système.


Planification des mesures d'urgence

Le programme des mesures d'urgence d'OHAI est fondé sur la norme ISO 22301 et est conçu pour assurer le fonctionnement continu des technologies essentielles en soutenant les fonctions internes et externes des clients lors de tout incident (par exemple, une situation qui pourrait être, ou pourrait conduire à, une interruption prolongée, une perte, une urgence ou une crise).

Reprise après sinistre et résilience

OHAI fournit une infrastructure redondante et hautement disponible afin de minimiser les perturbations dans les environnements de production. En cas d'incident perturbateur, OHAI applique un programme de mesures d'urgence établi, éprouvé et documenté pour rétablir le service aussi rapidement et efficacement que possible, à l'aide de mesures commercialement raisonnables. Chaque année, la partie de gestion des incidents du programme de planification de mesures d'urgence d'OHAI est testée, revue et mise à jour. OHAI propose différents niveaux de services de reprise après sinistre selon la plate-forme applicable.


Cycle de développement logiciel

OHAI aligne ses pratiques de sécurité sur celles d'Oracle. Pour le développement de nouveaux produits, OHAI s'appuie sur Oracle Software Security Assurance (OSSA), qui englobe toutes les phases du cycle de développement d'un produit et constitue la méthodologie d'Oracle pour intégrer la sécurité dans la conception, le paramétrage, les tests et la maintenance de ses produits. Les pratiques de développement sécurisé d'Oracle visent à prévenir les vulnérabilités courantes, y compris celles identifiées dans le Top 10 de l'OWASP (Open Worldwide Application Security Project). Pour plus d'informations, consultez la page https://www.oracle.com/corporate/security-practices/assurance/development/


Personnel

Sensibilisation à la sécurité

Le programme de sensibilisation à la sécurité d'OHAI exige que les employés participent à des activités obligatoires d'apprentissage et de formation liées à leur rôle spécifique. Ces activités visent à maintenir l'efficacité de la position d'OHAI en matière de sécurité et comprennent :

  • des campagnes de formation continue ;
  • une formation annuelle en matière de sécurité ;
  • une formation localisée en matière de sécurité ;
  • une formation sur la reconnaissance des techniques d'hameçonnage et d'autres escroqueries ; et
  • des bulletins de sécurité ciblés.

Consignes relatives aux conditions d'emploi

En 2003, OHAI a instauré un processus de vérification régulière des antécédents des candidats à l'embauche au stade de l'offre. À partir de 2012, OHAI a commencé à exiger que les candidats se soumettent à un dépistage de drogues avant leur embauche.

Vérifications des antécédents

Le processus de vérification des antécédents des candidats d'OHAI varie en fonction de leur rôle potentiel et de la loi applicable. Par exemple, dans la mesure permise par la loi applicable, les vérifications des antécédents aux États-Unis et au Canada comprennent :

  • les antécédents professionnels des cinq dernières années ;
  • la vérification de la formation (diplôme le plus élevé), selon les besoins en fonction du rôle ;
  • une recherche de dossiers judiciaires en matière criminelle au cours des sept dernières années ;
  • un suivi du numéro de Sécurité sociale (États-Unis uniquement) ;
  • la vérification des sanctions en matière de soins de santé (États-Unis uniquement) ;
  • la vérification des sanctions à l'échelle internationale et le contrôle de leur application ;
  • des tests de dépistage de drogues (pour certains postes uniquement) ; et
  • des certificats professionnels (pour certains postes uniquement).

Sous-traitants

OHAI exige de ses sous-traitants qu'ils assurent la compétence et l'admissibilité de leurs employés qui fournissent des services à ses clients. Le personnel des sous-traitants est tenu de se soumettre à des vérifications d'antécédents applicables aux services fournis. Ces vérifications doivent être au moins aussi rigoureuses que celles exigées par OHAI pour ses propres employés.

Gestion des risques liés aux tiers

OHAI exige des accords de partenariat commercial et de confidentialité avec ses fournisseurs de services de colocalisation et les fournisseurs auxquels elle a recours pour fournir la plate-forme, en fonction de l'accès de ces entités aux données et à d'autres informations confidentielles. OHAI exige de ses fournisseurs qu'ils remplissent un questionnaire sur la sécurité des données dans le cadre de son processus d'évaluation des fournisseurs. En outre, OHAI effectue des évaluations annuelles des risques liés à la sécurité de ses fournisseurs, en fonction de leur profil de risque.

Ressources à l'étranger

OHAI est une société internationale avec des bureaux et des employés répartis dans le monde entier. Son modèle opérationnel et de soutien actuel repose sur le recours à des employés situés partout dans le monde. OHAI peut fournir un accès temporaire aux plates-formes à partir d'un pays autre que celui où elles sont hébergées. Tous les employés ayant accès à la plate-forme sont tenus de participer à des activités obligatoires d'apprentissage et de formation liées à leur rôle spécifique et de respecter les règles et processus de sécurité d'OHAI. Les enregistrements de formation sont suivis et conservés à des fins de conformité.

Destruction des supports

Tous les supports de stockage utilisés pour la fourniture des services d'hébergement d'OHAI sont purgés et éliminés conformément à la règle d'OHAI relative à l'élimination des supports électroniques. Cette règle respecte la réglementation de sécurité HIPAA, ainsi que les normes ISO 27001 et NIST 800-88.

OHAI peut fournir du matériel à ses clients pour une utilisation sur leurs sites. Toute information stockée sur du matériel fourni par OHAI, mais située sur un site client, est considérée comme étant sous la responsabilité du client. Dans de tels cas, les clients sont responsables des décisions concernant le nettoyage ou la destruction des supports de stockage de données à la fin du cycle de vie du matériel.


Certifications et audits

OHAI effectue régulièrement des évaluations internes et se soumet à des audits externes afin d'examiner les contrôles présents au sein de la plate-forme et des opérations d'OHAI et de confirmer qu'OHAI fonctionne efficacement conformément à son programme de sécurité.

HIPAA – Loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie

OHAI a mis en place et maintient les contrôles nécessaires au respect de la loi HIPAA (telle que modifiée par l'HITECH). Des évaluations HIPAA (internes ou externes) ont lieu sur une base annuelle et examinent tous les environnements d'entreprise et client appropriés dans nos sites aux États-Unis.

Attestations SOC 1 et SOC 2 de type II

Des attestations tierces sont réalisées sur les environnements hébergés par OHAI. Elles mesurent et testent l'efficacité des atténuations des risques d'OHAI, conformément aux principes de service de confiance de l'AICPA relatifs à la sécurité, la disponibilité et la confidentialité. Les rapports SOC sont préparés conformément aux consignes SSAE de l'AICPA et sont spécifiques aux services d'hébergement et aux contrôles gérés par OHAI. Les sites d'hébergement actuels se situent aux États-Unis, au Canada et en Suède. Les emplacements des rapports SOC sont susceptibles de changer en fonction de l'évolution constante des besoins opérationnels d'OHAI. Nous travaillons avec les clients pour les aider à obtenir le rapport SOC approprié auprès d'OHAI, le cas échéant, ou d'un fournisseur de colocalisation.

Normes ISO 27001 et 27002:2022

Le cadre de gestion de la sécurité de l'information d'OHAI est conforme aux principes des normes ISO 27001 et 27002:2022 et ses règles sont applicables à la plupart des plates-formes OHAI.

Nous dépendons de centres de données de colocalisation au Canada, en Suède, au Royaume-Uni, en France et en Australie, ainsi que de fournisseurs de services cloud publics pour leurs contrôles de sécurité physique et environnementale. Selon nos auditeurs indépendants, seuls les centres de données et bureaux appartenant à Oracle Health peuvent être identifiés et inclus dans la certification ISO d'Oracle Health. Les processus de gestion des centres de données de colocalisation sont couverts par les bureaux Oracle Health identifiés dans la certification ISO. Oracle Health peut confirmer que ses processus de gestion des centres de données au sein des fournisseurs de services de centres de données de colocalisation ont été inclus dans la certification ISO d'Oracle Health. Ceci est cohérent avec les nombreux fournisseurs de services de centres de données de colocalisation utilisés dans le monde entier. Oracle Health possède uniquement des centres de données aux États-Unis, c'est pourquoi ils sont identifiés dans la certification. Pour les opérations spécifiques des fournisseurs de services de centres de données de colocalisation, les clients doivent s'appuyer sur la certification ISO du fournisseur.

Rapport récapitulatif des tests d'intrusion

Chaque année, OHAI fait appel à un tiers pour réaliser des tests d'intrusion externes sur ses plates-formes. OHAI reçoit un rapport récapitulatif sur les tests d'intrusion effectués, confirmant l'utilisation d'une méthodologie standard, d'outils de test et d'une base de données nationale des vulnérabilités, et identifiant les vulnérabilités connues au sein des plates-formes. OHAI corrige les vulnérabilités identifiées en fonction des risques et les traite au moyen d'un plan de correction étroitement surveillé.

PCI-DSS – Norme de sécurité de l'industrie des cartes de paiement

OHAI reçoit une attestation de conformité tierce reconnaissant sa conformité à la norme PCI-DSS en tant que fournisseur de services de niveau 1 pour le traitement des paiements pris en charge par certaines solutions OHAI. Pour plus d'informations sur les solutions OHAI prises en charge par cette attestation de conformité, veuillez contacter votre représentant OHAI.

Bouclier de protection des données UE-États-Unis

OHAI s'est autocertifiée auprès du Bouclier de protection des données UE-États-Unis et du Bouclier de protection des données Suisse-États-Unis.

Prise en charge des questionnaires de sécurité client

À la demande d'un client souhaitant remplir un questionnaire ou une évaluation de sécurité, OHAI fournira la documentation tierce applicable issue de son programme de conformité à la sécurité, tel que décrit ci-dessus. Des documents supplémentaires pourront être fournis dès qu'ils seront disponibles, tels que des questionnaires de sécurité standardisés préremplis (CAIQ) ou une vue d'ensemble de la gestion des risques fournisseur d'une application tierce. Les clients peuvent tirer parti de ces rapports pour évaluer la position d'OHAI en matière de sécurité et de conformité aux conditions contractuelles. Nous collaborerons avec les clients pour répondre aux questions d'évaluation de sécurité spécifiques et raisonnables qui ne sont pas abordées dans ces livrables standard.

L'un de nos nombreux contrôles de sécurité consiste à s'assurer de ne pas divulguer d'informations confidentielles et sensibles qui exposeraient OHAI ou nos clients à des risques supplémentaires. Nous prenons la sécurité de vos données très au sérieux et nous ne les compromettrons pas pour répondre à des demandes d'informations sensibles spécifiques, une fois que des auditeurs tiers auront validé notre programme de sécurité.