Paese

Programma di sicurezza Oracle Health and AI (OHAI)

Esclusione di responsabilità:questa pagina contiene alcuni contenuti a scopo puramente illustrativo, non costituisce parte di un contratto e può essere soggetta a modifiche. Alcuni prodotti, servizi e/o funzionalità mostrati sono forniti a solo scopo illustrativo e si riferiscono a prodotti, servizi e/o funzionalità previsti per un futuro lancio negli Stati Uniti o altrove. Non tutti i prodotti, servizi e/o le funzionalità mostrati sono attualmente disponibili per la vendita negli Stati Uniti o altrove. I prodotti, i servizi e/o le funzionalità effettivamente offerti possono differire da quelli mostrati in questa pagina, possono essere resi disponibili man mano che diventano generalmente disponibili e possono variare da Paese a Paese. Le tempistiche indicate in questa pagina hanno valore puramente indicativo. Le tempistiche e le funzionalità dei prodotti possono dipendere da approvazioni regolatorie o certificazioni relative ai singoli prodotti, servizi o funzionalità nel Paese o nella regione applicabile. I termini del contratto stipulato con Oracle disciplinano esclusivamente, nella misura consentita dalla legge, la fornitura di prodotti, servizi e/o funzionalità da parte di Oracle.

Il presente programma di sicurezza OHAI è concepito attorno alle piattaforme ospitate di OHAI, ovvero l’hardware e i sistemi operativi su cui OHAI distribuisce applicazioni e soluzioni nei propri ambienti ospitati per conto dei clienti. Oracle Health Millennium®, HealtheIntent® e CareAware® sono esempi di piattaforme. Ci assumiamo la responsabilità della sicurezza informatica e della gestione degli incidenti relativi ai sistemi operativi di hosting al fine di proteggere la riservatezza, l’integrità e la disponibilità dei dati dei clienti ospitati. I clienti sono responsabili della gestione di determinati aspetti della sicurezza, tra cui il controllo dell'accesso degli utenti finali, l'aggiunta di estensioni/integrazioni personalizzate e il trattamento legale dei dati.

OHAI offre servizi di hosting in tutto il mondo, utilizzando lo stesso programma di conformità in materia di sicurezza e le stesse politiche di sicurezza delle informazioni, indipendentemente dalla struttura in cui sono ospitati i dati dei clienti. I dati del cliente saranno memorizzati e ospitati nello stesso Paese in cui si trova il cliente, salvo diverso accordo reciproco. Ci sono alcune differenze operative a seconda del tipo di data center utilizzato, ma il nostro programma in materia di sicurezza delle informazioni non cambia.

OHAI Cloud Hosting: l’opzione OHAI Cloud Hosting consente ai clienti che utilizzano soluzioni abilitate al cloud di rimanere facilmente aggiornati sulle funzionalità applicative e sulle tecnologie utilizzate per erogare le applicazioni agli utenti finali. Oracle Cloud Infrastructure (OCI), l'ambiente di cloud computing di Oracle, è una piattaforma cloud scalabile, ad alta disponibilità e a costi contenuti. OCI dispone di region cloud pubbliche, commerciali e governative e opera in tutto il mondo. OHAI utilizza anche un provider di cloud pubblico di terzi per alcuni servizi in hosting.
Strutture del data center OHAI: le strutture del data center OHAI sono costruite tenendo in considerazione eventuali rischi di calamità naturali relativi alle aree geografiche in cui si trovano. I data center prevedono misure di sicurezza, fisiche e ambientali, con una strategia a più livelli, per scoraggiare, ritardare e rilevare qualsiasi tentativo di intrusione. Queste misure sono state concepite per fornire un ambiente protetto, sicuro e affidabile.
Provider di servizi di colocation dei data center: OHAI utilizza provider di servizi in colocation di data center equivalenti di livello 3 in alcune zone. I servizi forniti da tali provider comprendono le operazioni di data center (ovvero alimentazione, raffreddamento, antincendio) e la sicurezza fisica fino alle cabine OHAI. Le apparecchiature informatiche e di rete (come server, firewall o cavi di rete) sono di proprietà di OHAI, non condivise con altri tenant di data center e gestite da OHAI. I provider di servizi non hanno accesso ai dati ospitati nelle cabine OHAI e non trattano dati relativi ai clienti OHAI. Le certificazioni dei provider di servizi di colocation includono certificazioni riconosciute nel settore in materia di sicurezza, ambiente e salute e sicurezza sul lavoro, come ISO 27001, ISO 14001 e report SOC 2 Type II.

L'utilizzo di un provider di servizi di colocation dei data center di terzi non modifica il modo in cui gestiamo il nostro programma in materia di sicurezza, né consente al provider di servizi l'accesso ai nostri sistemi o reti.

Politiche e procedure

OHAI gestisce un programma documentato di gestione della privacy, della sicurezza e dei rischi relativi alle informazioni con ruoli, responsabilità, politiche e procedure chiaramente definiti e concepiti per proteggere le informazioni gestite sulle piattaforme di OHAI. Il programma di OHAI, come minimo:

assegna le responsabilità in materia di sicurezza dei dati a persone specifiche;
descrive l'uso accettabile della piattaforma di OHAI;
definisce controlli di accesso e criteri relativi alle password per utenti finali, amministratori e sistemi operativi OHAI;
applica i requisiti di autenticazione dell'utente finale OHAI;
descrive la registrazione dei log di audit e il monitoraggio degli ambienti di produzione ospitati da OHAI;
specifica i dettagli del piano OHAI di risposta agli incidenti;
descrive i controlli di gestione dei rischi appropriati, le certificazioni di sicurezza e le valutazioni periodiche dei rischi; e
descrive i requisiti di sicurezza fisica e ambientale per le reti, gli uffici e i data center di OHAI.

OHAI controlla rigorosamente e non distribuisce copie scritte o elettroniche delle sue politiche e procedure di sicurezza. OHAI riesamina e modifica regolarmente il proprio programma in materia di sicurezza per adattarlo alle tecnologie, alla normativa, ai rischi, alle pratiche di settore e di sicurezza e alle altre esigenze aziendali in evoluzione.

Sicurezza tecnica

Gestione delle identità e degli accessi

OHAI concede l'accesso ai sistemi dei clienti in base al ruolo, al completamento della formazione richiesta e al principio del privilegio minimo correlato alle responsabilità lavorative. I processi di approvazione degli accessi sono rigorosamente applicati per garantire che l’accesso sia appropriato e conforme ai requisiti

I team sono tenuti a monitorare l'accesso e verificare la presenza di inattività ogni mese, revocando l'autorizzazione di accesso a seconda dei casi. In caso di uso della connessione VPN è prevista la verifica dell'identità dei dipendenti mediante autenticazione a due fattori. Per l'accesso agli ambienti cloud, separati dalle reti aziendali, occorre l'autenticazione mediante VPN approvata.

Se un dipendente cambia ruolo, è previsto il riesame dell'accesso alle risorse e ai sistemi, oppure la revoca, se opportuno. La revoca dell'accesso è prevista anche in caso di cessazione (volontaria o involontaria) del rapporto di lavoro con il dipendente.

Gestione della configurazione e protezioni di rete

OHAI utilizza più applicazioni e contromisure di sicurezza sovrapposte nel proprio programma in materia di sicurezza per proteggere le piattaforme. Di seguito sono riportati alcuni esempi delle tecnologie di sicurezza implementate da OHAI per proteggere le piattaforme:

Software antivirus: si usano software antivirus e anti-malware e controlli di compensazione, a seconda dei casi, in tutto l'ambiente ospitato. Gli aggiornamenti delle firme antivirus vengono distribuiti quotidianamente. La scansione dei dati in entrata avviene in tempo reale; la scansione delle unità di sistema avviene su base settimanale. Oltre a quello delle firme dei virus, si esegue anche l'aggiornamento dell'antivirus e dei motori di scansione per mantenere e migliorare la loro efficacia.
Firewall di rete: le connessioni della rete perimetrale e dell'infrastruttura fondamentale sono protette dalle tecnologie firewall di rete standard del settore.
Intrusion Prevention Systems (IPS): i dispositivi in linea, posizionati in modo strategico nell'infrastruttura di rete, identificano comportamenti malevoli o anomali. Ogni connessione che attraversa le interfacce del firewall e le principali connessioni della rete core viene ispezionata per verificarne la validità.
Denial of Service: OHAI lavora a stretto contatto con i propri provider di servizi Internet per rilevare gli attacchi di negazione dell'accesso al servizio e per predisporre le adeguate misure di protezione.
Proxy server: prima di stabilire la connessione con il server di destinazione, la scansione dell'accesso alle applicazioni esterne nelle reti pubbliche ha lo scopo di individuare eventuali worm e virus. Le richieste web e FTP in uscita sono filtrate in base a un elenco autorizzato; un'adeguata scansione individua eventuali worm e virus.
Hardening dei sistemi: l'aggiornamento dei modelli dei server avviene in base alle procedure standard del settore in configurazioni sicure. Se necessario, si caricano le nuove immagini su tutti i nuovi server e sui server precedenti.
Gestione delle patch: OHAI gestisce un inventario di sistema automatizzato e un sistema di patch, garantendo la visibilità delle modifiche del sistema. OHAI ottiene una notifica aggiornata delle patch attraverso le relazioni con i partner e verifica le patch mediante vari processi prima di applicarle alle piattaforme relative.
Separazione degli ambienti: OHAI mantiene una separazione logica e fisica appropriata degli ambienti di sviluppo, test e produzione clienti.

Gestione del sistema

Log di sistema

OHAI registra l'accesso e l'attività su dispositivi di rete, componenti dell'infrastruttura di sicurezza e sistemi server in un archivio della sicurezza aziendale. Il trasferimento dei log in uno strumento SIEM (Security Information and Event Management) consente di effettuare il monitoraggio, l'analisi, la risoluzione dei problemi, la conformità e il controllo degli eventi di sistema. Utilizzando il SIEM, il personale di sicurezza elabora profili di eventi comuni per concentrarsi su attività insolite, evitare falsi positivi, individuare anomalie e prevenire avvisi insignificanti.

Cifratura e archiviazione crittografica

OHAI utilizza meccanismi di cifratura appropriati per salvaguardare i dati. OHAI esegue valutazioni dei rischi per verificare il metodo d'uso dei dati e la loro sensibilità complessiva. La trasmissione dei dati su reti pubbliche è cifrata. OHAI gestisce l’infrastruttura a chiave pubblica e privata (PKI) delle reti dei clienti. OHAI si impegna a utilizzare gli algoritmi FIPS 140-2, quando supportati dal modulo di cifratura. OHAI supporta inoltre i protocolli di cifratura AES (Advanced Encryption Standard) e TLS (Transport Layer Security).

Gestione delle vulnerabilità e delle minacce

I test di penetrazione sono condotti da professionisti della sicurezza OHAI in possesso di certificazioni e credenziali di settore appropriate. Inoltre, OHAI chiede ogni anno a una società esterna di svolgere test di penetrazione esterni. Nell'ambito del programma di gestione delle vulnerabilità e delle minacce di OHAI, i professionisti della sicurezza di OHAI analizzano e quantificano i rischi potenziali delle vulnerabilità e minacce individuate, sia per OHAI sia per i suoi clienti.

OHAI esegue scansioni continue degli ambienti di produzione delle proprie piattaforme. OHAI classifica le vulnerabilità in base all'impatto previsto sull'ambiente e all'esposizione esterna. Dopo avere ottenuto il punteggio della vulnerabilità, inizia un processo per mitigarla o correggerla.

Si effettua una valutazione dei rischi relativi alle vulnerabilità individuate che devono essere mitigate o corrette in base al livello di gravità. Questa analisi include l'utilizzo di standard di settore, come il sistema NIST CVSS (Common Vulnerability Scoring System) e la scansione di penetrazione interna degli ambienti mediante strumenti standard di settore. OHAI si impegna a correggere le vulnerabilità entro i tempi indicati di seguito:

Urgente: due settimane, se è disponibile un espediente approvato o 48 ore, se non è disponibile una soluzione alternativa approvata
Critica: 30 giorni
Alta: 90 giorni
Media: 180 giorni
Bassa: 365 giorni

Sicurezza fisica e ambientale

Con un approccio strategico a più livelli si applicano misure di sicurezza fisiche e ambientali per scoraggiare, ritardare e rilevare qualsiasi tentativo di intrusione. Queste misure sono state concepite in base alle esigenze specifiche della struttura e per garantire un ambiente protetto, sicuro e affidabile ai sistemi fondamentali.

Come requisito minimo, OHAI garantisce che i seguenti controlli di sicurezza fisica e ambientale siano mantenuti presso i data center Oracle Health e presso qualsiasi provider di servizi di colocation di cui OHAI si avvale:

Sistemi di controllo dell'accesso per limitare l'ingresso al solo personale OHAI e a terzi autorizzati.
Struttura progettata con controlli ambientali standard del settore (come sistemi di rilevamento ed estinzione degli incendi, sistemi di raffreddamento, controlli dell'umidità, controlli della distribuzione dell'alimentazione, alimentazione elettrica ininterrotta e sistemi di backup dell'alimentazione).
Struttura progettata con controlli dei parametri standard del settore (come stazioni di controllo, barriere fisiche, videosorveglianza e resistenza agli agenti atmosferici).

Gestione degli incidenti

Centro di risposta immediata (IRC)

Il compito principale dell’IRC è rispondere alle richieste di supporto di secondo e terzo livello provenienti dagli help desk dei clienti e risolvere i problemi segnalati. La documentazione dei problemi segnalati è conservata in un archivio centrale. Il team IRC usa gli strumenti del sistema per monitorare e rispondere ad allarmi e avvertimenti e agire di conseguenza. Il personale IRC di OHAI è disponibile 24x7x365.

Centro di risposta ai problemi di sicurezza informatica (CSIRC)

Il CSIRC di OHAI è il centro di controllo per la gestione dei problemi di sicurezza ed è responsabile del monitoraggio continuo delle minacce (24x7x365) sulle piattaforme OHAI. Il team CSIRC acquisisce e analizza informazioni di threat intelligence provenienti da fonti internazionali, federali e del settore tecnologico, coordinando le risposte al fine di proteggere gli ambienti OHAI. Inoltre, il team sfrutta gli strumenti standard del settore per analizzare sistematicamente i log al fine di individuare potenziali attività non autorizzate e concentrarsi su eventuali minacce.

Incidenti di sicurezza

OHAI adotta un processo di gestione degli incidenti di sicurezza per indagare, mitigare e comunicare gli eventi di sicurezza del sistema che si verificano all’interno della piattaforma. I clienti interessati ricevono tempestivamente comunicazione dei incidenti di sicurezza pertinenti e delle misure correttive consigliate.

Gestione degli eventi relativi alla sicurezza

OHAI non comunica ai clienti eventi relativi a vulnerabilità identificate pubblicamente (ad es. con denominazione ufficiale). A sua esclusiva discrezione, OHAI può rispondere specificamente a una vulnerabilità che, in base alle informazioni raccolte sulle minacce, si ritiene esiga un'attenzione immediata. In caso contrario, OHAI non informa i clienti né risponde alle richieste di valutazione delle vulnerabilità degli ambienti.

Gestione delle modifiche

OHAI applica processi di gestione delle modifiche, basati sulle best practice ITIL (Information Technology Infrastructure Library) e concepiti secondo il tipo di modifica e il livello di rischio associato a tale modifica. Le politiche aziendali impongono a OHAI di comunicare al cliente interessato le pertinenti modifiche non consuete apportate al suo sistema. Le modifiche sono convalidate, riesaminate e approvate in base al relativo rischio. OHAI utilizza i Change Advisory Board (CAB) per riesaminare le modifiche significative con tempi di inattività noti o rischi elevati. Il sistema centralizzato delle richieste di modifica di OHAI registra e gestisce le modifiche. I clienti devono controllare e documentare qualsiasi modifica di sistema che eseguono.

Piano di continuità operativa

Il programma di emergenza di OHAI si basa sulla ISO 22301 ed è stato concepito per garantire il funzionamento continuo della tecnologia essenziale, supportando le funzioni interne ed esterne dei clienti in caso di incidenti (ad esempio situazioni che possono causare o comportare interruzioni prolungate, perdite, emergenze o crisi).

Ripristino di emergenza e resilienza

OHAI offre un'infrastruttura ridondante e ad alta disponibilità per ridurre al minimo le interruzioni negli ambienti di produzione. Se si verifica un incidente grave, OHAI segue un programma di emergenza stabilito, collaudato e documentato per ripristinare il servizio il più rapidamente ed efficacemente possibile, utilizzando misure commercialmente ragionevoli. La parte riguardante la gestione degli incidenti del programma di emergenza di OHAI è sottoposta ogni anno a prove, riesami e aggiornamenti. OHAI offre diversi livelli di servizi di ripristino di emergenze in base alla piattaforma applicabile.

Ciclo di vita dello sviluppo del software

OHAI sta allineando le proprie procedure di sicurezza a quelle di Oracle. Per lo sviluppo di nuovi prodotti, OHAI utilizza Oracle Software Security Assurance (OSSA) che comprende ogni fase del ciclo di vita dello sviluppo di un prodotto ed è il metodo mediante il quale Oracle rende sicuri i processi di progettazione, realizzazione, prova e manutenzione dei propri prodotti. Le procedure di sviluppo sicuro di Oracle hanno lo scopo di prevenire vulnerabilità comuni, incluse quelle identificate nella Top 10 di OWASP. Per ulteriori informazioni, vedere https://www.oracle.com/corporate/security-practices/assurance/development/

Personale

Consapevolezza in materia di sicurezza

Il programma di OHAI dedicato alla consapevolezza della sicurezza impone ai dipendenti di partecipare alle attività di formazione obbligatorie correlate al loro ruolo specifico. Queste attività sono state concepite per mantenere l'efficacia delle procedure di sicurezza di OHAI e includono:

campagne di formazione continua;
formazione annuale in materia di sicurezza;
formazione sulla sicurezza localizzata;
riconoscimento del phishing e di altre truffe; e
bollettini di sicurezza mirati.

Linee guida sui requisiti dei dipendenti

Nel 2003, OHAI ha avviato un processo di verifica dei candidati in fase di selezione tramite controlli dei precedenti. A partire dal 2012, OHAI ha iniziato a chiedere ai candidati di sottoporsi a un esame antidroga prima di iniziare a lavorare.

Verifiche dei precedenti

Il processo di verifica dei precedenti di OHAI dei candidati varia in base al ruolo potenziale del candidato e alla legge applicabile. Ad esempio, nella misura consentita dalla legge applicabile, le verifiche dei precedenti negli Stati Uniti e in Canada riguardano:

esperienze professionali fino a cinque anni prima;
verifica del percorso formativo (grado massimo), in base al ruolo richiesto;
verifica della fedina penale fino a sette anni prima;
identificazione del numero di previdenza sociale (solo USA);
controllo delle sanzioni sanitarie (solo USA);
controllo globale delle sanzioni e relativa applicazione;
test antidroga (solo per determinate posizioni); e
certificati professionali (solo per determinate posizioni).

Subappaltatori

OHAI impone ai subappaltatori di garantire la competenza e l'idoneità dei propri dipendenti che forniscono servizi ai clienti di OHAI. Il personale dei subappaltatori è sottoposto alle verifiche delle referenze applicabili ai servizi erogati; tali controlli devono essere almeno equivalenti a quelli applicati da OHAI ai suoi dipendenti.

Gestione dei rischi di terzi

OHAI richiede la stipula di accordi con partner commerciali (Business Associate Agreements) e di accordi di riservatezza (Non-Disclosure Agreements) con i propri provider di servizi di colocation e con i fornitori utilizzati per l’erogazione della piattaforma, in funzione dell’accesso di tali soggetti ai dati e ad altre informazioni riservate. OHAI impone ai suoi fornitori di completare un questionario sulla sicurezza dei dati nel corso del processo di valutazione dei fornitori. Inoltre, OHAI effettua valutazioni annuali dei rischi relativi alla sicurezza sui propri fornitori in base al relativo profilo di rischio.

Risorse offshore

OHAI è un'azienda globale con uffici e dipendenti in tutto il mondo. L'attuale modello operativo e di supporto di OHAI include l'uso di collaboratori in tutto il mondo. OHAI può fornire un accesso temporaneo alle piattaforme al di fuori del Paese in cui è ospitata la piattaforma applicabile. Tutti i dipendenti con accesso alla piattaforma sono tenuti a partecipare alle attività di formazione obbligatorie relative al loro ruolo specifico e devono attenersi alle politiche e ai processi di sicurezza di OHAI. I registri della formazione sono monitorati e mantenuti ai fini della conformità.

Distruzione dei supporti

Tutti i supporti di memorizzazione utilizzati per l’erogazione dei servizi di hosting OHAI vengono cancellati e smaltiti in conformità alla politica OHAI per lo smaltimento dei supporti elettronici. La politica è conforme a HIPAA Security Rule, ISO 27001 e NIST 800-88.

OHAI può fornire ai clienti l'hardware da usare nelle loro sedi. Tutte le informazioni memorizzate sull'hardware fornito da OHAI ma che si trova nella sede del cliente sono sotto la responsabilità del cliente. In questi casi, i clienti sono responsabili della bonifica (sanitization) o della distruzione dei supporti di archiviazione dei dati al termine del ciclo di vita dell'hardware.

Certificazioni e audit

OHAI esegue regolarmente valutazioni interne e si sottopone ad audit esterni per esaminare i controlli presenti nella piattaforma e le proprie operazioni nonché per verificare che OHAI operi in modo efficace in conformità al proprio programma di sicurezza.

HIPAA – Health Insurance Portability and Accountability Act del 1996

OHAI ha stabilito i controlli necessari per la conformità con HIPAA (come modificato da HITECH) e li gestisce regolarmente. Le valutazioni HIPAA (interne o esterne) si svolgono su base annuale e prendono in esame tutti i pertinenti ambienti dell'azienda e dei clienti nelle nostre sedi negli Stati Uniti.

Attestazioni SOC 1 e SOC 2 Type II

Gli ambienti ospitati di OHAI sono sottoposti a convalide di terzi, mediante la misurazione e la verifica dell’efficacia delle mitigazioni dei rischi di OHAI correlate ai principi Trust Service di AICPA riguardanti la sicurezza, la disponibilità e la riservatezza. I report SOC, redatti secondo le linee guida SSAE di AICPA, si riferiscono specificamente ai servizi di hosting e ai controlli gestiti da OHAI e attualmente includono le seguenti sedi di hosting: Stati Uniti, Canada e Svezia. Le sedi dei report SOC sono soggette a modifiche in base alle esigenze aziendali in continua evoluzione di OHAI. Aiuteremo i clienti a ottenere il report SOC appropriato da OHAI o da un provider di colocation, a seconda dei casi.

ISO 27001/27002:2022

L'Information Security Management Framework (ISMF) di OHAI è conforme ai principi ISO 27001/27002:2022 e le policy ISMF sono applicabili alla maggior parte delle piattaforme di OHAI.

OHAI si avvale di data center in colocation in Canada, Svezia, Regno Unito, Francia e Australia e dai provider pubblici di servizi cloud per i controlli di sicurezza fisici e ambientali. Secondo i nostri auditor indipendenti, solo i data center e gli uffici di proprietà di Oracle Health possono essere identificati e inclusi nella certificazione ISO di Oracle Health. I processi che gestiscono i data center in colocation sono coperti dagli uffici Oracle Health identificati nella certificazione ISO. Oracle Health può confermare che i processi che gestiscono i data center all'interno dei provider di servizi di colocation di data center sono stati inclusi nella certificazione ISO di Oracle Health, coerentemente all'uso di molteplici provider di servizi di colocation di data center in tutto il mondo. Oracle Health possiede solo data center negli Stati Uniti, motivo per cui sono identificati nella certificazione. Per le operazioni specifiche dei provider di servizi di colocation di data center, i clienti devono fare affidamento sulla certificazione ISO del fornitore.

Report di riepilogo dei test di penetrazione

OHAI affida ogni anno a una società terza l'incarico di eseguire test di penetrazione esterni sulle piattaforme di OHAI. OHAI riceve un report di riepilogo dei test di penetrazione che descrive le prove eseguite, conferma che una metodologia standard di settore, strumenti di prova e un database nazionale delle vulnerabilità sono stati utilizzati per condurre i test di penetrazione e individua le vulnerabilità note all'interno delle piattaforme. OHAI risolve le vulnerabilità individuate in base al rischio e mediante un piano di correzione monitorato attivamente.

PCI-DSS – Payment Card Industry Data Security Standard

Mediante un'attestazione di conformità di terzi (AoC) OHAI dimostra la conformità PCI DSS come provider di servizi di livello 1 per l'elaborazione dei pagamenti supportati da determinate soluzioni OHAI. Per ulteriori informazioni sulle soluzioni OHAI supportate da questa AoC, contattare il rappresentante OHAI.

EU-U.S. Privacy Shield Framework

OHAI ha effettuato l'autocertificazione in base a EU-U.S. Privacy Shield e Swiss-U.S. Privacy Shield.

Questionari sulla sicurezza dei clienti

Su richiesta del cliente di completare un questionario o una valutazione sulla sicurezza, OHAI fornirà OHAI fornirà una pertinente documentazione di terzi in base al nostro Programma per la conformità della sicurezza, come descritto sopra. Quando disponibile, può essere fornita ulteriore documentazione, ad esempio questionari sulla sicurezza standardizzati (CAIQ) precompletati o un rendiconto sulla gestione dei rischi del fornitore di un'applicazione di terzi. I clienti possono utilizzare questi report per valutare le prassi di sicurezza di OHAI e la conformità alle condizioni contrattuali. OHAI collaborerà con i clienti per rispondere a domande di valutazione della sicurezza, ragionevoli e specifiche, non soddisfatte da questi documenti.

Uno dei nostri numerosi controlli di sicurezza consiste nel garantire che non vengano fornite informazioni riservate o sensibili tali da esporre OHAI o i suoi clienti a rischi aggiuntivi. Prendiamo molto sul serio la sicurezza dei dati dei clienti e non li comprometteremo per soddisfare richieste di informazioni sensibili specifiche, poiché il nostro programma in materia di sicurezza è stato convalidato da revisori esterni.