Oracle Health, KI (OHAI) Sicherheitsprogramm

Die gezeigten Produkte sind Beispiele dafür, was in bestimmten Fällen zur Verfügung gestellt wurde. Jedes Medizinprodukt/Produkt wurde so konzipiert, dass es den Vorschriften der Länder entspricht, in denen es verwendet wird. Wir können jedoch nicht sicherstellen, dass ein Medizinprodukt/Produkt in anderen Ländern verfügbar ist oder den dortigen Vorschriften entspricht. Es könnte erforderlich sein, Anpassungen vozunehmen, um die länderspezifischen Anforderungen zu erfüllen.

Das OHAI-Sicherheitsprogramm richtet sich nach den gehosteten Plattformen von OHAI, der Hardware und den Betriebssystemen, auf denen Anwendungen und Lösungen von OHAI in den gehosteten Umgebungen von OHAI im Auftrag von Kunden bereitgestellt werden. Beispiele für Plattformen sind Oracle Health Millennium®, HealtheIntent® und CareAware®. Wir tragen die Verantwortung für Cybersicherheit und Incident Management von Hosting-Betriebssystemen, um die Vertraulichkeit, Integrität und Verfügbarkeit gehosteter Kundendaten zu schützen. Kunden sind für die Verwaltung bestimmter Sicherheitsaspekte verantwortlich, einschließlich der Kontrolle des Endbenutzerzugriffs, des Hinzufügens benutzerdefinierter Erweiterungen bzw. Integrationen sowie der rechtmäßigen Datenverarbeitung.

OHAI bietet Hostingdienste auf der ganzen Welt an und verwendet dabei dasselbe Sicherheits-Compliance-Programm sowie Informationssicherheitsrichtlinien, unabhängig von der Einrichtung, in der Kundendaten gehostet werden. Kundendaten werden in demselben Land gespeichert und gehostet, in dem sich der Kunde befindet, sofern nicht anders vereinbart. Es gibt einige betriebliche Unterschiede je nach Art des verwendeten Rechenzentrums, unser Informationssicherheitsprogramm ändert sich jedoch nicht.

  • OHAI Cloud Hosting – Mit der Cloud-Hosting-Option von OHAI können unsere Kunden Cloud-fähige Lösungen verwenden, um problemlos über die Anwendungsfunktionalität und -technologie auf dem Laufenden zu bleiben, die zur Bereitstellung der Anwendungen für Endbenutzer verwendet werden. Oracle Cloud Infrastructure (OCI), die Cloud-Computing-Umgebung von Oracle, ist eine skalierbare, hochverfügbare und kostengünstige Cloud-Plattform. OCI verfügt über kommerzielle und staatliche Public Cloud-Regionen und befindet sich auf der ganzen Welt. OHAI verwendet ebenfalls einen Public Cloud-Anbieter von Drittanbietern für einige gehostete Dienste.
  • OHAI-Rechenzentrumseinrichtungen – OHAI-Rechenzentrumseinrichtungen werden unter Berücksichtigung aller Risiken hinsichtlich von Naturkatastrophen für die geografischen Gebiete errichtet, in denen sie sich befinden. Rechenzentren verfügen über physische und umweltbezogene Sicherheitsmaßnahmen innerhalb eines strategisch geschichteten Ansatzes, um jeden versuchten Angriff abzuwenden, zu verzögern sowie zu erkennen. Diese Maßnahmen dienen zur Festigung und Sicherung einer zuverlässigen Umgebung.
  • Gemeinsame Datenserviceanbieter – OHAI verwendet in einigen Regionen der Stufe entsprechende gemeinsame Datenzentrumserviceanbieter. Zu den von Rechenzentrumsanbietern erbrachten Dienstleistungen gehören der Betrieb im Rechenzentrum (d. h. Stromversorgung, Kühlung, Brandsicherheit), die physische Sicherheit oder auch die OHAI-Rechenzentrumskäfige. Computerausrüstung und Netzwerkgeräte (wie Server, Firewalls oder Netzwerkkabel) sind Eigentum von OHAI und werden von OHAI gewartet. Sie werden nicht mit anderen Rechenzentrumsmandanten geteilt. Dienstleister haben keinen Zugriff auf Daten, die in OHAI-Rechenzentrumskäfigen gehostet werden. Sie verarbeiten keine Daten, die sich auf Kunden von OHAI beziehen. Zertifizierungen von Dienstleistungsanbietern mit gemeinsamer Standortverwendung umfassen branchenweit anerkannte Sicherheits-, Umwelt- und Gesundheits- sowie Sicherheitszertifizierungen, wie ISO 27001- und ISO 14001-Zertifizierungen und SOC 2-Typ-II-Berichte.

Die Verwendung eines externen Dienstleisters mit gemeinsamer Standortverwendung des Rechenzentrums ändert weder die Art und Weise, wie wir unser Sicherheitsprogramm verwalten, noch gewährt es dem Dienstleister Zugriff auf unsere Systeme oder Netzwerke.

Richtlinien und Verfahren

OHAI verwaltet ein dokumentiertes Programm für Datenschutz, Sicherheit und Risikomanagement mit klar definierten Rollen, Verantwortlichkeiten, Richtlinien und Verfahren, mit denen die auf den OHAI-Plattformen verwalteten Informationen gesichert werden sollen. Das OHAI-Programm ( mindestens):

  • weist bestimmten Personen Verantwortlichkeiten nicht nur hinsichtlich der Datensicherheit zu;
  • beschreibt die akzeptable Verwendung der OHAI-Plattform;
  • bietet OHAI-Endbenutzern, Administratoren und Betriebssystemen Zugriffskontroll- und Kennwortattribute;
  • setzt Anforderungen an die OHAI-Endbenutzerauthentifizierung durch;
  • beschreibt die Auditprotokollierung und Überwachung von durch OHAI-gehosteten Produktionsumgebungen;
  • beschreibt den Plan zur Reaktion auf Sicherheitsvorfälle von OHAI;
  • beschreibt entsprechende Risikomanagementkontrollen, Sicherheitszertifizierungen sowie regelmäßige Risikobewertungen; und
  • beschreibt die physischen und ökologischen Sicherheitsanforderungen für die Netzwerke, Standorte und Rechenzentren von OHAI.

OHAI kontrolliert engmaschig und gibt keine schriftlichen oder elektronischen Kopien der Sicherheitsrichtlinien und -verfahren weiter. OHAI überprüft und ändert regelmäßig das eigene Sicherheitsprogramm, um die sich stets ändernden Technologien, Vorschriften, Gesetze, Risiken, Branchen- und Sicherheitspraktiken und andere Geschäftsanforderungen widerzuspiegeln.


Technische Sicherheit

Identitäts- und Zugriffsverwaltung

OHAI gewährt Zugriff auf Kundensysteme basierend auf Rolle, Abschluss der erforderlichen Schulung und Prinzip der geringsten Berechtigung, die für die Aufgaben erforderlich ist. Zugriffsgenehmigungsprozesse werden vorschriftskonform durchgesetzt, um sicherzustellen, dass der Zugriff angemessen erfolgt und Anforderungen hinsichtlich Compliance erfüllt werden.

Teams überwachen den Zugriff und prüfen jeden Monat auf Inaktivität. Sie widerrufen gegebenenfalls die Zugriffsberechtigung. Mitarbeiteridentitäten werden durch Zwei-Faktor-Authentifizierung validiert, wenn eine VPN-Verbindung verwendet wird. Für den Zugriff auf Cloud-Umgebungen, die von Unternehmensnetzwerken getrennt sind, ist eine Authentifizierung mit einer genehmigten VPN erforderlich.

Der Zugriff auf Ressourcen und Systeme wird geprüft, wenn ein Mitarbeiter die Rolle wechselt, wobei der Zugriff gegebenenfalls widerrufen wird. Der Mitarbeiterzugriff wird ebenfalls widerrufen, wenn die Beschäftigung (freiwillig oder unfreiwillig) beendet wird.

Konfigurationsmanagement und Netzwerkschutz

OHAI verwendet mehrere sich überschneidende Sicherheitsanwendungen und Gegenmaßnahmen innerhalb seines Sicherheitsprogramms, um die Plattformen zu schützen. Im Folgenden finden Sie einige Beispiele für die Sicherheitstechnologien, die OHAI zum Schutz der Plattformen bereitstellt:

  • Anti-Virus-Software – Anti-Virus (AV)-Software, Anti-Malware-Software und Kompensationskontrollen werden gegebenenfalls in der gesamten gehosteten Umgebung verwendet. Aktualisierungen von Musterdateien werden täglich bereitgestellt. Eingehende Daten werden in Echtzeit gescannt, Systemlaufwerke wöchentlich. Zusätzlich zum neusten Stand der Virensignaturen werden die AV-Software und Scan Engines aktualisiert, um ihre Wirksamkeit aufrechtzuerhalten und zu verbessern.
  • Netzwerk-Firewalls – Perimeter-Netzwerk- und kritische Infrastrukturverbindungen werden durch branchenübliche Netzwerk-Firewall-Technologien geschützt.
  • Intrusion-Prevention-Systeme (IPS) – Inline-Appliances werden strategisch in der Netzwerkinfrastruktur platziert, um vorsätzliches oder anomalistisches Verhalten zu identifizieren. Jede Verbindung, die Schnittstellen der Firewall durchläuft und jede Hauptverbindung, die das Kernnetzwerk durchläuft, wird geprüft, um die Gültigkeit sicherzustellen.
  • Denial-of-Service (DoS) – OHAI arbeitet eng mit seinen Internetdienstanbietern zusammen, um Denial-of-Service-Zugriffsangriffe zu erkennen und abzuwehren.
  • Proxyserver – Der Zugriff auf externe Anwendungen über öffentliche Netzwerke wird auf Würmer und Viren gescannt, bevor die Verbindung zum Zielserver hergestellt wird. Ausgehende Web- und FTP-Prozesse werden anhand einer autorisierten Liste gefiltert und auf Würmer und Viren gescannt.
  • Systemabsicherung - Servervorlagen werden für branchenübliche Vorgehensweisen in sicheren Konfigurationen aktualisiert. Neue Bilder werden bei Bedarf auf alle neuen Server und auf ältere Server geladen.
  • Patchverwaltung – OHAI verwaltet ein automatisiertes Systembestands- und Patching-System, das Einblick in Systemänderungen bietet. OHAI erhält eine aktuelle Patchbenachrichtigung über seine Partnerbeziehungen und testet Patches mithilfe verschiedener Prozesse, bevor die Patches innerhalb der jeweiligen Plattform(en) eingespielt werden.
  • Trennung von Umgebungen – OHAI unterhält eine angemessene logische und physische Trennung seiner Entwicklungs-, Test- und Kundenproduktionsumgebungen.

Systemverwaltung

Protokolle auf Systemebene

OHAI protokolliert den Zugriff auf und die Aktivität auf Netzwerkgeräten, Komponenten der Sicherheitsinfrastruktur und Serversystemen in einem Unternehmenssicherheitzugriffsverzeichnis. Protokolle werden an ein Security Information and Event Management (SIEM)-Tool zur Überwachung, Analyse, Fehlerbehebung, Compliance und Prüfung von Systemereignissen übertragen. Mit dem SIEM erstellt das Sicherheitspersonal Profile von häufigen Ereignissen, um sich auf ungewöhnliche Aktivitäten zu konzentrieren, Fehlalarme zu vermeiden, Anomalien zu erkennen und unbedeutende Warnungen zu verhindern.

Verschlüsselung und kryptografischer Speicher

OHAI verwendet angemessene Verschlüsselungsmechanismen, um Daten zu schützen. OHAI führt Risikobewertungen durch, um zu bewerten, wie die Daten verbraucht werden und welche Sensitivität die Daten insgesamt haben. Daten werden bei der Übertragung innerhalb öffentlicher Netzwerke verschlüsselt. OHAI verwaltet die öffentliche und private wichtige Infrastruktur des Kundennetzwerks. OHAI ist bestrebt, FIPS 140-2-Algorithmen zu verwenden, wenn dies von dem kryptografischen Modul unterstützt wird. OHAI unterstützt auch Advanced Encryption Standard (AES)- und Transport Layer Security (TLS)-Verschlüsselungsprotokolle.

Sicherheitslücken- und Bedrohungsmanagement

Penetrationstests werden von OHAI-Sicherheitsexperten durchgeführt, die über entsprechende Branchenzertifizierungen und -nachweise verfügen. Darüber hinaus beauftragt OHAI jährlich eine Drittpartei damit, externe Penetrationstests durchzuführen. Als Teil des Sicherheitslücken- und Bedrohungsmanagementprogramms von OHAI analysieren und quantifizieren die Sicherheitsexperten von OHAI das Risikopotenzial identifizierter Schwachstellen und Bedrohungen für OHAI und seine Kunden.

OHAI führt kontinuierliche Produktionsprüfungen der Plattformen von OHAI durch. OHAI bewertet Schwachstellen basierend auf den erwarteten Auswirkungen auf die Umgebung und die externe Exposition. Sobald die Schwachstelle bewertet wurde, wird ein Prozess zur Minderung oder Behebung der Schwachstelle initiiert.

Erkannte Schwachstellen werden auf Risiko bewertet und entsprechend ihres Schweregrads gemindert oder behoben. Diese Analyse umfasst die Verwendung von Industriestandards, wie z. B. NIST's Common Vulnerability Scoring System (NIST CVSS), sowie die Verwendung interner Penetrationsscans von Umgebungen mit branchenüblichen Tools. OHAI ist bestrebt, Schwachstellen innerhalb der unten angegebenen Zeiträume zu beheben:

  • Dringend – zwei Wochen, wenn eine genehmigte Workaround-Methode verfügbar ist, oder 48 Stunden, wenn kein zugehöriger Workaround verfügbar ist
  • Kritisch – 30 Tage
  • Hoch - 90 Tage
  • Mittel – 180 Tage
  • Niedrig - 365 Tage

Physische und umgebungsbezogene Sicherheit

Rechenzentren verfügen über physische und umgebungsbezogene Sicherheitsmaßnahmen innerhalb eines strategisch geschichteten Ansatzes, um potenzielle Angriffe abzuwenden, zu verzögern und zu erkennen. Diese Maßnahmen sind sowohl auf die spezifischen Anforderungen der Anlage als auch auf die Bereitstellung einer gefestigten, sicheren und zuverlässigen Umgebung für kritische Systeme ausgelegt.

OHAI stellt mindestens sicher, dass folgende physische und umgebungsbezogene Sicherheitskontrollen in Oracle Health-Datenzentren und innerhalb eines jeden gemeinsam genutzten Serviceanbieters, der von OHAI verwendet wird, aufrechterhalten werden:

  • Zugangskontrollsysteme, um den Zugang ausschließlich auf OHAI-Mitarbeiter und autorisierte Dritte zu beschränken.
  • Einrichtung, die mit branchenüblichen Umgebungskontrollen (wie Brandmelde- und -unterdrückungssystemen, Kühlsystemen, Feuchtigkeitskontrollen, Stromverteilungskontrollen, unterbrechungsfreier Stromversorgung und Backup-Generatorfunktion) eingerichtet wurde.
  • Einrichtung, die mit branchenüblichen Parameterkontrollen (wie Schutzstationen, physische Barrieren, Videoüberwachung und angemessenem wetterbeständigem Design) eingerichtet wurde.

Incident Management

Immediate Response Center (IRC)

Die Hauptaufgabe des IRC besteht darin, Support-Anrufe der zweiten und dritten Stufe von Kunden-Helpdesks zu beantworten und gemeldete Probleme zu lösen. Gemeldete Probleme werden dokumentiert und in einem zentralen Verzeichnis gespeichert. Das IRC-Team verwendet Systemüberwachungstools, um Alarme und Warnungen zu verfolgen und darauf zu reagieren und geeignete Maßnahmen zu ergreifen. Das IRC-Team von OHAI arbeitet rund um die Uhr, sieben Tage in der Woche.

Computer Security Incident Response Center (CSIRC)

Das Computer Security Incident Response Center (CSIRC) von OHAI ist das Kontrollzentrum für das Management von Sicherheitsvorfällen und für die kontinuierliche Überwachung von Bedrohungen auf den Plattformen von OHAI verantwortlich, rund um die Uhr, sieben Tage in der Woche. Das CSIRC-Team nimmt Antworten auf Informationen zu Bedrohungsinformationen aus der internationalen, bundesweiten und technischen Industrie auf und koordiniert sie, um OHAI-Umgebungen zu schützen. Darüber hinaus nutzt das Team branchenübliche Tools, um Protokolle systematisch zu analysieren, um potenziell nicht autorisierte Aktivitäten zu identifizieren und sich auf potenzielle Bedrohungen zu konzentrieren.

Sicherheitsvorfälle

OHAI unterhält einen Prozess zur Verwaltung von Sicherheitsvorfällen, um Systemsicherheitsereignisse innerhalb einer Plattform zu untersuchen, zu mindern und zu kommunizieren. Betroffene Kunden werden rechtzeitig über relevante Sicherheitsvorfälle sowie über empfohlene Korrekturmaßnahmen informiert.

Management von Sicherheitsereignissen

OHAI benachrichtigt keine Kunden oder spricht öffentlich über „benannte" Ereignisse hinsichtlich Sicherheitslücken. OHAI kann nach alleinigem Ermessen eine spezifische Antwort auf eine Schwachstelle geben, für die laut OHAI aufgrund der gesammelten Informationen zu Bedrohungen sofortige Aufmerksamkeit erforderlich ist. Andernfalls benachrichtigt OHAI keine Kunden oder bearbeitet keine Kundenprozesse, um eine Umgebung auf Sicherheitslücken zu prüfen.


Änderungsmanagement

OHAI verwaltet Änderungsmanagement-Prozesse auf der Grundlage von Best Practices der Information Technology Infrastructure Library (ITIL), die auf die Art der Änderung und das Risiko ausgerichtet sind, das mit dieser Änderung verbunden ist. Die OHAI-Richtlinien erfordern, dass OHAI relevante, nicht routinemäßige Änderungen an das System eines Kunden mit dem betroffenen Kunden kommuniziert. Änderungen werden validiert, geprüft und erhalten Genehmigungen, die dem Risiko der Änderung entsprechen. OHAI verwendet Change Advisory Boards (CABs), um signifikante Änderungen mit bekannter Ausfallzeit oder erhöhtem Risiko zu überprüfen. Änderungen werden im zentralen Änderungsanforderungssystem von OHAI protokolliert und verwaltet. Kunden sind für die Kontrolle und Dokumentation aller von ihnen durchgeführten Systemänderungen verantwortlich.


Eventualfallplanung

Das Eventualfallprogramm von OHAI basiert auf ISO 22301 und wurde entwickelt, um den kontinuierlichen Betrieb der wesentlichen Technologie sicherzustellen, indem interne und externe Kundenfunktionen während eines Vorfalls unterstützt werden (z. B. eine Situation, die zu einer längeren Unterbrechung, einem Verlust, einem Notfall oder einer Krise führen könnte).

Notfallwiederherstellung und Resilienz

OHAI bietet eine redundante und hochverfügbare Infrastruktur, um Störungen der Produktionsumgebungen zu minimieren. Tritt ein Störfall auf, folgt OHAI einem etablierten, ausgeübten und dokumentierten Notfallprogramm, um den Betrieb so schnell und effektiv wie möglich wiederherzustellen und wirtschaftlich angemessene Maßnahmen zu ergreifen. Der Teil des Notfallplanungsprogramms von OHAI für das Incident Management wird jährlich getestet, überprüft und aktualisiert. OHAI bietet je nach Plattform verschiedene Notfallwiederherstellungsdienste an.


Softwareentwicklungs-Lebenszyklus

OHAI richtet seine Sicherheitspraktiken an Oracle aus. Für die Entwicklung neuer Produkte nutzt OHAI Oracle Software Security Assurance (OSSA), das jede Phase des Produktentwicklungslebenszyklus umfasst.Es handelt sich dabei um Oracles Methodik, Sicherheit bei der Entwicklung, der Erstellung, dem Testen und der Wartung seiner Produkte zu gewährleisten. Die sicheren Entwicklungspraktiken von Oracle zielen darauf ab, häufig auftretende Sicherheitslücken zu vermeiden, einschließlich der in den OWASP Top 10 genannten Sicherheitslücken. Weitere Informationen finden Sie unter https://www.oracle.com/corporate/security-practices/assurance/development/


Mitarbeiter

Sicherheitsbewusstsein

Das OHAI-Programm zur Sensibilisierung für Sicherheit erfordert, dass Mitarbeiter an obligatorischen Bildungs- und Schulungsaktivitäten teilnehmen, die sich auf ihre spezifische Rolle beziehen. Diese Aktivitäten zielen darauf ab, die Effektivität der Sicherheitslage von OHAI aufrechtzuerhalten und umfassen Folgendes:

  • Fortbildungskampagnen;
  • Jährliche Sicherheitsschulung;
  • Lokalisierte Sicherheitsschulung;
  • Erkennung von Phishing und anderen Arten von Betrug; und
  • Gezielte Sicherheitsbulletins.

Richtlinien für Beschäftigungsanforderungen

Im Jahr 2003 begann OHAI seinen Prozess der regelmäßigen Überprüfung seiner Stellenbewerber in der Angebotsphase durch einen Hintergrundprüfungsprozess. Ab 2012 begann OHAI, Kandidaten vor Beginn des Beschäftigungsverhältnisses zu einem Drogenscreening zu verpflichten.

Hintergrundprüfungen

Der Prozess der OHAI-Bewerberhintergrundprüfung hängt von der potenziellen Rolle und dem anwendbaren Recht des Kandidaten ab. Beispiel: Soweit gesetzlich zulässig, bestehen Hintergrundprüfungen in den USA und Kanada aus Folgendem:

  • Beschäftigungsgeschichte von fünf Jahren;
  • Überprüfung der Ausbildung (höchster Abschluss), je nach Aufgabenstellung;
  • Kriminelle Hintergrundsuche aus sieben Jahren;
  • Verfolgung der Sozialversicherungsnummer (nur USA);
  • Sanktionskontrolle im Gesundheitswesen (nur USA);
  • Globale Sanktions- und Durchsetzungsprüfung;
  • Drogentests (nur für bestimmte Positionen): und
  • Professionelle Zertifikate (nur für bestimmte Positionen).

Subunternehmer

OHAI verlangt von Subunternehmern, dass sie die Kompetenz und Eignung ihrer Mitarbeiter sicherstellen, die Kunden von OHAI Dienstleistungen bereitstellen. Die Mitarbeiter des Subunternehmers müssen Hintergrundprüfungen durchlaufen, die für die erbrachten Dienstleistungen gelten. Diese Hintergrundprüfungen müssen mindestens so präskriptiv sein wie die Hintergrundprüfungen, die OHAI für OHAI-Mitarbeiter erfordert.

Risikomanagement von Drittanbietern

OHAI erfordert Geschäftspartnervereinbarungen und Geheimhaltungsvereinbarungen mit seinen Co-Location-Dienstleistern und den Lieferanten, die es verwendet, um die Plattform bereitzustellen, sofern dies auf dem Zugriff dieser Entität auf Daten und andere vertrauliche Informationen basiert. OHAI verlangt, dass seine Lieferanten im Rahmen des OHAI-Bewertungsprozesses für den Lieferanten einen Fragebogen zur Datensicherheit ausfüllen. Darüber hinaus führt OHAI jährliche Sicherheitsrisikobewertungen für Lieferanten basierend auf dem Risikoprofil dieses Lieferanten durch.

Offshore-Ressourcen

OHAI ist ein globales Unternehmen mit Standorten und Mitarbeitern auf der ganzen Welt. Das aktuelle Betriebs- und Supportmodell von OHAI umfasst die Beschäftigung von globalen Mitarbeitern. OHAI kann temporären Zugriff auf die Plattformen von außerhalb des Landes gewähren, in dem die entsprechende Plattform gehostet wird. Alle Mitarbeiter mit Zugriff auf die Plattform müssen an verpflichtenden Bildungs- und Schulungsaktivitäten teilnehmen, die sich auf ihre spezifische Rolle beziehen. Sie müssen ebenfalls die Sicherheitsrichtlinien und -prozesse von OHAI befolgen. Schulungsdatensätze werden zu Compliance-Zwecken verfolgt und verwaltet.

Entsorgung von Medien

Alle Speichermedien, die für die Bereitstellung der Hosting-Dienste von OHAI verwendet werden, werden gemäß der OHAI-Richtlinie für die Entsorgung elektronischer Medien bereinigt und entsorgt. Die Richtlinie folgt der HIPAA-Sicherheitsregel, ISO 27001 und NIST 800-88.

OHAI kann Kunden Hardware zur Verwendung an ihren Standorten bereitstellen. Alle Informationen, die auf der von OHAI bereitgestellten Hardware gespeichert sind, sich jedoch an einem Kundenstandort befinden, gelten als in der Verantwortung des Kunden. In diesen Fällen sind die Kunden für Entscheidungen hinsichtlich Reinigung bzw. Zerstörung von Datenträgern am Ende des Verwendungszyklus der Hardware verantwortlich.


Zertifizierungen und Audits

OHAI führt regelmäßig interne Bewertungen durch und wird externen Audits unterzogen, um die in der Plattform und den Betriebsabläufen von OHAI vorhandenen Kontrollen zu untersuchen sowie zu überprüfen, ob OHAI gemäß dem OHAI-Sicherheitsprogramm effektiv arbeitet.

HIPAA – Health Insurance Portability and Accountability Act von1996

OHAI hat die erforderlichen Kontrollen für die Einhaltung von HIPAA (in der durch HITECH geänderten Fassung) eingerichtet und unterhält diese. Interne oder externe HIPAA-Bewertungen finden jährlich statt. Im Rahmen dessen werden alle geeigneten Unternehmens- und Kundenumgebungen an unseren US-Standorten geprüft.

SOC 1 und SOC 2 Typ II Bescheinigungen

Drittanbieterbescheinigungen werden in den gehosteten OHAI-Umgebungen durchgeführt, indem die Effektivität der Risikominderungen von OHAI im Zusammenhang mit den AICPAs Trust Service Principles gemessen und getestet werden, die für Sicherheit, Verfügbarkeit und Vertraulichkeit relevant sind. SOC-Berichte werden gemäß den AICPAs SSAE-Richtlinien erstellt und sind spezifisch für die von OHAI verwalteten Hosting-Services und -Kontrollen. Sie umfassen derzeit die folgenden Hosting-Standorte: USA, Kanada und Schweden. SOC-Berichtsstandorte können sich ändern, da OHAI seine sich ständig ändernden Geschäftsanforderungen prüft. Wir werden mit Kunden zusammenarbeiten, um sie bei der Beschaffung des entsprechenden SOC-Berichts von OHAI oder einem Co-Location-Anbieter zu unterstützen.

ISO 27001/27002:2022

Das Information Security Management Framework (ISMF) von OHAI entspricht den Grundsätzen der Norm ISO 27001/27002:2022. Die Richtlinien des ISMF gelten für die meisten Plattformen von OHAI.

Wir sind von Co-Location-Rechenzentren in Kanada, Schweden, Großbritannien, Frankreich und Australien sowie von öffentlichen Cloud-Dienstleistern hinsichtlich physischer und ökologischer Sicherheitskontrollen abhängig. Nach Angaben unserer unabhängigen Auditoren können einzig Datenzentren und Standorte im Besitz von Oracle Health identifiziert und in die ISO-Zertifizierung von Oracle Health aufgenommen werden. Prozesse zur Verwaltung von Co-Location-Rechenzentren werden von jenen Oracle Health-Niederlassungen abgedeckt, die in der ISO-Zertifizierung angegeben sind. Oracle Health kann bestätigen, dass seine Prozesse zur Verwaltung von Rechenzentren innerhalb von Co-Location-Rechenzentrums-Serviceprovidern in die ISO-Zertifizierung von Oracle Health aufgenommen wurden. Dies ist konsistent mit den zahlreichen Co-Location-Rechenzentrumsdienstleistern, die auf der ganzen Welt eingesetzt werden. Oracle Health besitzt nur Rechenzentren in den Vereinigten Staaten, weshalb diese in der Zertifizierung identifiziert werden. Für bestimmte Co-Location-Rechenzentrumsdienstleister müssten sich Kunden auf die eigene ISO-Zertifizierung des Anbieters verlassen.

Penetrationstests - Übersichtsbericht

OHAI beauftragt jährlich eine Drittpartei, um externe Penetrationstests gegen die Plattformen von OHAI durchzuführen. OHAI erhält einen Übersichtsbericht zu Penetrationstests, der die durchgeführten Penetrationstests beschreibt, bestätigt, dass eine branchenübliche Methodik, Testtools und eine nationale Schwachstellendatenbank zur Durchführung der Penetrationstests verwendet wurden, und bekannte Schwachstellen innerhalb der Plattformen identifiziert. OHAI beseitigt identifizierte Schwachstellen basierend auf Risiken und durch einen aktiv überwachten Plan zur Behebung.

PCI-DSS (Payment Card Industry Data Security Standard)

OHAI erhält eine Drittanbieter-Zertifizierung hinsichtlich der Compliance („AoC"), um die PCI-DSS-Compliance als Level-1-Serviceprovider für die Verarbeitung von Zahlungen nachzuweisen, die von bestimmten OHAI-Lösungen unterstützt werden. Weitere Informationen darüber, welche OHAI-Lösungen von dieser AoC unterstützt werden, erhalten Sie von Ihrem OHAI-Vertreter.

EU-U.S. Privacy Shield Framework

OHAI ist selbstzertifiziert für das EU-U.S. Privacy Shield und das Swiss-U.S. Privacy Shield.

Fragebögen zur Kundensicherheit

Auf die Anforderung eines Kunden, einen Sicherheitsfragebogen oder eine Sicherheitsbewertung ausfüllen zu dürfen, stellt OHAI die entsprechende Dokumentation eines Drittanbieters aus unserem Security Compliance-Programm wie oben beschrieben bereit. Zusätzliche Dokumentation kann zur Verfügung gestellt werden, wenn sie verfügbar ist, z. B. vorab ausgefüllte standardisierte Sicherheitsfragebogen (CAIQs) oder ein Lieferantenrisikomanagmentüberblick einer Drittanwendung. Kunden können diese Berichte verwenden, um die Sicherheitslage von OHAI und die Einhaltung vertraglicher Bestimmungen zu bewerten. Wir arbeiten mit Kunden zusammen, um angemessene, spezifische Fragen zur Sicherheitsbewertung zu beantworten, die nicht im Rahmen dieser Standardleistungen beantwortet werden können.

Im Rahmen unserer zahlreichen Sicherheitskontrollen wird u. a. sichergestellt, dass keine vertraulichen und sensiblen Informationen bereitgestellt werden, die OHAI oder unsere Kunden einem zusätzlichen Risiko aussetzen würden. Wir nehmen die Sicherheit Ihrer Daten sehr ernst und gefährden diese nicht, um Anfragen nach bestimmten sensiblen Informationen zu erfüllen, wenn externe Auditoren unser Sicherheitsprogramm validiert haben.