برنامج أمان Oracle Health والذكاء الاصطناعي (OHAI)

تعكس الخدمات المعروضة أمثلة لما تم تقديمه في حالات محددة. ُمِّمَ كل جهاز/منتج طبي ليوافق اللوائح التنظيمية للمنطقة الجغرافية المُستخدَم فيها. ومع ذلك، لا يمكننا ضمان توفرها أو الامتثال لها في أي مناطق أخرى. وقد تكون التعديلات المحلية ضرورية لتلبية المتطلبات على المستوى الإقليمي.

تم تصميم برنامج أمان OHAI هذا حول منصات OHAI المستضافة. الأجهزة وأنظمة التشغيل التي يتم نشر التطبيقات والحلول عليها بواسطة OHAI في بيئات OHAI المستضافة نيابة عن عملائها. تعد Oracle Health Millennium® وHealtheIntent® وCareAware® أمثلة على هذه المنصات. نحن نتحمل ملكية ومسؤولية الأمن السيبراني وإدارة الحوادث لأنظمة عمليات الاستضافة لحماية سرية وسلامة وتوفر بيانات العميل المستضافة. العملاء مسؤولون عن إدارة جوانب معينة من الأمان، بما في ذلك التحكم في وصول المستخدم النهائي، وإضافة التوسعات/الدمج المخصصة، ومعالجة البيانات المشروعة.

تقدم OHAI خدمات الاستضافة في جميع أنحاء العالم، باستخدام نفس برنامج الامتثال الأمني وسياسات أمان المعلومات بغض النظر عن المنشأة التي تتم استضافة بيانات العميل فيها. سيتم تخزين بيانات العميل واستضافتها في نفس البلد الذي يوجد فيه العميل ما لم يتم الاتفاق على خلاف ذلك بشكل متبادل. هناك بعض الاختلافات التشغيلية على حسب نوع مركز البيانات المستخدم، ولكن برنامج أمان المعلومات لدينا لا يتغير.

  • الاستضافة السحابية لـ OHAI – يسمح خيار الاستضافة السحابية لـ OHAI لعملائنا الذين يستخدمون الحلول السحابية بالبقاء على اطّلاع دائم بسهولة بشأن وظائف التطبيق والتكنولوجيا المستخدمة لتقديم التطبيقات للمستخدمين النهائيين. Oracle Cloud Infrastructure (OCI)، بيئة الحوسبة السحابية الخاصة بـ Oracle، هي منصة سحابية قابلة للتوسع، عالية التوفر، وفعالة من حيث التكلفة. تمتلك OCI مناطق سحابية عامة تجارية وحكومية وتقع في جميع أنحاء العالم. تستخدم OHAI أيضًا مقدم خدمة سحابية عامًا من طرف ثالث لبعض الخدمات المستضافة.
  • مرافق مركز بيانات OHAI – يتم إنشاء مرافق مركز بيانات OHAI مع الأخذ في الاعتبار أي مخاطر كوارث طبيعية للمناطق الجغرافية التي تقع فيها. تمتلك مراكز البيانات تدابير أمان مادي وبيئي في نهج إستراتيجي متعدد الطبقات لردع أي محاولة اختراق وتأخيرها واكتشافها. تم تصميم هذه التدابير لتوفير بيئة صلبة وآمنة وموثوقة.
  • مقدمو خدمات البيانات المشتركون في الموقع – تستخدم OHAI مقدمي خدمات استضافة مراكز البيانات من الفئة 3 المكافئة في بعض المناطق. تشمل الخدمات التي يقدمها مقدمو خدمات مراكز البيانات عمليات مركز البيانات (مثل توفير الطاقة، والتبريد، وإخماد الحرائق) والأمان المادي حتى أقفاص مركز بيانات OHAI. معدات الكمبيوتر ومعدات الشبكات (مثل الخوادم، وجدران الحماية، أو كابلات الشبكة) مملوكة وتتم صيانتها بواسطة OHAI ولا تتم مشاركتها مع مستأجري مراكز البيانات الآخرين. لا يمتلك مقدمو الخدمات إمكانية الوصول إلى أي بيانات مستضافة داخل أقفاص مركز بيانات OHAI ولا يعالجون أي بيانات تخص عملاء OHAI. تشمل شهادات مقدمي خدمات الاستضافة شهادات أمان وبيئية وصحة وسلامة معترفًا بها في الصناعة، مثل شهادات ISO 27001 وISO 14001 وتقارير SOC 2 من النوع الثاني.

لا يؤدي استخدام مقدم خدمة استضافة مركز بيانات من طرف ثالث إلى تغيير طريقة إدارة برنامج الأمان لدينا، ولا يوفر لمقدم الخدمة إمكانية الوصول إلى أنظمتنا أو شبكاتنا.

السياسات والإجراءات

تحتفظ OHAI ببرنامج موثق لإدارة خصوصية المعلومات والأمان والمخاطر مع أدوار ومسؤوليات وسياسات وإجراءات محددة بوضوح مصممة لتأمين المعلومات المحفوظة على منصات OHAI. برنامج OHAI، على الأقل:

  • يُعيّن مسؤوليات ومساءلات أمان البيانات لأفراد محددين؛
  • يصف الاستخدام المقبول لمنصة OHAI؛
  • يوفر التحكم في الوصول وخصائص كلمات المرور للمستخدمين النهائيين والمسؤولين وأنظمة التشغيل لـ OHAI؛
  • يفرض متطلبات مصادقة المستخدم النهائي لـ OHAI؛
  • يصف تسجيل التدقيق ومراقبة بيئات إنتاج OHAI المستضافة؛
  • يوضح خطة استجابة OHAI للحوادث؛
  • يصف ضوابط إدارة المخاطر المناسبة، وشهادات الأمان، وتقييمات المخاطر الدورية؛
  • يصف متطلبات الأمان المادي والبيئي لشبكات OHAI ومكاتبها ومراكز بياناتها.

تتحكم OHAI بإحكام ولا توزع نسخًا مكتوبة أو إلكترونية من سياسات وإجراءات الأمان الخاصة بها. تراجع OHAI وتعدل برنامج الأمان الخاص بها بانتظام ليعكس التغيرات في التكنولوجيا، واللوائح، والقوانين، والمخاطر، وممارسات الصناعة والأمان، وغيرها من احتياجات العمل.


الأمان التقني

إدارة الهوية وإمكانية الوصول

تمنح OHAI إمكانية الوصول إلى أنظمة العملاء بناءً على الدور، وإكمال التدريب المطلوب، ومبدأ أقل الامتيازات الضرورية لمسؤوليات الوظيفة. يتم فرض عمليات الموافقة على إمكانية الوصول بصرامة لضمان أن الوصول مناسب ويلبي متطلبات الامتثال.

يتعين على الفرق مراقبة الوصول والتحقق من عدم النشاط كل شهر، وإلغاء صلاحية الوصول حسب الاقتضاء. يتم التحقق من هويات الموظفين من خلال المصادقة الثنائية عند استخدام اتصال VPN. يتطلب الوصول إلى البيئات السحابية المصادقة باستخدام VPN معتمد، والتي يتم فصلها عن شبكات الشركة.

تتم مراجعة إمكانية الوصول إلى الموارد والأنظمة عند تغيير دور موظف، مع إلغاء الوصول عند الاقتضاء. يتم أيضًا إلغاء وصول الموظف عند إنهاء التوظيف (طوعًا أو غير طوعي).

إدارة التكوين وحماية الشبكة

تستخدم OHAI تطبيقات وإجراءات أمان متعددة ومتداخلة ضمن برنامج الأمان الخاص بها لحماية المنصات. فيما يلي بعض الأمثلة على تقنيات الأمان التي تنشرها OHAI لحماية المنصات:

  • برنامج مكافحة الفيروسات – يتم استخدام برنامج مكافحة الفيروسات (AV)، وبرنامج مكافحة البرامج الضارة، وضوابط التعويض، حسب الاقتضاء، في جميع أنحاء البيئة المستضافة. يتم نشر تحديثات ملفات الأنماط يوميًا. يتم فحص البيانات الواردة في الوقت الفعلي ويتم فحص محركات الأقراص الخاصة بالنظام أسبوعيًا. بالإضافة إلى تحديث تعريفات الفيروسات، يتم تحديث برنامج مكافحة الفيروسات ومحركات الفحص للحفاظ على فعاليتها وتحسينها.
  • جدران حماية الشبكة – تتم حماية شبكة المحيط واتصالات البنية التحتية الحيوية بواسطة تقنيات جدار حماية الشبكة القياسية في الصناعة.
  • أنظمة منع الاختراق (IPS) – يتم وضع الأجهزة المضمنة بشكل إستراتيجي داخل البنية التحتية للشبكة لتحديد السلوك الخبيث أو الشاذ. يتم فحص كل اتصال يعبر واجهات جدار الحماية وكل اتصال رئيسي يعبر الشبكة الأساسية لضمان الصلاحية.
  • حجب الخدمة (Denial of Service) – تعمل OHAI بشكل وثيق مع مقدمي خدمة الإنترنت لاكتشاف هجمات حجب الخدمة والدفاع عنها.
  • خوادم الوكيل (Proxy Servers) – يتم فحص وصول التطبيقات الخارجية عبر الشبكات العامة بحثًا عن الديدان والفيروسات قبل إنشاء الاتصال بالخادم الوجهة. تتم تصفية طلبات الويب وFTP الصادرة مقابل قائمة معتمدة كما يتم فحصها بحثًا عن الديدان والفيروسات.
  • تقوية الأنظمة (System Hardening) – يتم تحديث قوالب الخوادم لممارسات الصناعة القياسية في التكوينات الآمنة. يتم تحميل صور جديدة على جميع الخوادم الجديدة وعلى الخوادم القديمة، حسب الضرورة.
  • إدارة التصحيحات (Patch Management) – تحتفظ OHAI بنظام آلي لجرد الأنظمة والتصحيحات يوفر رؤية لتغييرات النظام. تحصل OHAI على إشعارات تصحيح محدثة من خلال علاقاتها مع الشركاء وتختبر التصحيحات باستخدام عمليات مختلفة قبل تطبيق التصحيحات داخل المنصة (المنصات) المعمول بها.
  • فصل البيئات (Separation of Environments) – تحتفظ OHAI بفصل منطقي ومادي مناسب بين بيئات التطوير والاختبار وإنتاج العملاء الخاصة بها.

إدارة الأنظمة

سجلات مستوى النظام

تسجل OHAI الوصول والنشاط على أجهزة الشبكة، ومكونات البنية التحتية الأمنية، وأنظمة الخوادم في مستودع تسجيل الأمان لمؤسسة ما. يتم نقل السجلات إلى أداة إدارة معلومات الأمان والأحداث (SIEM) للمراقبة والتحليل واستكشاف الأخطاء وإصلاحها والامتثال والتدقيق لأحداث النظام. باستخدام SIEM، يقوم موظفو الأمن بتطوير ملفات تعريف للأحداث الشائعة للتركيز على النشاط غير العادي، وتجنب الإيجابيات الكاذبة، وتحديد الحالات الشاذة، ومنع التنبيهات غير المهمة.

التشفير والتخزين المشفر

تستخدم OHAI آليات تشفير مناسبة لحماية البيانات. تُجري OHAI تقييمات للمخاطر لتقييم كيفية استهلاك البيانات وحساسية البيانات الإجمالية. يتم تشفير البيانات في أثناء النقل عبر الشبكات العامة. تدير OHAI البنية التحتية للمفاتيح العامة والخاصة لشبكة العميل. تسعى OHAI جاهدة لاستخدام خوارزميات FIPS 140-2 عندما تدعمها وحدة التشفير. تدعم OHAI أيضًا بروتوكولات تشفير المعيار المتقدم للتشفير (AES) وأمان طبقة النقل (TLS).

إدارة الثغرات الأمنية والتهديدات

يتم إجراء اختبار الاختراق بواسطة متخصصي أمان OHAI الذين لديهم شهادات ومؤهلات صناعية مناسبة. بالإضافة إلى ذلك، تتعاقد OHAI سنويًا مع طرف ثالث لإجراء اختبار اختراق خارجي. كجزء من برنامج OHAI لإدارة الثغرات والتهديدات الأمنية، يقوم متخصصو أمان OHAI بتحليل وتحديد حجم المخاطر المحتملة للثغرات والتهديدات المحددة لكل من OHAI وعملائها.

تجري OHAI مسحًا مستمرًا لإنتاج منصات OHAI. تقوم OHAI بتسجيل نقاط للثغرات الأمنية بناءً على التأثير المتوقع على البيئة والتعرض الخارجي. بمجرد تسجيل نقطة للثغرة، تبدأ عملية للتخفيف من الثغرة أو معالجتها.

يتم تقييم الثغرات المحددة للمخاطر وتخفيفها أو معالجتها وفقًا لمستوى خطورتها. يتضمن هذا التحليل استخدام معايير الصناعة، مثل نظام تسجيل نقاط الثغرات الشائعة لـ NIST (NIST CVSS)، ومن خلال المسح الداخلي للاختراق للبيئات باستخدام أدوات الصناعة القياسية. تسعى OHAI جاهدة لتصحيح الثغرات الأمنية في الأطر الزمنية الموضحة أدناه:

  • عاجل – أسبوعان إذا كانت طريقة عمل بديلة معتمدة متاحة أو 48 ساعة عندما لا تتوفر طريقة عمل بديلة مرتبطة.
  • حرج – 30 يومًا
  • عالٍ – 90 يومًا.
  • متوسط – 180 يومًا
  • منخفض – 365 يومًا

الأمان المادي والبيئي

تُطبّق تدابير الأمان المادي والبيئي في نهج إستراتيجي متعدد الطبقات لردع أي محاولة اختراق وتأخيرها واكتشافها. صُممت هذه التدابير بما يتوافق مع الاحتياجات الفريدة للمنشأة ولضمان توفير بيئة حصينة وآمنة وموثوقة للأنظمة الحيوية.

كحد أدنى، تضمن OHAI الحفاظ على ضوابط الأمان المادي والبيئي التالية في مراكز بيانات Oracle Health وضمن أي مقدم خدمة مشترك في الموقع تستخدمه OHAI:

  • أنظمة التحكم في الوصول لتقييد الدخول على موظفي OHAI والأطراف الثالثة المصرح لهم فقط.
  • منشأة مصممة بضوابط بيئية قياسية في الصناعة (مثل أنظمة كشف وإخماد الحرائق، وأنظمة التبريد، وضوابط الرطوبة، وضوابط توزيع الطاقة، ومزود طاقة غير منقطع، وقدرة المولد الاحتياطي).
  • منشأة مصممة بضوابط محيطية قياسية في الصناعة (مثل محطات الحراسة، والحواجز المادية، وكاميرات المراقبة، والتصميم المقاوم للعوامل الجوية المناسب).

إدارة الحوادث

مركز الاستجابة الفورية (IRC)

الواجب الأساسي لمركز الاستجابة الفورية (IRC) هو الرد على مكالمات الدعم من المستويين الثاني والثالث من مكاتب مساعدة العملاء وحل المشكلات المبلغ عنها. يتم توثيق المشكلات المبلغ عنها وتخزينها في مستودع مركزي. يستخدم فريق IRC أدوات مراقبة النظام لتتبع الإنذارات والتحذيرات والاستجابة لها واتخاذ الإجراء المناسب. يعمل مركز الاستجابة الفورية (IRC) التابع لـ OHAI على مدار الساعة طوال أيام الأسبوع 24x7x365.

مركز الاستجابة لحوادث أمان الكمبيوتر (CSIRC)

مركز الاستجابة لحوادث أمان الكمبيوتر (CSIRC) التابع لـ OHAI هو مركز التحكم لإدارة أحداث الحوادث الأمنية وهو مسؤول عن المراقبة المستمرة للتهديدات على مدار الساعة طوال أيام الأسبوع 24x7x365 لمنصات OHAI. يقوم فريق CSIRC باستيعاب وتنسيق الاستجابات لمعلومات استخبارات التهديدات الدولية والفيدرالية وصناعة التكنولوجيا، في محاولة لحماية بيئات OHAI. بالإضافة إلى ذلك، يستفيد الفريق من أدوات الصناعة القياسية لتحليل السجلات بشكل منهجي لتحديد الأنشطة غير المصرح بها المحتملة والتركيز على التهديدات المحتملة.

الحوادث الأمنية

تحتفظ OHAI بعملية إدارة الحوادث الأمنية للتحقيق في أحداث أمان النظام التي تحدث داخل المنصة وتخفيفها والإبلاغ عنها. يتم إبلاغ العملاء المتأثرين بالحوادث الأمنية ذات الصلة في الوقت المناسب وتقديم المشورة لهم بشأن التدابير التصحيحية الموصى بها.

إدارة الأحداث الأمنية

لا تقوم OHAI بإخطار العملاء أو التحدث علنًا عن أحداث الثغرات "المسماة". وفقًا لتقدير OHAI المطلق، قد تصدر OHAI استجابة خاصة لثغرة أمنية قررت OHAI أنها تتطلب اهتمامًا فوريًا بناءً على معلومات استخبارات التهديدات المجمعة. بخلاف ذلك، لا تقوم OHAI بإخطار العملاء أو تلبية طلبات العملاء لمراجعة بيئة بحثًا عن ثغرات أمنية.


إدارة التغيير

تحتفظ OHAI بعمليات إدارة التغيير، بناءً على أفضل ممارسات مكتبة البنية التحتية لتكنولوجيا المعلومات (ITIL)، والتي تم تصميمها حول نوع التغيير ومستوى المخاطر المرتبطة بهذا التغيير. تتطلب سياسات OHAI من OHAI إبلاغ العملاء المتأثرين بالتغييرات غير الروتينية ذات الصلة التي تجريها على نظام العميل. يتم التحقق من التغييرات ومراجعتها وتلقي الموافقات بما يتناسب مع مخاطر التغيير. تستخدم OHAI مجالس استشارية للتغيير (CABs) لمراجعة التغييرات المهمة التي تتضمن وقت تعطل معروفًا أو مخاطر متزايدة. يتم تسجيل التغييرات والاحتفاظ بها ضمن نظام طلب التغيير المركزي لـ OHAI. العملاء مسؤولون عن التحكم وتوثيق أي تعديلات على النظام يقومون بها.


التخطيط للطوارئ

يعتمد برنامج الطوارئ الخاص بـ OHAI على معيار ISO 22301 وهو مصمم لضمان استمرار تشغيل التكنولوجيا الأساسية من خلال دعم وظائف العملاء الداخلية والخارجية في أثناء أي حادث (على سبيل المثال، موقف قد يؤدي إلى تعطيل طويل الأمد، أو فقدان، أو طوارئ، أو أزمة).

التعافي من الكوارث والمرونة

توفر OHAI بنية تحتية ذات مكونات احتياطية وعالية التوفر لتقليل الانقطاعات في بيئات الإنتاج. إذا وقع حادث مُعطِّل، تتبع OHAI برنامج طوارئ راسخًا ومُتمرّنًا وموثقًا لاستعادة الخدمة بأسرع ما يمكن وبأكبر قدر ممكن من الفعالية، باستخدام تدابير معقولة تجاريًا. يتم اختبار ومراجعة وتحديث جزء إدارة الحوادث من برنامج OHAI للتخطيط للطوارئ سنويًا. تقدم OHAI مستويات مختلفة من خدمات التعافي من الكوارث بناءً على المنصة المعمول بها.


دورة حياة تطوير البرمجيات

تقوم OHAI بمواءمة ممارساتها الأمنية مع Oracle. لتطوير منتجات جديدة، تستفيد OHAI من Oracle Software Security Assurance (OSSA)، والذي يشمل كل مرحلة من مراحل دورة حياة تطوير المنتج وهو منهجية Oracle لبناء الأمان في تصميم منتجاتها، وبنائها، واختبارها، وصيانتها. تهدف ممارسات التطوير الآمنة لـ Oracle إلى منع الثغرات الأمنية الشائعة، بما في ذلك تلك المحددة في OWASP Top 10. لمزيد من المعلومات، يرجى الاطّلاع على https://www.oracle.com/corporate/security-practices/assurance/development/


شؤون الموظفين

الوعي الأمني

يتطلب برنامج OHAI للتوعية الأمنية من المنتسبين المشاركة في أنشطة تعليمية وتدريبية إلزامية تتعلق بدورهم المحدد. صُممت هذه الأنشطة للحفاظ على فعالية الوضع الأمني لـ OHAI وتشتمل على:

  • حملات التعليم المستمر؛
  • تدريب أمني سنوي؛
  • تدريب أمني مُخصص للمناطق؛
  • التعرف على التصيد الاحتيالي وعمليات الاحتيال الأخرى؛
  • النشرات الأمنية المستهدفة.

توجيهات متطلبات التوظيف

في عام 2003، بدأت OHAI عملية الفحص المنتظم لمرشحي التوظيف في مرحلة العرض من خلال عملية فحص الخلفية. اعتبارًا من عام 2012، بدأت OHAI في مطالبة المرشحين بالخضوع لفحص الأدوية قبل بدء التوظيف.

فحوصات الخلفية

تختلف عملية فحص خلفية المتقدمين لدى OHAI بناءً على الدور المحتمل للمرشح والقانون المعمول به. على سبيل المثال، بالقدر الذي يسمح به القانون المعمول به، تتكون فحوصات الخلفية في الولايات المتحدة وكندا مما يلي:

  • تاريخ التوظيف يعود لخمس سنوات؛
  • التحقق من التعليم (أعلى درجة)، حسبما يتطلبه الدور؛
  • بحث جنائي يعود لسبع سنوات؛
  • تتبع رقم الضمان الاجتماعي (الولايات المتحدة فقط)؛
  • فحص عقوبات الرعاية الصحية (الولايات المتحدة فقط)؛
  • فحص العقوبات العالمية والإنفاذ؛
  • اختبار الأدوية (لبعض الوظائف فقط)؛
  • والشهادات المهنية (لبعض الوظائف فقط).

المقاولون من الباطن

تتطلب OHAI من المقاولين من الباطن التأكد من كفاءة وأهلية موظفيهم الذين يقدمون الخدمات لعملاء OHAI. يُطلب من موظفي المقاولين من الباطن إكمال فحوصات الخلفية المطبقة على الخدمات المقدمة؛ يجب أن تكون فحوصات الخلفية هذه محددة على الأقل مثل فحوصات الخلفية التي تتطلبها OHAI لمنتسبي OHAI.

إدارة مخاطر الأطراف الثالثة

تتطلب OHAI اتفاقيات شركاء الأعمال واتفاقيات عدم الإفصاح مع مقدمي خدمات الاستضافة المشتركة والموردين الذين تستخدمهم لتوفير المنصة، حسب الاقتضاء بناءً على وصول الكيان إلى البيانات والمعلومات السرية الأخرى. تتطلب OHAI من مورديها إكمال استبيان أمان البيانات كجزء من عملية تقييم OHAI للمورّد. بالإضافة إلى ذلك، تُجري OHAI تقييمات سنوية لمخاطر أمان الموردين بناءً على ملف مخاطر المورّد.

الموارد الخارجية

OHAI هي شركة عالمية لها مكاتب ومنتسبون في جميع أنحاء العالم. يشمل نموذج OHAI التشغيلي والدعم الحالي استخدام منتسبين عالميين. قد توفر OHAI وصولاً مؤقتًا إلى المنصات من خارج البلد الذي تستضيف فيه المنصة المعمول بها. يُطلب من جميع المنتسبين الذين لديهم إمكانية وصول إلى المنصة المشاركة في أنشطة تعليمية وتدريبية إلزامية تتعلق بدورهم المحدد ويُطلب منهم اتباع سياسات وعمليات أمان OHAI. يتم تتبع سجلات التدريب والاحتفاظ بها لأغراض الامتثال.

تدمير الوسائط

يتم مسح جميع وسائط التخزين المستخدمة لتقديم خدمات استضافة OHAI والتخلص منها وفقًا لسياسة OHAI للتخلص من الوسائط الإلكترونية. تلتزم السياسة بقاعدة أمان HIPAA، وISO 27001، وNIST 800-88.

قد توفر OHAI أجهزة للعملاء لاستخدامها في مواقعهم. تُعد أي معلومات مخزنة على أجهزة توفرها OHAI ولكن تقع في موقع العميل مسؤولية العميل. في مثل هذه الحالات، يكون العملاء مسؤولين عن القرارات المتعلقة بتطهير أو تدمير وسائط تخزين البيانات في نهاية دورة حياة استخدام الجهاز.


الشهادات والتدقيق

تجري OHAI تقييمات داخلية منتظمة وتخضع لعمليات تدقيق خارجية لفحص الضوابط الموجودة داخل المنصة وعمليات OHAI وللتحقق من أن OHAI تعمل بفعالية وفقًا لبرنامج أمان OHAI.

HIPAA – قانون قابلية نقل التأمين الصحي والمساءلة لعام 1996.

أنشأت OHAI وتحافظ على الضوابط اللازمة المطلوبة للامتثال لقانون HIPAA (بصيغته المعدلة بموجب HITECH). تجرى تقييمات HIPAA (داخلية أو خارجية) على أساس سنوي وتفحص جميع بيئات الشركات والعملاء المناسبة في مواقعنا بالولايات المتحدة.

إفادات SOC 1 وSOC 2 من النوع الثاني

يتم إجراء إفادات من طرف ثالث على بيئات OHAI المستضافة عن طريق قياس واختبار فعالية تخفيفات المخاطر لدى OHAI المتعلقة بمبادئ خدمة الثقة AICPA ذات الصلة بالأمان، والتوافر، والسرية. يتم إعداد تقارير SOC بموجب توجيهات SSAE لـ AICPA وهي خاصة بخدمات الاستضافة والضوابط التي تديرها OHAI وتشمل حاليًا مواقع الاستضافة التالية: الولايات المتحدة، وكندا، والسويد. تخضع مواقع تقارير SOC للتغيير حيث تراجع OHAI احتياجات أعمالها المتغيرة باستمرار. سنتعاون مع العملاء لمساعدتهم في الحصول على تقرير SOC المناسب من OHAI، حسب الاقتضاء، أو من مقدم خدمات استضافة مشتركة.

ISO 27001/27002:2022

إطار عمل إدارة أمان المعلومات (ISMF) لـ OHAI متوافق مع مبادئ معيار ISO 27001/27002:2022 وسياسات ISMF قابلة للتطبيق على معظم منصات OHAI.

لدينا اعتماد على مراكز البيانات المشتركة في كندا، والسويد، والمملكة المتحدة، وفرنسا وأستراليا ومقدمي الخدمات السحابية العامة لضوابط الأمان المادي والبيئي الخاصة بهم. وفقًا لمدققي الحسابات المستقلين لدينا، يمكن تحديد مراكز البيانات والمكاتب المملوكة لـ Oracle Health فقط وضمها في شهادة ISO الخاصة بـ Oracle Health. العمليات التي تدير مراكز البيانات المشتركة مغطاة بمكاتب Oracle Health المحددة في شهادة ISO. يمكن لـ Oracle Health التأكيد على أن عملياتها التي تدير مراكز البيانات داخل مقدمي خدمات مراكز البيانات المشتركة تم تضمينها في شهادة ISO الخاصة بـ Oracle Health. هذا يتوافق مع مقدمي خدمات مراكز البيانات المشتركة المتعددين المستخدمين في جميع أنحاء العالم. تمتلك Oracle Health مراكز بيانات في الولايات المتحدة فقط، ولهذا السبب تم تحديدها في الشهادة. بالنسبة لعمليات مقدمي خدمات مراكز البيانات المشتركة المحددين، سيتعين على العملاء الاعتماد على شهادة ISO الخاصة بمقدم الخدمة.

تقرير ملخص اختبار الاختراق

تتعاقد OHAI سنويًا مع طرف ثالث لإجراء اختبارات اختراق خارجية ضد منصات OHAI. تتلقى OHAI تقريرًا ملخصًا لاختبار الاختراق يصف اختبار الاختراق الذي تم إجراؤه، ويؤكد أنه تم استخدام منهجية قياسية صناعية، وأدوات اختبار، وقاعدة بيانات وطنية للثغرات الأمنية في إجراء اختبار الاختراق، ويحدد الثغرات الأمنية المعروفة داخل المنصات. تعالج OHAI الثغرات المحددة بناءً على المخاطر وتعالج هذه الثغرات من خلال خطة معالجة تتم مراقبتها بنشاط.

PCI-DSS – معيار أمان بيانات صناعة بطاقات الدفع

تتلقى OHAI إقرار امتثال (AoC) من طرف ثالث لإثبات امتثالها لمعيار PCI DSS كمقدم خدمة من المستوى الأول لمعالجة المدفوعات المدعومة بواسطة بعض حلول OHAI. لمزيد من المعلومات حول حلول OHAI المدعومة بهذا الإقرار، يرجى الاتصال بممثل OHAI الخاص بك.

إطار عمل درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة

قامت OHAI بالشهادة الذاتية لـ درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة ودرع الخصوصية بين سويسرا والولايات المتحدة.

دعم استبيانات أمان العميل

بناءً على طلب العميل لإكمال استبيان أو تقييم أمني، ستوفر OHAI وثائق الطرف الثالث المطبقة من برنامج الامتثال الأمني الخاص بنا كما هو موضح أعلاه. قد يتم توفير وثائق إضافية عندما تكون متاحة، مثل استبيانات الأمان الموحدة المكتملة مسبقًا (CAIQs) أو نظرة عامة على إدارة مخاطر المورد لتطبيق طرف ثالث. يمكن للعملاء الاستفادة من هذه التقارير لتقييم الوضع الأمني لـ OHAI وامتثالها للشروط التعاقدية. سنتعاون مع العملاء في الإجابة عن أسئلة تقييم الأمان المعقولة والمحددة التي لم يتم تناولها من خلال هذه التسليمات القياسية.

أحد ضوابطنا الأمنية العديدة يشمل ضمان عدم تقديم معلومات سرية وحساسة تعرّض OHAI أو عملاءنا لمخاطر إضافية. نحن نأخذ أمان بياناتك على محمل الجد، ولن نعرّضها للخطر لتلبية طلبات معلومات حساسة محددة عندما يكون مدققو الطرف الثالث قد تحققوا من صحة برنامج الأمان لدينا.