Programma di sicurezza Oracle Health and AI (OHAI)

I prodotti indicati sono intesi come esempi di quanto è stato fornito in casi specifici. Ogni dispositivo/prodotto medico è progettato per rispettare le normative della regione di utilizzo. Tuttavia, non possiamo garantirne la disponibilità o la conformità in altre aree specifiche. Per soddisfare i requisiti regionali possono essere necessari adattamenti locali.

Il presente programma di sicurezza OHAI è stato concepito sulle piattaforme di OHAI, ovvero l'hardware e i sistemi operativi su cui OHAI implementa le applicazioni e le soluzioni nei suoi ambienti per conto dei suoi clienti. Oracle Health Millennium®, HealtheIntent® e CareAware® sono esempi di piattaforme. Ci assumiamo la responsabilità della sicurezza informatica e della gestione dei problemi in relazione ai nostri sistemi operativi per proteggere la riservatezza, l'integrità e la disponibilità dei dati dei clienti ospitati. I clienti sono responsabili della gestione di determinati aspetti della sicurezza, tra cui il controllo dell'accesso degli utenti finali, l'aggiunta di estensioni/integrazioni personalizzate e il trattamento legale dei dati.

OHAI offre servizi di hosting in tutto il mondo, utilizzando lo stesso programma di conformità in materia di sicurezza e le stesse politiche di sicurezza delle informazioni, indipendentemente dalla struttura in cui sono ospitati i dati dei clienti. I dati del cliente saranno memorizzati e ospitati nello stesso paese in cui si trova il cliente, salvo diverso accordo reciproco. Ci sono alcune differenze operative a seconda del tipo di data center utilizzato, ma il nostro programma in materia di sicurezza delle informazioni non cambia.

  • OHAI Cloud Hosting: l'opzione di hosting cloud di OHAI consente ai nostri clienti di utilizzare soluzioni abilitate per il cloud per rimanere facilmente aggiornati sulle funzionalità e sulla tecnologia delle applicazioni utilizzate per fornire le applicazioni agli utenti finali. Oracle Cloud Infrastructure (OCI), l'ambiente di cloud computing di Oracle, è una piattaforma cloud scalabile, ad alta disponibilità e a costi contenuti. OCI dispone di region cloud pubbliche, commerciali e governative e opera in tutto il mondo. OHAI utilizza anche un provider di cloud pubblico di terzi per alcuni servizi in hosting.
  • Strutture del data center OHAI: le strutture del data center OHAI sono costruite tenendo in considerazione eventuali rischi di calamità naturali relativi alle aree geografiche in cui si trovano. I data center prevedono misure di sicurezza, fisiche e ambientali, con una strategia a più livelli, per scoraggiare, ritardare e rilevare qualsiasi tentativo di intrusione. Queste misure sono state concepite per fornire un ambiente protetto, sicuro e affidabile.
  • Provider di servizi dati di co-locazione: OHAI utilizza provider di servizi in co-ubicazione di data center equivalenti di livello 3 in alcune zone. I servizi forniti da tali provider comprendono le operazioni di data center (ovvero alimentazione, raffreddamento, antincendio) e la sicurezza fisica fino alle cabine OHAI. Le apparecchiature informatiche e di rete (come server, firewall o cavi di rete) sono di proprietà di OHAI, non condivise con altri tenant di data center e gestite da OHAI. I provider di servizi non hanno accesso ai dati ospitati nelle cabine OHAI e non trattano dati relativi ai clienti OHAI. Le certificazioni dei provider di servizi in co-ubicazione includono certificazioni riconosciute nel settore riguardanti la sorveglianza, l'ambiente, la salute e la sicurezza, ad esempio ISO 27001 e ISO 14001 e i report SOC 2 Type II.

L'utilizzo di un provider di servizi in co-ubicazione di data center di terzi non modifica il modo in cui gestiamo il nostro programma in materia di sicurezza, né consente al provider di servizi l'accesso ai nostri sistemi o reti.

Politiche e procedure

OHAI gestisce un programma documentato di gestione della privacy, della sicurezza e dei rischi relativi alle informazioni con ruoli, responsabilità, politiche e procedure chiaramente definiti e concepiti per proteggere le informazioni gestite sulle piattaforme di OHAI. Il programma di OHAI, come minimo:

  • assegna le responsabilità in materia di sicurezza dei dati a persone specifiche;
  • descrive l'uso accettabile della piattaforma di OHAI;
  • fornisce il controllo dell'accesso e le caratteristiche delle password per utenti finali, amministratori e sistemi operativi OHAI;
  • applica i requisiti di autenticazione dell'utente finale OHAI;
  • descrive il log audit e il monitoraggio degli ambienti di produzione ospitati da OHAI;
  • specifica i dettagli del piano OHAI di reazione agli incidenti;
  • descrive i controlli di gestione dei rischi appropriati, le certificazioni di sicurezza e le valutazioni periodiche dei rischi; e
  • descrive i requisiti di sicurezza fisica e ambientale per le reti, gli uffici e i data center di OHAI.

OHAI controlla rigorosamente e non distribuisce copie scritte o elettroniche delle sue politiche e procedure di sicurezza. OHAI riesamina e modifica regolarmente il proprio programma in materia di sicurezza per adattarlo alle tecnologie, alle normative, alle leggi, ai rischi, alle pratiche di settore e di sicurezza e ad altre esigenze aziendali che cambiano.


Sicurezza tecnica

Gestione delle identità e degli accessi

OHAI concede l'accesso ai sistemi dei clienti in base al ruolo, al completamento della formazione richiesta e al principio del privilegio minimo correlato alle responsabilità lavorative. I processi di approvazione degli accessi, rigorosamente applicati, garantiscono l'idoneità dell'accesso e la conformità ai requisiti.

I team sono tenuti a monitorare l'accesso e verificare la presenza di inattività ogni mese, revocando l'autorizzazione di accesso a seconda dei casi. In caso di uso della connessione VPN è prevista la verifica dell'identità dei dipendenti mediante autenticazione a due fattori. Per l'accesso agli ambienti cloud, separati dalle reti aziendali, occorre l'autenticazione mediante VPN approvata.

Se un dipendente cambia ruolo, è previsto il riesame dell'accesso alle risorse e ai sistemi, oppure la revoca, se opportuno. La revoca dell'accesso è prevista anche in caso di cessazione (volontaria o involontaria) del rapporto di lavoro con il dipendente.

Gestione della configurazione e protezioni di rete

OHAI utilizza più applicazioni e contromisure di sicurezza sovrapposte nel proprio programma in materia di sicurezza per proteggere le piattaforme. Di seguito sono riportati alcuni esempi delle tecnologie di sicurezza implementate da OHAI per proteggere le piattaforme:

  • Software antivirus: si usano software antivirus e anti-malware e controlli di compensazione, a seconda dei casi, in tutto l'ambiente ospitato. L'aggiornamento dei file di pattern è quotidiano. La scansione dei dati in entrata avviene in tempo reale; la scansione delle unità di sistema avviene su base settimanale. Oltre a quello delle firme dei virus, si esegue anche l'aggiornamento dell'antivirus e dei motori di scansione per mantenere e migliorare la loro efficacia.
  • Firewall di rete: le connessioni della rete perimetrale e dell'infrastruttura fondamentale sono protette dalle tecnologie firewall di rete standard del settore.
  • Intrusion Prevention Systems (IPS): i dispositivi in linea, posizionati in modo strategico nell'infrastruttura di rete, individuano i rischi e le anomalie. Il controllo di ciascuna connessione che attraversa le interfacce del firewall e di ciascuna connessione principale che attraversa la rete fondamentale garantisce la validità.
  • Denial of Service: OHAI lavora a stretto contatto con i propri provider di servizi Internet per rilevare gli attacchi di negazione dell'accesso al servizio e per predisporre le adeguate misure di protezione.
  • Proxy server: prima di stabilire la connessione con il server di destinazione, la scansione dell'accesso alle applicazioni esterne nelle reti pubbliche ha lo scopo di individuare eventuali worm e virus. Le richieste web e FTP in uscita sono filtrate in base a un elenco autorizzato; un'adeguata scansione individua eventuali worm e virus.
  • Protezione avanzata del sistema: l'aggiornamento dei modelli dei server avviene in base alle procedure standard del settore in configurazioni sicure. Se necessario, si caricano le nuove immagini su tutti i nuovi server e sui server precedenti.
  • Gestione delle patch: OHAI gestisce un inventario di sistema automatizzato e un sistema di patch, garantendo la visibilità delle modifiche del sistema. OHAI ottiene una notifica aggiornata delle patch attraverso le relazioni con i partner e verifica le patch mediante vari processi prima di applicarle alle piattaforme relative.
  • Separazione degli ambienti: OHAI mantiene una separazione logica e fisica appropriata degli ambienti di sviluppo, test e produzione clienti.

Gestione del sistema

Log a livello di sistema

OHAI registra l'accesso e l'attività su dispositivi di rete, componenti dell'infrastruttura di sicurezza e sistemi server in un archivio della sicurezza aziendale. Il trasferimento dei log in uno strumento SIEM (Security Information and Event Management) consente di effettuare il monitoraggio, l'analisi, la risoluzione dei problemi, la conformità e il controllo degli eventi di sistema. Utilizzando il SIEM, il personale di sicurezza elabora profili di eventi comuni per concentrarsi su attività insolite, evitare falsi positivi, individuare anomalie e prevenire avvisi insignificanti.

Cifratura e archiviazione crittografica

OHAI utilizza meccanismi di cifratura appropriati per salvaguardare i dati. OHAI esegue valutazioni dei rischi per verificare il metodo d'uso dei dati e la loro sensibilità complessiva. La trasmissione dei dati su reti pubbliche è cifrata. OHAI gestisce l'infrastruttura pubblica e privata fondamentale della rete del cliente. OHAI si impegna a utilizzare gli algoritmi FIPS 140-2, quando supportati dal modulo di cifratura. OHAI supporta inoltre i protocolli di cifratura AES (Advanced Encryption Standard) e TLS (Transport Layer Security).

Gestione delle vulnerabilità e delle minacce

I test di penetrazione sono condotti da professionisti della sicurezza OHAI in possesso di certificazioni e credenziali di settore appropriate. Inoltre, OHAI chiede ogni anno a una società esterna di svolgere test di penetrazione esterni. Nell'ambito del programma di gestione delle vulnerabilità e delle minacce di OHAI, i professionisti della sicurezza di OHAI analizzano e quantificano i rischi potenziali delle vulnerabilità e minacce individuate, sia per OHAI sia per i suoi clienti.

OHAI esegue la scansione continua della produzione delle piattaforme di OHAI. OHAI classifica le vulnerabilità in base all'impatto previsto sull'ambiente e all'esposizione esterna. Dopo avere ottenuto il punteggio della vulnerabilità, inizia un processo per mitigarla o correggerla.

Si effettua una valutazione dei rischi relativi alle vulnerabilità individuate che devono essere mitigate o corrette in base al livello di gravità. Questa analisi include l'utilizzo di standard di settore, come il sistema NIST CVSS (Common Vulnerability Scoring System) e la scansione di penetrazione interna degli ambienti mediante strumenti standard di settore. OHAI si impegna a correggere le vulnerabilità entro i tempi indicati di seguito:

  • Urgente: due settimane, se è disponibile un espediente approvato o 48 ore, se non è disponibile una soluzione alternativa associata
  • Critica: 30 giorni
  • Alta: 90 giorni
  • Media: 180 giorni
  • Bassa: 365 giorni

Sicurezza fisica e ambientale

Con un approccio strategico a più livelli si applicano misure di sicurezza fisiche e ambientali per scoraggiare, ritardare e rilevare qualsiasi tentativo di intrusione. Queste misure sono state concepite in base alle esigenze specifiche della struttura e per garantire un ambiente protetto, sicuro e affidabile ai sistemi fondamentali.

Come minimo, OHAI garantisce i seguenti controlli di sicurezza fisici e ambientali nei data center Oracle Health e all'interno di qualsiasi provider di servizi in co-ubicazione sfruttato da OHAI:

  • Sistemi di controllo dell'accesso per limitare l'ingresso al solo personale OHAI e a terzi autorizzati.
  • Struttura progettata con controlli ambientali standard del settore (come sistemi di rilevamento ed estinzione degli incendi, sistemi di raffreddamento, controlli dell'umidità, controlli della distribuzione dell'alimentazione, alimentazione elettrica ininterrotta e sistemi di backup dell'alimentazione).
  • Struttura progettata con controlli dei parametri standard del settore (come stazioni di controllo, barriere fisiche, videosorveglianza e resistenza agli agenti atmosferici).

Gestione degli incidenti

Centro di risposta immediata (IRC)

L'IRC deve innanzitutto rispondere alle chiamate di supporto di secondo e terzo livello dagli help desk dei clienti e di risolvere i problemi segnalati. La documentazione dei problemi segnalati è conservata in un archivio centrale. Il team IRC usa gli strumenti del sistema per monitorare e rispondere ad allarmi e avvertimenti e agire di conseguenza. Il personale IRC di OHAI è disponibile 24x7x365.

Centro di risposta ai problemi di sicurezza informatica (CSIRC)

Il CSIRC di OHAI è il centro di controllo per la gestione dei problemi di sicurezza. Deve controllare continuamente (24x7x365) le piattaforme di OHAI per proteggerle dalle minacce. Il team CSIRC acquisisce e coordina le risposte alle informazioni di intelligence sulle minacce del settore internazionale, federale e tecnologico, nel tentativo di salvaguardare gli ambienti OHAI. Inoltre, il team sfrutta gli strumenti standard del settore per analizzare sistematicamente i log al fine di individuare potenziali attività non autorizzate e concentrarsi su eventuali minacce.

Problemi di sicurezza

OHAI gestisce un processo di gestione dei problemi relativi alla sicurezza per analizzare, mitigare e comunicare gli eventi riguardanti la sicurezza del sistema che si verificano in una piattaforma. I clienti interessati ricevono tempestivamente comunicazione dei problemi di sicurezza pertinenti e delle misure correttive consigliate.

Gestione degli eventi relativi alla sicurezza

OHAI non comunica ai clienti o al pubblico i casi di vulnerabilità "denominati". A sua esclusiva discrezione, OHAI può rispondere specificamente a una vulnerabilità che, in base alle informazioni raccolte sulle minacce, si ritiene esiga un'attenzione immediata. In caso contrario, OHAI non invia comunicazioni ai clienti o non risponde alle richieste dei clienti di esaminare un ambiente per rilevare le vulnerabilità.


Gestione delle modifiche

OHAI applica processi di gestione delle modifiche, basati sulle best practice ITIL (Information Technology Infrastructure Library) e concepiti secondo il tipo di modifica e il livello di rischio associato a tale modifica. Le politiche aziendali impongono a OHAI di comunicare al cliente interessato le pertinenti modifiche non consuete apportate al suo sistema. Le modifiche sono convalidate, riesaminate e approvate in base al relativo rischio. OHAI utilizza i Change Advisory Board (CAB) per riesaminare le modifiche significative con tempi di inattività noti o rischi elevati. Il sistema centralizzato delle richieste di modifica di OHAI registra e gestisce le modifiche. I clienti devono controllare e documentare qualsiasi modifica di sistema che eseguono.


Piano d'emergenza

Il programma di emergenza di OHAI si basa sulla ISO 22301 ed è stato concepito per garantire il funzionamento continuo della tecnologia essenziale, supportando le funzioni interne ed esterne dei clienti in caso di qualsiasi problema (ad esempio una situazione che potrebbe essere o potrebbe portare a interruzione estesa, perdita, emergenza o crisi).

Ripristino di emergenza e resilienza

OHAI offre un'infrastruttura ridondante e ad alta disponibilità per ridurre al minimo le interruzioni negli ambienti di produzione. Se si verifica un incidente dirompente, OHAI segue un programma di emergenza stabilito, collaudato e documentato per ripristinare il servizio il più rapidamente ed efficacemente possibile, utilizzando misure commercialmente ragionevoli. La parte riguardante la gestione degli incidenti del programma di emergenza di OHAI è sottoposta ogni anno a prove, riesami e aggiornamenti. OHAI offre diversi livelli di servizi di ripristino di emergenze in base alla piattaforma applicabile.


Ciclo di vita dello sviluppo del software

OHAI sta allineando le proprie procedure di sicurezza a quelle di Oracle. Per lo sviluppo di nuovi prodotti, OHAI utilizza Oracle Software Security Assurance (OSSA) che comprende ogni fase del ciclo di vita dello sviluppo di un prodotto ed è il metodo mediante il quale Oracle rende sicuri i processi di progettazione, realizzazione, prova e manutenzione dei propri prodotti. Le procedure di sviluppo sicuro di Oracle hanno lo scopo di prevenire vulnerabilità comuni, incluse quelle identificate nella Top 10 di OWASP. Per ulteriori informazioni, vedere https://www.oracle.com/corporate/security-practices/assurance/development/


Personale

Conoscenza della sicurezza

Il programma di OHAI dedicato alla conoscenza della sicurezza impone ai dipendenti di partecipare alle attività di formazione obbligatorie correlate loro ruolo specifico. Queste attività sono state concepite per mantenere l'efficacia delle procedure di sicurezza di OHAI e includono:

  • campagne di formazione continua;
  • formazione annuale in materia di sicurezza;
  • formazione sulla sicurezza localizzata;
  • conoscenza del phishing e delle truffe; e
  • bollettini di sicurezza mirati.

Linee guida sui requisiti dei dipendenti

Nel 2003, OHAI ha iniziato a valutare regolarmente le referenze di chi si candida per posizioni lavorative in azienda. A partire dal 2012, OHAI ha iniziato a chiedere ai candidati di sottoporsi a un esame antidroga prima di iniziare a lavorare.

Verifiche delle referenze

Il processo di verifica di OHAI delle referenze dei candidati varia in base al ruolo potenziale del candidato e alla legge applicabile. Ad esempio, nella misura consentita dalla legge applicabile, le verifiche delle referenze negli Stati Uniti e in Canada riguardano:

  • esperienze professionali fino a cinque anni prima;
  • verifica del percorso formativo (grado massimo), in base al ruolo richiesto;
  • verifica della fedina penale fino a sette anni prima;
  • identificazione del numero di previdenza sociale (solo USA);
  • controllo delle sanzioni sanitarie (solo USA);
  • controllo globale delle sanzioni e relativa applicazione;
  • test antidroga (solo per determinate posizioni); e
  • certificati professionali (solo per determinate posizioni).

Subappaltatori

OHAI impone ai subappaltatori di garantire la competenza e l'idoneità dei propri dipendenti che forniscono servizi ai clienti di OHAI. Il personale dei subappaltatori è sottoposto alle verifiche delle referenze applicabili ai servizi erogati; tali controlli devono essere almeno equivalenti a quelli applicati da OHAI ai suoi dipendenti.

Gestione dei rischi di terzi

OHAI prevede accordi di collaborazione commerciale e di non divulgazione con i suoi provider di servizi in co-ubicazione e i fornitori impegnati a mettere a disposizione la piattaforma, a seconda dei casi in base all'accesso di tale entità ai dati e ad altre informazioni riservate. OHAI impone ai suoi fornitori di completare un questionario sulla sicurezza dei dati nel corso del processo di valutazione dei fornitori. Inoltre, OHAI effettua valutazioni annuali dei rischi relativi alla sicurezza sui propri fornitori in base al relativo profilo di rischio.

Risorse offshore

OHAI è un'azienda globale con uffici e dipendenti in tutto il mondo. L'attuale modello operativo e di supporto di OHAI include l'uso di collaboratori in tutto il mondo. OHAI può fornire un accesso temporaneo alle piattaforme al di fuori del paese in cui è ospitata la piattaforma applicabile. Tutti i dipendenti con accesso alla piattaforma sono tenuti a partecipare alle attività di formazione obbligatorie relative al loro ruolo specifico e devono attenersi alle politiche e ai processi di sicurezza di OHAI. A fini di conformità la formazione deve essere documentata e gestita.

Distruzione dei supporti

I contenuti di tutti i supporti elettronici di archiviazione usati per la fornitura dei servizi di hosting di OHAI devono essere cancellati prima di smaltire i dispositivi in conformità della relativa politica di OHAI. La politica è conforme a HIPAA Security Rule, ISO 27001 e NIST 800-88.

OHAI può fornire ai clienti l'hardware da usare nelle loro sedi. Tutte le informazioni memorizzate sull'hardware fornito da OHAI ma che si trova nella sede del cliente sono sotto la responsabilità del cliente. In questi casi, i clienti sono responsabili dello smaltimento o della distruzione dei supporti di archiviazione dei dati al termine del ciclo di vita dell'hardware.


Certificazioni e audit

OHAI esegue regolarmente valutazioni interne e si sottopone ad audit esterni per esaminare i controlli presenti nella piattaforma e le proprie operazioni nonché per verificare di stare operando in modo efficace in conformità del suo programma in materia di sicurezza.

HIPAA – Health Insurance Portability and Accountability Act del 1996

OHAI ha stabilito i controlli necessari per la conformità con HIPAA (come modificato da HITECH) e li gestisce regolarmente. Le valutazioni HIPAA (interne o esterne) si svolgono su base annuale e prendono in esame tutti i pertinenti ambienti dell'azienda e dei clienti nelle nostre sedi negli Stati Uniti.

Convalide SOC 1 e SOC 2 Type II

Gli ambienti ospitati di OHAI sono sottoposti a convalide di terzi, rilevando e collaudando l'efficacia delle mitigazioni dei rischi di OHAI correlate ai principi Trust Service di AICPA riguardanti la sicurezza, la disponibilità e la riservatezza. I report SOC, concepiti secondo le linee guida SSAE di AICPA, si riferiscono specificamente ai servizi di hosting e ai controlli gestiti da OHAI e attualmente includono le seguenti sedi di hosting: Stati Uniti, Canada e Svezia. Le sedi dei report SOC sono soggette a modifiche in base alle esigenze aziendali in continua evoluzione di OHAI. Aiuteremo i clienti a ottenere il report SOC appropriato da OHAI o da un provider in co-ubicazione, a seconda dei casi.

ISO 27001/27002:2022

L'Information Security Management Framework (ISMF) di OHAI è conforme ai principi ISO 27001/27002:2022 e le policy ISMF sono applicabili alla maggior parte delle piattaforme di OHAI.

Dipendiamo dai data center in co-ubicazione in Canada, Svezia, Regno Unito, Francia e Australia e dai provider pubblici di servizi cloud per i controlli di sicurezza fisici e ambientali. Secondo i nostri auditor indipendenti, solo i data center e gli uffici di proprietà di Oracle Health possono essere identificati e inclusi nella certificazione ISO di Oracle Health. I processi che gestiscono i data center in co-ubicazione sono coperti dagli uffici Oracle Health identificati nella certificazione ISO. Oracle Health può confermare che i processi che gestiscono i data center all'interno dei provider di servizi di data center in co-ubicazione sono stati inclusi nella certificazione ISO di Oracle Health, coerentemente all'uso di molteplici provider di servizi di data center in co-ubicazione in tutto il mondo. Oracle Health possiede solo data center negli Stati Uniti, motivo per cui sono identificati nella certificazione. Per le operazioni specifiche dei provider di servizi di data center in co-ubicazione, i clienti devono fare affidamento sulla certificazione ISO del fornitore.

Report di riepilogo dei test di penetrazione

OHAI affida ogni anno a una società terza l'incarico di eseguire test di penetrazione esterni sulle piattaforme di OHAI. OHAI riceve un report di riepilogo dei test di penetrazione che descrive le prove eseguite, conferma che una metodologia standard di settore, strumenti di prova e un database nazionale delle vulnerabilità sono stati utilizzati per condurre i test di penetrazione e individua le vulnerabilità note all'interno delle piattaforme. OHAI risolve le vulnerabilità individuate in base al rischio e mediante un piano di correzione monitorato attivamente.

PCI-DSS – Payment Card Industry Data Security Standard

Mediante un'attestazione di conformità di terzi (AoC) OHAI dimostra la conformità PCI DSS come provider di servizi di livello 1 per l'elaborazione dei pagamenti supportati da determinate soluzioni OHAI. Per ulteriori informazioni sulle soluzioni OHAI supportate da questa AoC, contattare il rappresentante OHAI.

EU-U.S. Privacy Shield Framework

OHAI ha effettuato l'autocertificazione in base a EU-U.S. Privacy Shield e Swiss-U.S. Privacy Shield.

Questionari sulla sicurezza dei clienti

Su un cliente chiede di completare un questionario o una valutazione sulla sicurezza, OHAI fornirà una pertinente documentazione di terzi in base al nostro Programma per la conformità della sicurezza, come descritto sopra. Quando disponibile, può essere fornita ulteriore documentazione, ad esempio questionari sulla sicurezza standardizzati (CAIQ) precompletati o un rendiconto sulla gestione dei rischi del fornitore di un'applicazione di terzi. I clienti possono utilizzare questi report per valutare le prassi di sicurezza di OHAI e la conformità alle condizioni contrattuali. Collaboreremo con i clienti per rispondere a domande di valutazione della sicurezza, ragionevoli e specifiche, non soddisfatte da questi documenti.

Uno dei nostri numerosi controlli di sicurezza include la garanzia che non forniamo informazioni riservate e sensibili che espongono OHAI o i nostri clienti a rischi aggiuntivi. Prendiamo molto sul serio la sicurezza dei dati dei clienti e non li comprometteremo per soddisfare richieste di informazioni sensibili specifiche, poiché il nostro programma in materia di sicurezza è stato convalidato da revisori esterni.