País

Oracle Health and AI (OHAI) Security Program

Exención de responsabilidad: esta página incluye contenido con fines meramente ilustrativos, no forma parte de ningún contrato y está sujeta a cambios. Algunos de los productos, servicios y/o funcionalidades que se muestran son indicativos de productos, servicios y/o funcionalidades previstos para un posible lanzamiento futuro en los Estados Unidos o en otros países. No todos los productos, servicios y/o funcionalidades mostrados están actualmente disponibles para su comercialización en los Estados Unidos o en otros países. Los productos, servicios y/o funcionalidades de la oferta real pueden diferir de los que se muestran en esta página, pueden proporcionarse conforme estén disponibles de forma general y pueden variar en función del país. Los plazos indicados en esta página son meramente orientativos. Los plazos y las funcionalidades de los productos pueden depender de aprobaciones regulatorias o de certificaciones necesarias para productos, servicios o funcionalidades específicas en el país o la región correspondiente. Los términos de su contrato con Oracle regirán exclusivamente, en la medida en que lo permita la ley, la prestación por parte de Oracle de productos, servicios y/o funcionalidades.

Este programa de seguridad de OHAI está diseñado en torno a sus plataformas alojadas, es decir, el hardware y los sistemas operativos en los que OHAI despliega aplicaciones y soluciones en sus entornos alojados en nombre de sus clientes. Oracle Health Millennium®, HealtheIntent® y CareAware® son algunos ejemplos de estas plataformas. Asimismo, asumimos la propiedad y la responsabilidad de la ciberseguridad y la gestión de incidentes de los sistemas de operaciones de alojamiento para proteger la confidencialidad, la integridad y la disponibilidad de los datos de los clientes alojados. Por su parte, los clientes son responsables de gestionar determinados aspectos de la seguridad, como el control del acceso de los usuarios finales, la adición de extensiones/integraciones personalizadas y el procesamiento legal de los datos.

OHAI ofrece servicios de alojamiento a escala mundial utilizando el mismo programa de cumplimiento normativo en materia de seguridad y las mismas políticas de seguridad de la información, independientemente del centro en el que se alojen los datos del cliente. Los datos del cliente se almacenarán y alojarán en el mismo país en el que se encuentre el cliente, a menos que, de mutuo acuerdo, se establezca lo contrario. Existen algunas diferencias operativas dependiendo del tipo de centro de datos que se utiliza. No obstante, nuestro programa de seguridad de la información se mantiene igual.

Alojamiento en la nube de OHAI: la opción de alojamiento en la nube de OHAI permite a nuestros clientes que utilizan soluciones habilitadas para la nube mantenerse al día sobre la funcionalidad de las aplicaciones y de la tecnología utilizada para poner las aplicaciones a disposición de los usuarios finales. Oracle Cloud Infrastructure (OCI) es el entorno de computación en la nube de Oracle, una plataforma en la nube escalable, de alta disponibilidad y rentable. OCI cuenta con regiones de nube pública, tanto comerciales como gubernamentales, distribuidas por todo el mundo. Asimismo, OHAI utiliza un proveedor externo de la nube pública para algunos de sus servicios alojados.
Instalaciones de los centros de datos de OHAI: las instalaciones de los centros de datos de OHAI se diseñan teniendo en cuenta los riesgos de desastres naturales propios de las zonas geográficas en las que se ubican. Los centros de datos cuentan con medidas de seguridad física y ambiental organizadas con un enfoque estratégico por niveles para disuadir, retrasar y detectar cualquier intento de intrusión. Estas medidas están diseñadas para brindar un entorno reforzado, seguro y fiable.
Proveedores de servicios de datos de ubicación compartida: OHAI utiliza proveedores de servicios de ubicación compartida de centros de datos equivalentes al nivel 3 en algunas regiones. Los servicios proporcionados por estos proveedores incluyen las operaciones del centros de datos (es decir, suministro de energía, refrigeración, extinción de incendios), la seguridad física y las áreas asignadas de los centros de datos de OHAI. Los equipos de computación y de red (como servidores, cortafuegos o cableado de red) son propiedad de OHAI, que se encarga de su mantenimiento, y no se comparten con otros inquilinos del centro de datos. Los proveedores de servicios no tienen acceso a los datos alojados en las áreas designadas de los centros de datos de OHAI y, del mismo modo, no procesan ningún dato perteneciente a los clientes de OHAI. Las certificaciones de los proveedores de servicios de ubicación compartida incluyen certificaciones reconocidas por el sector en materia de seguridad, medioambiente y salud, tales como las certificaciones ISO 27001 e ISO 14001 y los informes SOC 2 Tipo II.

El uso de un proveedor externo de servicios de centros de datos de ubicación compartida no cambia la forma en que gestionamos nuestro programa de seguridad ni le otorga acceso a nuestros sistemas o redes.

Políticas y procedimientos

OHAI mantiene un programa documentado de gestión de riesgos, seguridad y privacidad de la información con roles, responsabilidades, políticas y procedimientos claramente definidos y diseñados para proteger la información almacenada en sus plataformas. El programa de OHAI, como mínimo:

Asigna responsabilidades en materia de seguridad de la información a personas específicas;
Describe un uso aceptable de la plataforma de OHAI;
Proporciona control de acceso y atributos de contraseña para los usuarios finales, administradores y sistemas operativos de OHAI;
Refuerza los requisitos de autenticación de los usuarios finales de OHAI;
Describe el registro de auditorías y la supervisión de los entornos de producción alojados en OHAI;
Detalla el plan de respuesta ante incidentes de OHAI;
Describe los controles adecuados de gestión de riesgos, las certificaciones de seguridad y las evaluaciones periódicas de riesgos y
Describe los requisitos en materia de seguridad física y ambiental para las redes, oficinas y centros de datos de OHAI.

OHAI mantiene un control estricto de sus políticas y procedimientos de seguridad, por lo que no distribuye copias, ni en formato físico ni electrónico. Asimismo, OHAI revisa y actualiza periódicamente su programa de seguridad para adaptarlo a la evolución de la tecnología, la normativa, la legislación, los riesgos y las prácticas del sector y de seguridad, así como a otras necesidades empresariales.

Seguridad técnica

Gestión de identidad y de accesos

OHAI otorga acceso a los sistemas de los clientes en función del rol, de la finalización de la formación requerida y del principio del privilegio mínimo necesario para las responsabilidades del puesto. Los procesos de aprobación de acceso se aplican estrictamente para garantizar que el acceso sea adecuado y se ajuste a los requisitos de cumplimiento normativo.

Asimismo, se exige a los equipos que supervisen los accesos y comprueben la inactividad cada mes, revocando las autorizaciones de acceso según corresponda. Las identidades de los empleados se validan mediante un proceso de autenticación de dos factores al utilizar una conexión VPN. Se requiere autenticación mediante una VPN aprobada para acceder a los entornos en la nube, que están aislados de las redes corporativas.

El acceso a los recursos y sistemas se revisa cada vez que un empleado cambia de rol y se revoca cuando corresponda. Asimismo, el acceso de los empleados se revoca cuando finaliza su relación laboral (ya sea de forma voluntaria o involuntaria).

Gestión de la configuración y protecciones de la red

OHAI utiliza múltiples aplicaciones y contramedidas de seguridad superpuestas dentro de su programa de seguridad para proteger las plataformas. A continuación, se presentan algunos ejemplos de las tecnologías de seguridad que OHAI utiliza para proteger las plataformas:

Software antivirus: se utilizan, según corresponda, software antivirus (AV), software antimalware y controles compensatorios en todo el entorno alojado. Las actualizaciones de los archivos de patrones se implementan diariamente. Los datos entrantes se escanean en tiempo real y las unidades del sistema se escanean semanalmente. Además de mantener actualizadas las firmas de virus, el software antivirus y los motores de escaneo se actualizan para mantener y mejorar su eficacia.
Cortafuegos de red: la red perimetral y las conexiones de infraestructura crítica están protegidas mediante tecnologías de cortafuegos de red estándar del sector.
Sistemas de prevención de intrusiones (IPS): los dispositivos en línea se ubican estratégicamente en la infraestructura de red para identificar comportamientos maliciosos o anómalos. Todas las conexiones que atraviesan las interfaces del cortafuegos, así como las conexiones principales que atraviesan la red central, se inspeccionan para garantizar su validez.
Denegación de servicio: OHAI colabora estrechamente con sus proveedores de servicios de internet para detectar y defenderse de ataques de denegación de servicio.
Servidores proxy: el acceso a aplicaciones externas a través de redes públicas se analiza en busca de gusanos y virus antes de establecer la conexión con el servidor de destino. Asimismo, las solicitudes web y FTP salientes se filtran según una lista autorizada y se analizan para detectar gusanos y virus.
Reforzamiento del sistema: las plantillas de servidores se actualizan conforme a las prácticas estándar del sector en lo que respecta a configuraciones seguras. Se cargan nuevas imágenes en todos los servidores nuevos y, cuando es necesario, en los servidores antiguos.
Gestión de parches: OHAI mantiene un inventario automatizado de sistemas y un sistema de aplicación de parches que proporciona visibilidad sobre los cambios en los sistemas. Igualmente, recibe notificaciones actualizadas sobre parches a través de sus socios y los prueba mediante varios procesos antes de aplicarlos en las plataformas correspondientes.
Separación de entornos: OHAI mantiene una separación lógica y física adecuada entre sus entornos de desarrollo, pruebas y producción de clientes.

Gestión del sistema

Registros de nivel de sistema

OHAI registra el acceso y la actividad en los dispositivos de red, los componentes de la infraestructura de seguridad y los sistemas de servidores en un repositorio de registros de seguridad de la empresa. Los registros se transfieren a una herramienta de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) para su supervisión, análisis, resolución de problemas, cumplimiento normativo y auditoría de los eventos del sistema. Con esta herramienta, el personal de seguridad define perfiles de eventos habituales a fin de centrarse en actividades inusuales, evitar falsos positivos, identificar anomalías y prevenir alertas irrelevantes.

Cifrado y almacenamiento criptográfico

OHAI utiliza mecanismos de cifrado adecuados para proteger los datos. Asimismo, realiza evaluaciones de riesgos para determinar cómo se utilizan los datos y su nivel de confidencialidad. Los datos se cifran durante su transmisión a través de redes públicas. OHAI gestiona la infraestructura de claves públicas y privadas de la red del cliente. Además, procura utilizar algoritmos FIPS 140-2 cuando son compatibles con el módulo criptográfico. OHAI también admite los protocolos de cifrado Advanced Encryption Standard (AES) y Transport Layer Security (TLS).

Gestión de vulnerabilidades y amenazas

Las pruebas de penetración las llevan a cabo profesionales de seguridad de OHAI que cuentan con certificaciones y credenciales reconocidas por el sector. Además, OHAI contrata anualmente a un tercero para realizar pruebas de penetración externas. Como parte del programa de gestión de vulnerabilidades y amenazas de OHAI, los profesionales de seguridad internos analizan y cuantifican el riesgo potencial de las vulnerabilidades y amenazas identificadas tanto para OHAI como para sus clientes.

OHAI realiza un escaneo continuo de sus plataformas en producción. Igualmente, evalúa las vulnerabilidades en función del impacto previsto en el entorno y su exposición externa. Una vez evaluadas, se inicia un proceso para mitigar o remediar cada vulnerabilidad.

Las vulnerabilidades identificadas se evalúan en función de su riesgo y se mitigan o corrigen según su nivel de gravedad. Este análisis incluye el uso de estándares propios del sector, como el sistema de puntuación de vulnerabilidades comunes del NIST (NIST CVSS), así como escaneos de penetración internos en los entornos mediante el uso de herramientas estándar del sector. OHAI procura corregir las vulnerabilidades dentro de los plazos establecidos a continuación:

Urgente: dos semanas si existe una solución alternativa aprobada o 48 horas en caso de que no haya ninguna disponible.
Crítica: 30 días
Alta: 90 días
Media: 180 días
Baja: 365 días

Seguridad física y ambiental

Se implementan medidas de seguridad física y ambiental mediante un enfoque estratégico por niveles para disuadir, retrasar y detectar cualquier intento de intrusión. Estas medidas se diseñan tanto en función de las necesidades específicas de cada centro como para garantizar que los sistemas críticos operen en un entorno reforzado, seguro y fiable.

Como mínimo, OHAI garantiza el mantenimiento de los siguientes controles de seguridad física y ambiental en los centros de datos de Oracle Health y en cualquier proveedor de servicios de ubicación compartida utilizado por OHAI:

Sistemas de control de acceso para restringir la entrada exclusivamente al personal de OHAI y a terceros autorizados.
Centros diseñados con controles ambientales estándar del sector (como sistemas de detección y extinción de incendios, sistemas de refrigeración, control de humedad, control del suministro de energía, suministro ininterrumpido de energía y generador de energía de respaldo).
Centros diseñados con controles de parámetros estándar del sector (como estaciones de vigilancia, barreras físicas, sistemas de videovigilancia y un diseño adecuado resistente a las condiciones meteorológicas adversas).

Gestión de incidentes

Centro de respuesta inmediata (IRC)

La principal función del Centro de respuesta inmediata (IRC, por sus siglas en inglés) es responder a las llamadas de asistencia técnica de segundo y tercer nivel procedentes de los servicios de atención al cliente y resolver los incidentes notificados. Estos incidentes se documentan y almacenan en un repositorio central. El equipo del IRC utiliza herramientas de supervisión del sistema para monitorizar y responder a alarmas y alertas, adoptando las medidas oportunas. El equipo IRC de OHAI cuenta además con personal disponible 24 horas al día y 7 días a la semana los 365 días del año.

Centro de respuesta a incidentes de seguridad informática (CSIRC)

El Centro de respuesta a incidentes de seguridad informática (CSIRC, por sus siglas en inglés) de OHAI es el centro de control para la gestión de incidentes de seguridad y es responsable de la supervisión continua de amenazas en las plataformas de OHAI las 24 horas del día, 7 días a la semana, los 365 días del año. Asimismo, el equipo CSIRC recopila y coordina las respuestas a información de inteligencia sobre amenazas procedente de fuentes internacionales, gubernamentales y del sector tecnológico, con el objetivo de proteger los entornos de OHAI. Además, el equipo utiliza las herramientas estándar del sector para analizar de forma sistemática los registros con el fin de identificar posibles actividades no autorizadas y detectar amenazas potenciales.

Incidentes de seguridad

OHAI mantiene un proceso de gestión de incidentes de seguridad para investigar, mitigar e informar acerca de los incidentes de seguridad del sistema que se producen en una plataforma. Ante un incidente, se informa de manera oportuna a los clientes afectados sobre los incidentes de seguridad pertinentes y las medidas de corrección recomendadas.

Gestión de eventos de seguridad

OHAI no notifica a los clientes ni hace declaraciones públicas acerca de eventos de vulnerabilidad "específicos". A exclusiva discreción de OHAI, este podrá emitir una respuesta específica respecto a una vulnerabilidad que haya determinado que requiere de atención inmediata, basándose en la inteligencia de amenazas recopilada. En caso contrario, OHAI no notifica a los clientes ni atiende solicitudes de estos para revisar un entorno en busca de vulnerabilidades.

Gestión de cambios

OHAI mantiene procesos de gestión de cambios basados en las prácticas recomendadas de la Biblioteca de infraestructura de tecnologías de la información (ITIL, por sus siglas en inglés), que se diseñan en función del tipo de cambio y del nivel de riesgo asociado. Las políticas de OHAI exigen que se comunique a los clientes afectados los cambios relevantes no rutinarios que se realicen en sus sistemas. Esos cambios se validan, se revisan y reciben las aprobaciones correspondientes en función de su nivel de riesgo. OHAI utiliza comités asesores de cambios para revisar los cambios significativos que impliquen un tiempo de inactividad o un riesgo elevado. Los cambios se registran y gestionan en el sistema centralizado de solicitudes de cambios de OHAI. Asimismo, los clientes son responsables de controlar y documentar cualquier modificación que estos realicen en sus sistemas.

Planificación de contingencias

El programa de contingencias de OHAI se basa en la norma ISO 22301 y está diseñado para garantizar el funcionamiento continuo de la tecnología esencial, ofreciendo asistencia a las funciones internas y externas de los clientes durante cualquier incidente (por ejemplo, una situación que pueda ser o derivar en una interrupción prolongada, una pérdida, una emergencia o una crisis).

Recuperación y resiliencia ante desastres

OHAI proporciona una infraestructura redundante y de alta disponibilidad para minimizar las interrupciones en los entornos de producción. En caso de que se produzca un incidente disruptivo, OHAI sigue un programa de contingencia establecido, probado y documentado con el fin de restablecer el servicio lo más rápida y eficazmente posible, utilizando medidas comercialmente razonables. La sección de gestión de incidentes del programa de planificación de contingencias de OHAI se somete a pruebas, se revisa y se actualiza anualmente. OHAI ofrece distintos niveles de servicios de recuperación ante desastres según la plataforma aplicable.

Ciclo de vida del desarrollo de software

OHAI está alineando sus prácticas de seguridad con las de Oracle. Para el desarrollo de nuevos productos, OHAI utiliza Oracle Software Security Assurance (OSSA, por sus siglas en inglés), que abarca todas las fases del ciclo de vida del desarrollo del producto y, a su vez, constituye la metodología que utiliza Oracle para integrar la seguridad en el diseño, la configuración, las pruebas y el mantenimiento de sus productos. Las prácticas de desarrollo seguro de Oracle buscan evitar las vulnerabilidades más comunes, incluidas aquellas identificadas en el Top 10 de OWASP. Para obtener más información al respecto, consulte https://www.oracle.com/corporate/security-practices/assurance/development/.

Personal

Concienciación en materia de seguridad

El programa de concienciación en materia de seguridad de OHAI exige que los empleados participen en actividades obligatorias de educación y formación relacionadas con su rol específico. Estas actividades están diseñadas para mantener la eficacia de la estrategia de seguridad de OHAI e incluyen, entre otras:

Campañas de formación continua
Formación anual en seguridad
Formación localizada en seguridad
Identificación de phishing y otras estafas
Boletines de seguridad específicos

Directrices sobre requisitos laborales

En 2003, OHAI inició un proceso de evaluación periódica de los candidatos en fase de oferta de empleo mediante un proceso de verificación de antecedentes. Asimismo, a partir 2012, OHAI requiere que los candidatos se sometan a pruebas de detección de drogas antes de iniciar su empleo.

Verificaciones de antecedentes

El proceso de verificación de los antecedentes de los solicitantes de OHAI varía según el rol del candidato y la legislación aplicable. Por ejemplo, en la medida en que lo permita la legislación, las verificaciones de antecedentes en EE. UU. y Canadá consisten en:

Historial laboral de los últimos cinco años;
Verificación de la formación (certificación más alta), según se requiera en función del rol;
Investigación de antecedentes penales de los últimos siete años;
Seguimiento del número de la seguridad social (solo en EE. UU.);
Verificación de sanciones en materia de atención a la salud (solo en EE. UU.);
Verificación de sanciones y cumplimiento global;
Pruebas de detección de drogas (solo para determinados puestos) y
Certificados profesionales (solo para determinados puestos).

Subcontratistas

OHAI requiere que los subcontratistas garanticen la competencia y elegibilidad de sus empleados que prestan servicios a los clientes de OHAI. El personal de los subcontratistas debe completar verificaciones de antecedentes aplicables a los servicios prestados, que deben ser, como mínimo, tan prescriptivas como las que OHAI requiere para sus propios empleados.

Gestión de riesgos de terceros

OHAI solicita acuerdos de asociación empresarial y acuerdos de confidencialidad a sus proveedores de servicios de ubicación compartida y a los proveedores que utiliza para el funcionamiento de la plataforma, según corresponda en función del acceso de cada entidad a los datos y a otra información confidencial. Del mismo modo, OHAI requiere que sus proveedores completen un cuestionario de seguridad de la información como parte de su proceso de evaluación. Además, OHAI realiza evaluaciones anuales de riesgos de seguridad de sus proveedores basándose en el perfil de riesgo de cada uno.

Recursos extraterritoriales

OHAI es una empresa global con oficinas y empleados en todo el mundo. Su modelo operativo y de asistencia técnica incluye el uso de personal distribuido globalmente. OHAI puede proporcionar acceso temporal a las plataformas desde fuera del país en el que se aloje la plataforma correspondiente. Todo el personal con acceso a la plataforma debe participar en actividades obligatorias de educación y formación relacionadas con su rol específico y seguir las políticas y procesos de seguridad de OHAI. Los registros de formación se supervisan y conservan con fines de cumplimiento normativo.

Destrucción de soportes de almacenamiento

Todos los soportes de almacenamiento utilizados para la prestación de los servicios de alojamiento de OHAI se purgan y eliminan de conformidad con la política de OHAI en materia de eliminación de soportes electrónicos. Esta política cumple con la Regla de seguridad de la Ley HIPAA, así como con los estándares ISO 27001 y NIST 800-88.

OHAI puede proporcionar hardware a los clientes para que estos lo utilicen en sus centros. Cualquier información almacenada en el hardware proporcionado por OHAI que se encuentre en los centros de un cliente será responsabilidad de este. En estos casos, los clientes son responsables de las decisiones relativas a la limpieza o destrucción de los soportes de almacenamiento de datos al final del ciclo de vida útil del hardware.

Certificaciones y auditorías

OHAI realiza evaluaciones internas de forma periódica y se somete a auditorías externas para examinar los controles existentes en la plataforma y en sus operaciones, así como para validar que opera de manera eficaz conforme a su programa de seguridad.

HIPAA: Ley de transferibilidad y responsabilidad del seguro de salud de 1996

OHAI ha establecido y mantiene los controles necesarios para el cumplimiento normativo de la Ley HIPAA (modificada por la Ley HITECH). Las evaluaciones de la Ley HIPAA (internas o externas) se llevan a cabo anualmente y abarcan todos los entornos corporativos y de clientes pertinentes en nuestras sedes de Estados Unidos.

Atestaciones SOC 1 y SOC 2 Tipo II

Las atestaciones de terceros se realizan sobre los entornos de alojamiento de OHAI mediante la evaluación y verificación de la eficacia de sus medidas de mitigación de riesgos relacionadas con los principios de servicios de confianza de la AICPA en materia de seguridad, disponibilidad y confidencialidad. Los informes SOC se elaboran conforme a las directrices SSAE de la AICPA y son específicos de los servicios de alojamiento y de los controles gestionados por OHAI. Actualmente incluyen las siguientes ubicaciones de alojamiento: EE. UU., Canadá y Suecia. Las ubicaciones incluidas en los informes SOC pueden cambiar en función de la evolución de las necesidades empresariales de OHAI. Colaboraremos con los clientes para facilitar la obtención del informe SOC correspondiente, ya sea de OHAI o, en su caso, de un proveedor de ubicación compartida.

ISO 27001/27002:2022

El Marco de gestión de la seguridad de la información (ISMF, por sus siglas en inglés) de OHAI cumple los principios de la norma ISO 27001/27002:2022 y sus políticas son aplicables a la mayoría de las plataformas de OHAI.

Dependemos de los centros de datos de ubicación compartida en Canadá, Suecia, Reino Unido, Francia y Australia, así como de proveedores públicos de servicios en la nube, en lo que respecta a sus controles de seguridad física y ambiental. Según nuestros auditores independientes, únicamente los centros de datos y oficinas propiedad de Oracle Health pueden identificarse e incluirse en la certificación ISO de Oracle Health. Los procesos de gestión de centros de datos de ubicación compartida están cubiertos por las oficinas de Oracle Health incluidas en dicha certificación. Oracle Health puede asegurar que los procesos utilizados para gestionar centros de datos dentro de proveedores de servicios de centros de datos de ubicación compartida están incluidos en la certificación ISO de Oracle Health. Esto es coherente con el uso de múltiples proveedores de servicios de centros de datos de ubicación compartida a nivel global. Oracle Health solo posee centros de datos en Estados Unidos, por lo que son los únicos incluidos en la certificación. Para operaciones específicas de proveedores de servicios de centros de datos de ubicación compartida, los clientes deberán basarse en la certificación ISO de cada proveedor.

Informe de resumen de las pruebas de penetración

OHAI contrata anualmente un tercero para realizar pruebas de penetración externas en sus plataformas. OHAI recibe un informe de resumen de las pruebas de penetración que describe las pruebas realizadas, confirma el uso de una metodología estándar del sector, herramientas de prueba y una base de datos nacional de vulnerabilidades, e identifica las vulnerabilidades conocidas de las plataformas. Por su parte, OHAI corrige las vulnerabilidades identificadas en función del riesgo y las gestiona mediante un plan de corrección supervisado de forma activa.

PCI-DSS: Estándar de seguridad de datos del sector de tarjetas de pago

OHAI recibe un certificado de conformidad (AoC) de terceros para demostrar el cumplimiento de la norma PCI DSS como proveedor de servicios de nivel 1 para el procesamiento de pagos en determinadas soluciones de OHAI. Para obtener más información sobre qué soluciones de OHAI están cubiertas por este AoC, póngase en contacto con su representante de OHAI.

Marco del escudo de privacidad de la UE y los EE. UU.

OHAI se ha autocertificado conforme al Escudo de privacidad de la UE y los EE. UU. y al Escudo de privacidad de Suiza y los EE. UU.

Asistencia en cuestionarios de seguridad de los clientes

Ante la solicitud de un cliente de completar un cuestionario o evaluación de seguridad, OHAI proporcionará la documentación de terceros aplicable de nuestro programa de cumplimiento normativo en materia de seguridad, tal como se ha descrito anteriormente. También podrá facilitarse documentación adicional cuando esté disponible, como cuestionarios de seguridad estandarizados previamente cumplimentados (CAIQ, por sus siglas en inglés) o descripciones generales de la gestión de riesgos de proveedores de aplicaciones de terceros. Los clientes pueden utilizar estos informes para evaluar la estrategia de seguridad de OHAI y su cumplimiento de las condiciones contractuales. Asimismo, colaboraremos con los clientes para responder a preguntas razonables y específicas de evaluación de seguridad que no estén cubiertas en estos informes estándar.

Uno de nuestros controles de seguridad consiste en garantizar que no facilitamos información confidencial y delicada que pueda exponer a OHAI o a nuestros clientes a riesgos adicionales. Nos tomamos muy en serio la seguridad en materia de datos y no la pondremos en riesgo para atender solicitudes de información confidencial específica una vez que auditores externos hayan validado nuestro programa de seguridad.