Programa de seguridad de Oracle Health e inteligencia artificial (OHAI)

Los productos mostrados a continuación son ejemplos de lo descrito en casos concretos. Cada producto o dispositivo médico está diseñado para cumplir con las regulaciones del área geográfica donde se utiliza. No obstante, no se puede garantizar su disponibilidad o conformidad de uso en otras regiones específicas. Puede ser necesario realizar adaptaciones a nivel local para cumplir con los requisitos regionales.

Este Programa de seguridad de OHAI está diseñado en torno a las plataformas alojadas de OHAI, es decir, el hardware y los sistemas operativos en los que OHAI despliega aplicaciones y soluciones en los entornos alojados de OHAI en nombre de sus clientes. Oracle Health Millennium®, HealtheIntent® y CareAware® son algunos ejemplos de estas plataformas. Asimismo, asumimos la propiedad y la responsabilidad de la ciberseguridad y la gestión de incidentes de los sistemas para proteger la confidencialidad, integridad y disponibilidad de los datos de los clientes alojados. Por su parte, los clientes son responsables de gestionar determinados aspectos de la seguridad, como el control del acceso de los usuarios finales, la adición de extensiones/integraciones personalizadas y el procesamiento legal de los datos.

OHAI ofrece servicios de alojamiento a escala mundial utilizando el mismo programa de normativas en materia de seguridad y las mismas políticas de seguridad de la información, independientemente del centro en el que se alojen los datos del cliente. Los datos del cliente se almacenarán y alojarán en el mismo país en el que se encuentre el cliente, a menos que, de mutuo acuerdo, se establezca lo contrario. Existen algunas diferencias operativas dependiendo del tipo de centro de datos que se utiliza; no obstante, nuestro programa de seguridad de la información se mantiene igual.

  • Alojamiento en la nube de OHAI: la opción de alojamiento en la nube de OHAI permite a nuestros clientes que utilizan soluciones habilitadas para la nube mantenerse al día sobre la funcionalidad de las aplicaciones y de la tecnología utilizada para entregar las aplicaciones a los usuarios finales. Oracle Cloud Infrastructure (OCI) es el entorno de computación en la nube de Oracle, una plataforma en la nube escalable, de alta disponibilidad y rentable. OCI dispone de regiones de nube pública comerciales y gubernamentales y se encuentra ubicada en todo el mundo. Asimismo, OHAI utiliza un proveedor externo de nube pública para algunos de los servicios alojados.
  • Instalaciones de los centros de datos de OHAI: las instalaciones de los centros de datos de OHAI se crean teniendo en cuenta cualquier riesgo de desastre natural para las zonas geográficas en las que se encuentran. Los centros de datos cuentan con medidas de seguridad física y ambiental en un enfoque estratégico por niveles para disuadir, retrasar y detectar cualquier intento de intrusión. Estas medidas están diseñadas para brindar un entorno reforzado, seguro y fiable.
  • Proveedores de servicios de datos con ubicación compartida: OHAI utiliza proveedores de servicios de ubicación compartida de centros de datos equivalentes al nivel 3 en algunas regiones. Los servicios proporcionados por los proveedores de centros de datos incluyen las operaciones del centro de datos (es decir, suministro de energía, refrigeración, extinción de incendios) y la seguridad física, así como las jaulas de los centros de datos de OHAI. Los equipos de computación y de red (como servidores, firewalls o cableado de red) son propiedad de OHAI, que es la que se encarga de su mantenimiento, y no se comparten con otros inquilinos del centro de datos. Los proveedores de servicios no tienen acceso a ningún dato alojado en las jaulas de los centros de datos de OHAI y, del mismo modo, no procesan ningún dato perteneciente a los clientes de OHAI. Las certificaciones de los proveedores de servicios de ubicación compartida incluyen certificaciones de seguridad, ambiental y de salud y seguridad reconocidas por el sector, tales como las certificaciones ISO 27001 e ISO 14001 y los informes SOC 2 Tipo II.

El uso de un proveedor de servicios de centros de datos de ubicación compartida de terceros no cambia la forma en que gestionamos nuestro programa de seguridad, ni tampoco le otorga acceso a nuestros sistemas o redes.

Políticas y procedimientos

OHAI mantiene un programa documentado de gestión de riesgos, seguridad y privacidad de la información con roles, responsabilidades, políticas y procedimientos claramente definidos y diseñados para proteger la información almacenada en las plataformas de OHAI. El programa de OHAI, como mínimo:

  • Asigna responsabilidades en materia de seguridad de datos a personas concretas;
  • Describe un uso aceptable de la plataforma de OHAI;
  • Proporciona control de acceso y atributos de contraseña para los usuarios finales, administradores y sistemas operativos de OHAI;
  • Refuerza los requisitos de autenticación de los usuarios finales de OHAI;
  • Describe el registro de auditoría y la supervisión de los entornos de producción alojados en OHAI;
  • Detalla el plan de respuesta a incidentes de OHAI;
  • Describe los controles adecuados de gestión de riesgos, las certificaciones de seguridad y las evaluaciones periódicas de riesgos y
  • Describe los requisitos en materia de seguridad física y ambiental de las redes, oficinas y centros de datos de la OHAI.

OHAI mantiene un control estricto de sus políticas y procedimientos de seguridad, por lo que no distribuye copias escritas o electrónicas de los mismos. Asimismo, OHAI revisa y modifica periódicamente su programa de seguridad para reflejar la evolución de la tecnología, la normativa, las leyes, los riesgos, las prácticas del sector y de seguridad y otras necesidades empresariales.


Seguridad técnica

Gestión de identidad y de accesos

OHAI otorga acceso a los sistemas de los clientes en función del rol, la realización la formación requerida y el principio del privilegio mínimo necesario para cumplir con las responsabilidades del puesto. Los procesos de aprobación de acceso se aplican estrictamente para garantizar que este sea el adecuado y se ajuste a los requisitos de conformidad.

Asimismo, se exige a los equipos que supervisen el acceso y comprueben la inactividad cada mes, revocando la autorización de acceso como corresponda. Las identidades de los empleados se validan mediante un proceso de autenticación de dos factores cuando se utilice una conexión VPN. Es necesaria la autenticación mediante una VPN aprobada para poder acceder a los entornos en la nube que estén aislados de las redes corporativas.

El acceso a los recursos y sistemas se revisa cada vez que un empleado cambia de rol, y, en su caso, se revocará el acceso si así corresponde. De igual modo, el acceso de los empleados se revoca cuando se pone fin a su relación laboral (voluntaria o involuntariamente).

Gestión de la configuración y protecciones de la red

OHAI utiliza múltiples aplicaciones de seguridad superpuestas y contramedidas dentro de su programa de seguridad para proteger las plataformas. A continuación, se presentan algunos ejemplos de dichas tecnologías de seguridad de las plataformas:

  • Software antivirus: se utiliza software antivirus (AV), software antimalware y controles compensatorios, según corresponda, en todo el entorno alojado. Las actualizaciones de los archivos de patrones se implementan diariamente. Los datos entrantes se escanean en tiempo real y las unidades del sistema se escanean semanalmente. Además de mantener actualizadas las firmas de virus, el software antivirus y los motores de escaneado se actualizan para mantener y mejorar su eficacia.
  • Cortafuegos de red: la red perimetral y las conexiones de infraestructuras críticas están protegidas por tecnologías de cortafuegos de red estándar del sector.
  • Sistema de prevención de intrusiones (IPS): los dispositivos en línea se colocan estratégicamente en la infraestructura de red para identificar comportamientos maliciosos o anómalos. Toda conexión que atraviese las interfaces del cortafuegos y las conexiones principales que atraviesen la red central son inspeccionadas a fin de garantizar su validez.
  • Denegación de servicio: OHAI colabora estrechamente con sus proveedores de servicios de internet para detectar y defenderse de los ataques de denegación de acceso al servicio.
  • Servidores proxy: se analiza el acceso de aplicaciones externas a través de redes públicas en busca de gusanos y virus antes de establecer la conexión con el servidor de destino. Asimismo, las solicitudes web y FTP salientes se comparan con una lista autorizada y se analizan en busca de gusanos y virus.
  • Reforzamiento del sistema: se actualizan las plantillas de los servidores para mantener la conformidad de las prácticas estándar del sector en lo que respecta a configuraciones seguras. Según sea necesario, se cargan nuevas imágenes tanto en todos los servidores nuevos como en los antiguos.
  • Gestión de parches: OHAI mantiene un inventario automatizado de sistemas y un sistema de aplicación de parches que brinda visibilidad a los cambios del sistema. OHAI obtiene notificaciones actualizadas de los parches a través de sus relaciones con los socios y los prueba utilizando varios procesos antes de aplicarlos en las plataformas aplicables.
  • Separación de entornos: OHAI mantiene una separación lógica y física adecuada de sus entornos de desarrollo, pruebas y producción de clientes.

Gestión del sistema

Registros de nivel de sistema

OHAI registra el acceso y la actividad de los dispositivos de red, los componentes de la infraestructura de seguridad y los sistemas de los servidores en un repositorio de registro de seguridad de la empresa. Dichos registros se transfieren a una herramienta de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) para su supervisión, análisis, resolución de problemas, cumplimiento y auditoría de los eventos del sistema. Con esta herramienta, el personal de seguridad crea perfiles de eventos comunes a fin de centrarse en tipos de actividades inusuales, evitar falsos positivos, identificar anomalías y prevenir alertas importantes.

Cifrado y almacenamiento criptográfico

OHAI utiliza los mecanismos de cifrado adecuados para custodiar los datos. Asimismo, OHAI realiza evaluaciones de riesgo para valorar de qué modo se consumen los datos y cuál es la sensibilidad global de los mismos. Los datos se cifran en el proceso de transmisión a través de redes públicas. OHAI gestiona la infraestructura de claves públicas y privadas de la red del cliente. Del mismo modo, se esfuerza por utilizar algoritmos FIPS 140-2 cuando el módulo criptográfico los admite. OHAI también es compatible con los protocolos de cifrado Advanced Encryption Standard (AES) y Transport Layer Security (TLS).

Gestión de vulnerabilidades y amenazas

Las pruebas de penetración las llevan a cabo profesionales de seguridad de OHAI que cuentan con las certificaciones y credenciales adecuadas del sector. Además, OHAI solicita anualmente la participación de un tercero para realizar pruebas de penetración externas. Como parte del programa de gestión de vulnerabilidades y amenazas de OHAI, los profesionales de seguridad de la internos analizan y cuantifican el riesgo potencial de las vulnerabilidades y amenazas identificadas tanto para OHAI como para sus clientes.

OHAI lleva a cabo un escaneado continuo de la producción de sus propias plataformas. OHAI clasifica las vulnerabilidades por puntuación en función del impacto previsto en el entorno y la exposición externa. Una vez que se le da una puntuación a la vulnerabilidad, se inicia un proceso para mitigarla o remediarla.

Las vulnerabilidades identificadas se evalúan según su riesgo y se mitigan o corrigen según su nivel de gravedad. Este análisis incluye el uso de estándares propios del sector, como el sistema de puntuación de vulnerabilidades comunes del NIST (NIST CVSS), así como escaneos de penetración internos en los entornos utilizando herramientas estándar del sector. OHAI se esfuerza por corregir vulnerabilidades dentro de los plazos establecidos a continuación:

  • Urgente: dos semanas si hay disponible un método de solución alternativa aprobado o 48 horas en caso de que no haya una solución alternativa asociada.
  • Crítica: 30 días
  • Alta: 90 días
  • Media: 180 días
  • Baja: 365 días

Seguridad física y ambiental

Las medidas de seguridad física y ambiental se implementan en un enfoque estratégico por niveles con el objetivo de disuadir, retrasar y detectar cualquier intento de intrusión. Estas medidas se diseñan de acuerdo con las necesidades específicas de cada centro y con el fin de garantizar que los sistemas críticos dispongan de un entorno blindado, seguro y fiable.

Como mínimo, OHAI garantiza el mantenimiento de los siguientes controles de seguridad física y ambiental en los centros de datos de Oracle Health y en cualquier proveedor de servicios situado en la misma ubicación utilizado por OHAI:

  • Sistemas de control de acceso para limitar el acceso únicamente al personal de OHAI y a terceros autorizados.
  • Instalaciones diseñadas con controles ambientales estándar del sector (como sistemas de detección y extinción de incendios, sistemas de refrigeración, controles de humedad, controles del suministro de energía, suministro ininterrumpido de energía y generador de energía de respaldo).
  • Instalaciones diseñadas con controles de parámetros estándar del sector (como estaciones de vigilancia, barreras físicas, videovigilancia y un diseño adecuado resistente a las condiciones climáticas).

Gestión de incidentes

Centro de respuesta inmediata (IRC)

La principal función delCentro de respuesta inmediata (IRC, por sus siglas en inglés) es responder a las llamadas de soporte de segundo y tercer nivel de los servicios de asistencia al cliente y resolver los problemas reportados. Los problemas notificados se documentan y almacenan en un repositorio central. El equipo del IRC utiliza herramientas de supervisión del sistema para hacer un seguimiento de las alarmas y advertencias, responder a ellas y tomar las medidas oportunas. El IRC de OHAI cuenta con personal disponible 24 horas al día y 7 días a la semana los 365 días del año.

Centro de respuesta a incidentes de seguridad informática (CSIRC)

El Centro de respuesta a incidentes de seguridad informática (CSIRC, por sus siglas en inglés) de OHAI es el centro de control para la gestión de incidentes de seguridad y es responsable de la supervisión continua de amenazas de las plataformas de OHAI las 24 horas del día, 7 días a la semana, los 365 días del año. Asimismo, el equipo del CSIRC recibe y coordina las respuestas a la información internacional, federal y de la industria de la tecnología sobre amenazas en un esfuerzo por proteger los entornos de OHAI. Además, el equipo aprovecha las herramientas estándar del sector para analizar sistemáticamente los registros con el fin de identificar posibles actividades no autorizadas y centrarse en las amenazas potenciales.

Incidentes de seguridad

OHAI mantiene un proceso de gestión de incidentes de seguridad para investigar, mitigar y comunicar los incidentes de seguridad del sistema que se producen en una plataforma. Se informa oportunamente a los clientes afectados de los incidentes de seguridad pertinentes y se les comunican las medidas de corrección que se recomienda adoptar.

Gestión de eventos de seguridad

OHAI no notifica de ningún modo a los clientes ni hace declaraciones públicas acerca de eventos de vulnerabilidad "específicos." A exclusiva discreción de OHAI, este podrá emitir una respuesta específica respecto a una vulnerabilidad que haya determinado que requiere de atención inmediata, basándose en la inteligencia de amenazas recopilada. De lo contrario, OHAI no notifica a los clientes ni responde las solicitudes de éstos para evaluar un entorno en busca de vulnerabilidades.


Gestión de cambios

OHAI mantiene procesos de gestión de cambios basados en las mejores prácticas de la Biblioteca de infraestructura de tecnologías de la información (ITIL, por sus siglas en inglés), que se diseñan de acuerdo con el tipo de cambio y del nivel de riesgo asociado a dicho cambio. Las políticas de OHAI requieren que esta informe al cliente afectado acerca de los cambios relevantes no rutinarios que se realicen en el sistema del cliente. Esos cambios se validan, se revisan y reciben aprobaciones proporcionales al riesgo del cambio. OHAI utiliza Comités asesores de cambios para revisar los cambios significativos que impliquen un tiempo de inactividad previsto o bien un riesgo elevado. Los cambios se registran y mantienen en el sistema centralizado de solicitud de cambios de OHAI. Asimismo, los clientes son responsables de controlar y documentar cualquier modificación del sistema que realicen.


Planificación de contingencias

El programa de contingencias de OHAI se basa en la norma ISO 22301 y está diseñado para garantizar el funcionamiento continuado de la tecnología esencial ofreciendo asistencia a las funciones internas y externas de los clientes durante cualquier incidente (por ejemplo, una situación que pueda ser o dar lugar a una interrupción prolongada, una pérdida, una emergencia o una crisis).

Recuperación y resiliencia ante desastres

OHAI proporciona una infraestructura redundante y de alta disponibilidad para minimizar las interrupciones en los entornos de producción. En caso de que se produzca un incidente que perturbe la estabilidad, OHAI sigue un programa de contingencia establecido, ejercitado y documentado con el fin de restablecer el servicio lo más rápida y eficazmente posible, utilizando medidas comercialmente razonables. La sección de gestión de incidentes del programa de planificación de contingencias de OHAI se prueba, revisa y actualiza año tras año. OHAI ofrece distintos niveles de servicios de recuperación ante desastres según la plataforma.


Ciclo de vida del desarrollo de software

OHAI está alineando sus prácticas de seguridad con Oracle. Como ayuda para el desarrollo de nuevos productos, OHAI utiliza Oracle Software Security Assurance (OSSA, por sus siglas en inglés), que abarca todas las fases del ciclo de vida de desarrollo del producto y, a su vez, es la metodología que utiliza Oracle para incorporar la seguridad en el diseño, la configuración, las pruebas y el mantenimiento de sus productos. Las prácticas de desarrollo seguro de Oracle buscan evitar las vulnerabilidades más comunes, incluidas aquellas identificadas en el Top 10 de OWASP. Para obtener más información al respecto, consulte https://www.oracle.com/corporate/security-practices/assurance/development/


Personal

Concienciación sobre seguridad

El programa de concienciación sobre seguridad de OHAI exige que los empleados participen en actividades obligatorias de educación y formación relacionadas con su función específica. Dichas actividades están diseñadas para mantener la eficacia de la postura de seguridad de OHAI e incluyen, entre otras:

  • Campañas de formación continua;
  • Formación anual en seguridad;
  • Formación localizada en seguridad;
  • Reconocimiento de phishing y otras estafas y
  • Boletines de seguridad específicos.

Directrices sobre requisitos laborales

En 2003, OHAI inició un proceso de evaluación periódica de los candidatos en fase de oferta de empleo mediante un proceso de verificación de antecedentes. Asimismo, a partir de 2012, OHAI requirió que los candidatos realizasen un cribado y prueba de drogas antes de iniciar su empleo.

Verificaciones de antecedentes

El proceso de verificación de los antecedentes de los solicitantes de OHAI varía según la función potencial del candidato y la legislación aplicable. Por ejemplo, en la medida en que lo permita la legislación aplicable, las verificaciones de antecedentes en EE.UU. y Canadá consisten en:

  • Historial laboral de los últimos cinco años;
  • Verificación de la formación (certificación más alta), según se requiera en función del puesto;
  • Investigación de antecedentes penales de los últimos siete años;
  • Seguimiento del número de la seguridad social (solo en EE.UU.);
  • Verificación de sanciones en materia de atención a la salud (solo en EE.UU.);
  • Verificación de sanciones y cumplimiento global;
  • Pruebas de detección de drogas (solo para determinados puestos) y
  • Certificados profesionales (solo para determinados puestos).

Subcontratistas

OHAI requiere que los subcontratistas garanticen la competencia y elegibilidad de sus empleados que prestan servicios a los clientes de OHAI. El personal de los subcontratistas debe completar verificaciones de antecedentes aplicables a los servicios prestados, que deben ser al menos tan prescriptivas como las verificaciones de antecedentes que OHAI solicita a sus empleados.

Gestión de riesgos de terceros

OHAI solicita acuerdos de asociación empresarial y acuerdos de confidencialidad a sus proveedores de servicios con ubicación compartida y a los proveedores que utiliza para el funcionamiento de la plataforma, según corresponda en función del acceso de dicha entidad a los datos y a otra información confidencial. Del mismo modo, OHAI solicita a sus proveedores que respondan a un cuestionario sobre seguridad de los datos como parte del proceso de evaluación del proveedor por parte de OHAI. Además, OHAI lleva a cabo evaluaciones anuales del riesgo para la seguridad de sus proveedores basándose en el perfil de riesgo de cada uno de ellos.

Recursos extraterritoriales

OHAI es una empresa global con oficinas y empleados en todo el mundo. El actual modelo operativo y de apoyo de OHAI incluye a los empleados de todo el mundo. OHAI puede facilitar acceso temporal a las plataformas desde fuera del país en el que esté alojada la plataforma correspondiente. Todos los empleados con acceso a la plataforma deben participar en actividades obligatorias de educación y formación relacionadas con su función específica y deben seguir las políticas y procesos de seguridad de OHAI. Los registros de formación se controlan y mantienen para el cumplimiento de la normativa.

Destrucción de soportes de almacenamiento

Todos los soportes de almacenamiento utilizados para la prestación de los servicios de alojamiento de OHAI se purgan y eliminan de conformidad con la política de OHAI en materia de eliminación de soportes electrónicos. Esta política se adhiere a la Regla de seguridad HIPAA, ISO 27001, y NIST 800-88.

OHAI puede proporcionar hardware a los clientes para que estos lo utilicen en sus centros. Cualquier información almacenada en el hardware proporcionado por OHAI, pero que se encuentre en las instalaciones de un cliente, se considerará responsabilidad del cliente. En estos casos, los clientes son responsables de las decisiones relativas a la limpieza o destrucción de los soportes de almacenamiento de datos al final del ciclo de vida útil del hardware.


Certificaciones y auditorías

OHAI realiza evaluaciones internas de manera habitual y se somete a auditorías externas para examinar los controles presentes dentro de la plataforma y las propias operaciones de OHAI, así como para validar que OHAI está operando de manera efectiva conforme a su Programa de Seguridad.

HIPAA: Ley de portabilidad y responsabilidad de seguros médicos de 1996

OHAI ha establecido y mantiene los controles necesarios para el cumplimiento de la HIPAA (modificada por la HITECH). Las evaluaciones HIPAA (internas o externas) se llevan a cabo anualmente y examinan todos los entornos corporativos y de clientes correspondientes en nuestras sedes de Estados Unidos.

Atestaciones SOC 1 y SOC 2 Tipo II

Las atestaciones de terceros se llevan a cabo en los entornos de alojamiento de OHAI midiendo y probando la eficacia de las medidas de mitigación de riesgos de OHAI relacionadas con los principios de servicios de confianza de la AICPA en materia de seguridad, disponibilidad y confidencialidad. Los informes SOC se preparan siguiendo las directrices SSAE de la AICPA y son específicos de los servicios de alojamiento y los controles gestionados por OHAI e incluyen actualmente las siguientes ubicaciones de alojamiento: EE.UU., Canadá y Suecia. Las ubicaciones de los informes SOC están sujetas a cambios a medida que OHAI analiza sus necesidades empresariales en constante evolución. Colaboraremos con los clientes para apoyarles en la obtención del informe SOC correspondiente de OHAI, según corresponda, o de un proveedor de colocación.

ISO 27001/27002:2022

El Marco de gestión de la seguridad de la información (ISMF, por sus siglas en inglés) de OHAI cumple los principios de la norma ISO 27001/27002:2022 y las políticas del ISMF son aplicables a la mayoría de las plataformas de OHAI.

Dependemos de los centros de datos de ubicación compartida en Canadá, Suecia, Reino Unido, Francia y Australia, así como de proveedores públicos de servicios en la nube por sus controles de seguridad física y ambiental. Según nuestros auditores independientes, únicamente los centros de datos y oficinas propiedad de Oracle Health pueden identificarse e incluirse en la certificación ISO de Oracle Health. Los procesos que gestionan los centros de datos de ubicación compartida están cubiertos por las oficinas de Oracle Health identificadas en la certificación ISO. Oracle Health garantiza que los procesos que gestionan centros de datos dentro de proveedores de servicios de centros de datos de ubicación compartida se incluyeron en la certificación ISO de Oracle Health. Esto es consistente con los múltiples proveedores de servicios de centros de datos de ubicación compartida utilizados en todo el mundo. Oracle Health únicamente dispone de centros de datos en Estados Unidos, razón por la cual se identifican en la certificación. Para operaciones específicas de proveedores de servicios de centros de datos de ubicación compartida, los clientes tendrían que basarse en la propia certificación ISO del proveedor.

Informe de resumen de las pruebas de penetración

OHAI contrata anualmente un servicio externo para realizar pruebas de penetración en sus plataformas. OHAI recibe un informe resumido de las pruebas de penetración que describe las pruebas realizadas, confirma que se utilizó una metodología estándar del sector, herramientas de prueba y una base de datos nacional de vulnerabilidades para llevar a cabo dichas pruebas, además de identificar las vulnerabilidades conocidas dentro de las plataformas en cuestión. Por su parte, OHAI corrige las vulnerabilidades identificadas en función del riesgo y las aborda mediante un plan de corrección supervisado de forma activa.

PCI-DSS: Estándar de seguridad de datos de la industria de tarjetas de pago

OHAI recibe un certificado de conformidad (AoC) de terceros para demostrar el cumplimiento de la norma PCI DSS como proveedor de servicios de nivel 1 para el procesamiento de pagos con el apoyo de determinadas soluciones de OHAI. Para obtener más información sobre qué soluciones de OHAI están respaldadas por este AoC, póngase en contacto con su representante de OHAI.

Marco del escudo de privacidad de la UE y los EE.UU.

OHAI se ha autocertificado para el Escudo de privacidad de la UE y los EE.UU. y el Escudo de privacidad de Suiza y los EE.UU.

Asistencia a los cuestionarios de seguridad de los clientes

En caso de que un cliente solicite la realización de un cuestionario o evaluación de seguridad, OHAI proporcionará la documentación de terceros aplicable de nuestro Programa de cumplimiento de la seguridad, tal como se ha descrito anteriormente. Se puede proporcionar documentación adicional cuando esté disponible, como cuestionarios de seguridad normalizados (CAIQ, por sus siglas en inglés) previamente cumplimentados o una Descripción general de la gestión de riesgos de proveedores de una aplicación de terceros. Los clientes pueden utilizar estos informes para evaluar la postura de seguridad de OHAI y el cumplimiento de las condiciones contractuales. Asimismo, colaboraremos con los clientes para responder a preguntas razonables y específicas sobre la evaluación de la seguridad que no se aborden en estos informes estándar.

Entre nuestros numerosos controles de seguridad figura el de garantizar que no facilitamos información confidencial y delicada que exponga a OHAI o a nuestros clientes a riesgos adicionales. La seguridad de sus datos es algo que nos tomamos muy en serio y no la pondremos en peligro para satisfacer solicitudes de información confidencial específica una vez que auditores externos hayan validado nuestro programa de seguridad.