Beveiligingsprogramma voor Oracle Health en AI (OHAI)

De getoonde producten zijn bedoeld als voorbeelden van wat in specifieke gevallen is geleverd. Alle medische hulpmiddelen en alle producten voldoen in het ontwerp aan de regelgeving van de regio waarin ze worden gebruikt. De beschikbaarheid of naleving van de regelgeving in andere specifieke regio's kan echter niet worden gegarandeerd. Mogelijk zijn er lokale aanpassingen nodig om aan de regionale vereisten te voldoen.

Het OHAI-beveiligingsprogramma is ontworpen rond de gehoste platforms van OHAI. Dit zijn de hardware en besturingssystemen waarop OHAI namens klanten applicaties en oplossingen implementeert in de door OHAI gehoste omgevingen. Oracle Health Millennium®, HealtheIntent® en CareAware® zijn voorbeelden van platforms. Wij zijn verantwoordelijk voor de cyberbeveiliging en het incidentbeheer van systemen voor hostingactiviteiten, zodat de vertrouwelijkheid, integriteit en beschikbaarheid van gehoste klantdata worden beschermd. Klanten zijn verantwoordelijk voor het beheren van bepaalde aspecten van de beveiliging, zoals het beheer van de toegang voor eindgebruikers, het toevoegen van aangepaste uitbreidingen/integraties en de wettige verwerking van data.

OHAI biedt wereldwijde hostingdiensten en hanteert daarbij overal hetzelfde beveiligingsprogramma en informatiebeveiligingsbeleid, ongeacht waar de klantdata worden gehost. Klantdata worden opgeslagen en gehost in hetzelfde land als waar de klant zich bevindt, tenzij anders is overeengekomen. Er zijn enkele operationele verschillen, afhankelijk van het soort datacenter dat wordt gebruikt, maar ons informatiebeveiligingsprogramma blijft ongewijzigd.

  • OHAI-cloudhosting: met de optie voor cloudhosting van OHAI kunnen onze klanten met cloudoplossingen eenvoudig op de hoogte blijven van de applicatiefunctionaliteit en technologie die worden gebruikt om de applicaties te leveren aan eindgebruikers. Oracle Cloud Infrastructure (OCI), de cloudcomputingomgeving van Oracle, is een schaalbaar en kosteneffectief cloudplatform met een hoge beschikbaarheidsgraad. OCI heeft commerciële en overheidsregio's voor de openbare cloud en is wereldwijd vertegenwoordigd. OHAI maakt voor bepaalde gehoste services ook gebruik van een externe openbare-cloudprovider.
  • OHAI-datacenters: bij de bouw van datacenters voor OHAI is rekening gehouden met eventuele risico's op natuurrampen voor de geografische gebieden waarin de datacenters zich bevinden. De datacenters maken gebruik van een strategische gelaagde benadering met maatregelen voor fysieke en omgevingsbeveiliging om elke poging tot inbraak te ontmoedigen, vertragen en detecteren. Deze maatregelen zijn ontworpen om een robuuste, veilige en betrouwbare omgeving te bieden.
  • Dataserviceproviders op dezelfde locatie: OHAI maakt in sommige regio's gebruik van Tier 3-equivalente colocatie-serviceproviders voor datacenters. Services die door de datacenterproviders worden geleverd, omvatten datacenteractiviteiten (zoals elektriciteitsvoorziening, koeling en brandbestrijding) en fysieke beveiliging, onder meer in de vorm van OHAI-datacenterkooien. De computer- en netwerkapparatuur (zoals servers, firewalls en netwerkbekabeling), is eigendom van en wordt onderhouden door OHAI en wordt niet gedeeld met andere datacentertenants. De serviceproviders hebben geen toegang tot data die worden gehost in OHAI-datacenterkooien en verwerken geen data van OHAI-klanten. Colocatie-serviceproviders beschikken over door de branche erkende certificeringen voor beveiliging, milieu, gezondheid en veiligheid, zoals ISO 27001- en ISO 14001-certificeringen en SOC 2 Type II-rapporten.

Het gebruik van een externe colocatie-serviceprovider voor datacenters verandert niets aan de manier waarop we ons beveiligingsprogramma beheren, en de serviceprovider krijgt ook geen toegang tot onze systemen of netwerken.

Beleid en procedures

OHAI hanteert een gedocumenteerd programma voor informatiebescherming, beveiliging en risicobeheer met duidelijk gedefinieerde rollen, verantwoordelijkheden, beleidsregels en procedures die zijn ontworpen voor bescherming van de informatie die op de platforms van OHAI wordt onderhouden. Het programma van OHAI voorziet ten minste in het volgende:

  • het toewijzen van verantwoordelijkheden en aansprakelijkheden op het gebied van databeveiliging aan specifieke personen;
  • het omschrijven van het toegestane gebruik van het platform van OHAI;
  • het bieden van attributen voor toegangscontrole en wachtwoorden aan OHAI-eindgebruikers, beheerders en besturingssystemen;
  • het afdwingen van verificatievereisten voor OHAI-eindgebruikers;
  • het omschrijven van auditlogging en bewaking van productieomgevingen die door OHAI worden gehost;
  • het uitwerken van het incidentresponsplan van OHAI;
  • het omschrijven van passende risicobeheercontroles, beveiligingscertificeringen en periodieke risicobeoordelingen;
  • het omschrijven van de vereisten voor fysieke en omgevingsbeveiliging voor de netwerken, kantoren en datacenters van OHAI.

OHAI houdt streng toezicht op zijn beveiligingsbeleid en -procedures en verspreidt hiervan geen schriftelijke of elektronische kopieën. OHAI evalueert en wijzigt zijn beveiligingsprogramma regelmatig om dit aan te passen aan veranderende technologie, regelgeving, wetten, risico's, brancheontwikkelingen, beveiligingspraktijken en andere zakelijke behoeften.


Technische beveiliging

Identiteits- en toegangsbeheer

OHAI verleent toegang tot klantsystemen op basis van rol, voltooiing van de vereiste training en het principe van de minimale bevoegdheden die nodig zijn voor de verantwoordelijkheden van de functie. Goedkeuringsprocessen voor toegang worden strikt gehandhaafd om ervoor te zorgen dat de toegang correct is en voldoet aan de nalevingsvereisten.

Teams zijn verplicht om elke maand de toegang te controleren en na te gaan of er sprake is van inactiviteit, waarbij de toegangsautorisatie indien nodig wordt ingetrokken. De identiteit van werknemers wordt bij het gebruik van een VPN-verbinding gevalideerd via een tweeledige verificatiemethode. Voor de toegang tot cloudomgevingen die zijn gescheiden van bedrijfsnetwerken, wordt verificatie via een goedgekeurd VPN vereist.

Wanneer een werknemer van rol verandert, wordt de toegang tot resources en systemen beoordeeld en de toegang indien nodig ingetrokken. De toegang van een werknemer wordt ook ingetrokken wanneer het dienstverband wordt beëindigd, ongeacht of dit vrijwillig of onvrijwillig gebeurt.

Configuratiebeheer en netwerkbeveiliging

OHAI maakt binnen zijn beveiligingsprogramma gebruik van meerdere overlappende beveiligingsapplicaties en tegenmaatregelen om de platforms te beschermen. Hieronder worden enkele voorbeelden gegeven van de beveiligingstechnologieën die door OHAI worden geïmplementeerd om de platforms te beschermen:

  • Antivirussoftware: in de gehoste omgeving worden zo nodig antivirussoftware, antimalwaresoftware en compenserende controles gebruikt. Updates van patroonbestanden worden dagelijks geïmplementeerd. Inkomende data worden in realtime gescand en systeemschijven worden wekelijks gescand. Naast het up-to-date houden van virushandtekeningen worden de antivirussoftware en scanengines bijgewerkt, zodat deze effectief blijven of nog effectiever worden.
  • Netwerkfirewalls: verbindingen met het perimeternetwerk en kritieke infrastructuren worden beschermd door firewalltechnologieën die voldoen aan branchestandaarden.
  • Intrusion Prevention Systems (IPS): inline-apparaten krijgen een strategische positie in de netwerkinfrastructuur om schadelijk of afwijkend gedrag te detecteren. Elke verbinding die de interfaces van de firewall passeert en elke belangrijke verbinding die door het kernnetwerk loopt, wordt geïnspecteerd om de geldigheid ervan te verifiëren.
  • Denial of Service (DoS): OHAI werkt nauw samen met zijn internetproviders om DoS-toegangsaanvallen te detecteren en af te weren.
  • Proxyservers: externe toegang tot applicaties in openbare netwerken wordt gescand op wormen en virussen voordat de verbinding met de doelserver tot stand wordt gebracht. Uitgaande web- en FTP-aanvragen worden gefilterd op basis van een geautoriseerde lijst en worden gescand op wormen en virussen.
  • Systeemversterking: serversjablonen worden bijgewerkt met standaardpraktijken uit de branche in veilige configuraties. Nieuwe images worden indien nodig op alle nieuwe servers en op oudere servers geladen.
  • Patchbeheer: OHAI maakt gebruik van een geautomatiseerd systeem voor inventarisatie en patchbeheer dat inzicht biedt in systeemwijzigingen. OHAI ontvangt up-to-date patchmeldingen via partnerrelaties en test patches met verschillende processen voordat de patches binnen de betrokken platforms worden toegepast.
  • Scheiding van omgevingen: OHAI hanteert een passende logische en fysieke scheiding tussen de ontwikkel-, test- en klantproductieomgevingen.

Systeembeheer

Logbestanden op systeemniveau

OHAI registreert toegang tot en activiteit op netwerkapparaten, componenten van de beveiligingsinfrastructuur en serversystemen in een bibliotheek van logbestanden voor bedrijfsbeveiliging. De logbestanden worden overgebracht naar een SIEM-tool (Security Information and Event Management) voor bewaking, analyse, probleemoplossing, naleving en audits van systeemgebeurtenissen. Met behulp van de SIEM-tool kunnen beveiligingsmedewerkers profielen van veelvoorkomende gebeurtenissen opstellen, zodat ze zich kunnen richten op ongebruikelijke activiteiten, fout-positieven kunnen voorkomen, afwijkingen kunnen identificeren en irrelevante waarschuwingen kunnen vermijden.

Codering en cryptografische opslag

OHAI maakt gebruik van passende coderingsmechanismen om data te beschermen. OHAI voert risicobeoordelingen uit om te evalueren hoe de data worden gebruikt en om de algehele gevoeligheid van de data te bepalen. Data die worden overgedragen via openbare netwerken, worden gecodeerd. OHAI beheert de openbare en privésleutelinfrastructuur van het klantnetwerk. OHAI streeft ernaar om FIPS 140-2-algoritmen te gebruiken, als deze worden ondersteund door de cryptografische module. OHAI biedt ook ondersteuning voor de coderingsprotocollen AES (Advanced Encryption Standard) en TLS (Transport Layer Security).

Beheer van kwetsbaarheden en bedreigingen

Er worden penetratietests uitgevoerd door OHAI-beveiligingsprofessionals die over de juiste branchecertificeringen en referenties beschikken. Daarnaast schakelt OHAI jaarlijks een externe partij in voor het uitvoeren van penetratietests. Als onderdeel van het OHAI-beheerprogramma voor kwetsbaarheden en bedreigingen analyseren en kwantificeren de beveiligingsprofessionals van OHAI het risicopotentieel van geïdentificeerde kwetsbaarheden en bedreigingen voor zowel OHAI als zijn klanten.

OHAI voert continu productiescans uit van de OHAI-platforms. OHAI kent scores toe aan kwetsbaarheden op basis van de verwachte impact op de omgeving en de mate van externe blootstelling. Als de kwetsbaarheid is beoordeeld, wordt er een proces gestart om de kwetsbaarheid te beperken of herstellen.

De geïdentificeerde kwetsbaarheden worden beoordeeld op risico en beperkt of hersteld, afhankelijk van hun ernstniveau. Deze analyse omvat het gebruik van branchestandaarden, zoals het Common Vulnerability Scoring System (CVSS) van het NIST, en interne penetratiescans van omgevingen met tools die voldoen aan de branchestandaarden. OHAI streeft ernaar kwetsbaarheden te verhelpen binnen de hieronder vastgestelde termijnen:

  • Urgent: twee weken als er een goedgekeurde tijdelijke oplossing beschikbaar is, of 48 uur als er geen tijdelijke oplossing beschikbaar is
  • Kritiek: 30 dagen
  • Hoog: 90 dagen
  • Normaal: 180 dagen
  • Laag: 365 dagen

Fysieke en omgevingsbeveiliging

Maatregelen voor fysieke en omgevingsbeveiliging worden geïmplementeerd in een strategische gelaagde benadering om elke poging tot inbraak te ontmoedigen, vertragen en detecteren. Deze maatregelen worden ontworpen in overeenstemming met de unieke behoeften van de organisatie en zorgen ervoor dat kritieke systemen worden geleverd in een robuuste, veilige en betrouwbare omgeving.

OHAI zorgt ervoor dat minimaal de volgende controles voor fysieke en omgevingsbeveiliging worden uitgevoerd in Oracle Health datacenters en door alle colocatie-serviceproviders waar OHAI gebruik van maakt:

  • toegangscontrolesystemen om de toegang uitsluitend te beperken tot OHAI-medewerkers en geautoriseerde derden;
  • omgevingscontroles voor de instelling die voldoen aan branchestandaarden (zoals branddetectie- en blussystemen, koelsystemen, vochtigheidscontroles, stroomverdelingscontroles, noodstroomvoorziening en back-upgeneratorcapaciteit);
  • parametercontroles voor de instelling die voldoen aan branchestandaarden (zoals bewakingsstations, fysieke barrières, videobewaking en een toepasselijk weerbestendig ontwerp).

Incidentbeheer

Immediate Response Center (IRC)

De primaire taak van het IRC is het beantwoorden van tweede- en derdelijns ondersteuningsverzoeken afkomstig van klantenhelpdesks en het oplossen van gerapporteerde problemen. De gerapporteerde problemen worden gedocumenteerd en opgeslagen in een centrale bibliotheek. Het IRC-team maakt gebruik van systeembewakingstools om alarmsignalen en waarschuwingen te volgen, hierop te reageren en passende actie te ondernemen. Het IRC van OHAI wordt 365 dagen per jaar dag en nacht bemand.

Computer Security Incident Response Center (CSIRC)

Het Computer Security Incident Response Center (CSIRC) van OHAI is het controlecentrum voor het beheer van beveiligingsincidenten en is verantwoordelijk voor een continue dreigingsbewaking van de platforms van OHAI, 24 uur per dag, 7 dagen per week en 365 dagen per jaar. Het CSIRC-team verzamelt en coördineert reacties op dreigingsinformatie afkomstig uit andere landen, van federale overheden en uit de technologiebranche, met als doel het beveiligen van OHAI-omgevingen. Daarnaast maakt het team gebruik van standaardtools uit de branche om systematisch logbestanden te analyseren en zo mogelijke ongeautoriseerde activiteiten te identificeren en zich op mogelijke bedreigingen te richten.

Beveiligingsincidenten

OHAI hanteert een proces voor het beheren van beveiligingsincidenten om systeembeveiligingsgebeurtenissen binnen een platform te onderzoeken, beperken en communiceren. De betrokken klanten worden tijdig op de hoogte gebracht van relevante beveiligingsincidenten en krijgen advies over de aanbevolen corrigerende maatregelen die moeten worden genomen.

Beheer van beveiligingsgebeurtenissen

OHAI brengt klanten niet op de hoogte van en communiceert ook niet in het openbaar over zogenaamde 'benoemde' kwetsbaarheidsgebeurtenissen. OHAI kan naar eigen inzicht een specifieke reactie geven op een kwetsbaarheid die volgens OHAI op basis van de verzamelde dreigingsinformatie onmiddellijke aandacht vereist. Anderzijds geeft OHAI klanten geen melding en worden er geen aanvragen van klanten behandeld om een omgeving te controleren op kwetsbaarheden.


Wijzigingsbeheer

OHAI werkt met processen voor wijzigingsbeheer die zijn gebaseerd op best practices van de Information Technology Infrastructure Library (ITIL) en zijn afgestemd op het soort wijziging en het bijbehorende risiconiveau. Volgens het beleid van OHAI moeten relevante, niet-routinematige wijzigingen die worden doorgevoerd in het systeem van een klant, worden gecommuniceerd naar de betrokken klant. De wijzigingen worden gevalideerd, beoordeeld en goedgekeurd in overeenstemming met het risico van de wijziging. OHAI maakt gebruik van Change Advisory Boards (CAB's) om significante wijzigingen met een bekende downtime of een verhoogd risico te beoordelen. De wijzigingen worden geregistreerd en bijgehouden in het gecentraliseerde systeem voor wijzigingsaanvragen van OHAI. Klanten zijn verantwoordelijk voor het beheren en documenteren van alle systeemwijzigingen die zij doorvoeren.


Noodplanning

Het noodprogramma van OHAI is gebaseerd op ISO 22301 en is zodanig ontworpen dat de continue werking van essentiële technologie kan worden gegarandeerd door interne en externe klantfuncties te ondersteunen tijdens elk incident, bijvoorbeeld een situatie met of die kan leiden tot een langdurige verstoring, verlies, noodsituatie of crisis.

Noodherstel en veerkracht

OHAI biedt een redundante en maximaal beschikbare infrastructuur om verstoringen van de productieomgevingen tot een minimum te beperken. Als er een verstorend incident optreedt, volgt OHAI een vastgesteld, getoetst en gedocumenteerd noodprogramma om de service zo snel en effectief mogelijk te herstellen, met behulp van commercieel redelijke maatregelen. Het gedeelte voor incidentbeheer in het noodplanningsprogramma van OHAI wordt elk jaar getest, beoordeeld en bijgewerkt. OHAI biedt verschillende niveaus van noodherstelservices op basis van het betreffende platform.


Levenscyclus van softwareontwikkeling

OHAI stemt zijn beveiligingspraktijken af op die van Oracle. Bij het ontwikkelen van nieuwe producten maakt OHAI gebruik van Oracle Software Security Assurance (OSSA), dat elke fase van de productontwikkelingscyclus omvat. Het is de methodologie van Oracle voor het inbouwen van beveiliging in het ontwerpen, bouwen, testen en onderhouden van producten. De veilige ontwikkelingspraktijken van Oracle zijn erop gericht om veelvoorkomende kwetsbaarheden te voorkomen, waaronder de kwetsbaarheden uit de top 10 van OWASP. Zie https://www.oracle.com/corporate/security-practices/assurance/development/ voor meer informatie.


Personeel

Beveiligingsbewustzijn

Volgens het OHAI-programma voor beveiligingsbewustzijn moeten medewerkers verplicht deelnemen aan educatieve en trainingsactiviteiten die zijn afgestemd op hun specifieke rol. Deze activiteiten zijn ontworpen om de effectiviteit van de beveiligingspositie van OHAI te behouden, en omvatten:

  • campagnes voor bijscholing;
  • jaarlijkse beveiligingstraining;
  • beveiligingstraining afgestemd op de locatie;
  • herkenning van phishing en andere vormen van oplichting;
  • gerichte beveiligingsbulletins.

Richtlijnen voor indiensttredingsvereisten

OHAI is in 2003 gestart met het regelmatig screenen van kandidaten in de vacaturefase door middel van een antecedentenonderzoeksproces. Met ingang van 2012 heeft OHAI een drugstest verplicht gesteld voor kandidaten voordat zij in dienst treden.

Antecedentenonderzoeken

Het antecedentenonderzoeksproces van OHAI voor sollicitanten varieert afhankelijk van de mogelijke rol van de kandidaat en de toepasselijke wetgeving. Voor zover toegestaan binnen de toepasselijke wetgeving omvat een antecedentenonderzoek in de VS en Canada het volgende:

  • het arbeidsverleden van de afgelopen vijf jaar;
  • verificatie van de opleiding (het hoogst behaalde diploma), afhankelijk van de rol;
  • een strafrechtelijke controle tot zeven jaar terug;
  • controle van het Social Security Number (alleen in de VS);
  • controle op gezondheidsgerelateerde sancties (alleen in de VS);
  • controle op wereldwijde sancties en handhaving;
  • een drugstest (alleen voor bepaalde functies);
  • vakdiploma's (alleen voor bepaalde functies).

Onderaannemers

OHAI vereist van onderaannemers dat zij instaan voor de bekwaamheid en geschiktheid van hun medewerkers die diensten verlenen aan klanten van OHAI. Medewerkers van onderaannemers moeten verplicht een antecedentenonderzoek ondergaan dat relevant is voor de uit te voeren diensten. Dit antecedentenonderzoek moet minimaal even gedetailleerd zijn als de onderzoeken die OHAI uitvoert voor zijn eigen medewerkers.

Risicobeheer voor derden

OHAI vereist een zakelijke partnerovereenkomst en geheimhoudingsovereenkomst met zijn colocatie-serviceproviders en de leveranciers die worden gebruikt om het platform aan te bieden, voor zover van toepassing op basis van de toegang van de betreffende entiteit tot data en andere vertrouwelijke informatie. OHAI vereist dat zijn leveranciers een vragenlijst over databeveiliging invullen als onderdeel van het evaluatieproces van OHAI voor de leverancier. Daarnaast voert OHAI jaarlijks beveiligingsrisicobeoordelingen uit voor zijn leveranciers, op basis van het risicoprofiel van de betreffende leverancier.

Resources uit het buitenland

OHAI is een wereldwijd bedrijf met kantoren en medewerkers over de hele wereld. Het huidige operationele en ondersteuningsmodel van OHAI omvat het gebruik van wereldwijde medewerkers. OHAI kan tijdelijke toegang tot een platform verlenen vanuit een ander land dan waar het betreffende platform wordt gehost. Alle medewerkers met toegang tot het platform zijn verplicht om deel te nemen aan educatieve en trainingsactiviteiten die zijn afgestemd op hun specifieke rol, en moeten het beveiligingsbeleid en de beveiligingsprocessen van OHAI volgen. Er worden trainingsdossiers bijgehouden en beheerd voor nalevingsdoeleinden.

Vernietiging van media

Alle opslagmedia die worden gebruikt voor het leveren van de hostingservices van OHAI, worden opgeschoond en afgevoerd in overeenstemming met het beleid van OHAI voor het afvoeren van elektronische media. Het beleid voldoet aan de HIPAA Security Rule, ISO 27001 en NIST 800-88.

OHAI kan hardware leveren aan klanten voor gebruik op hun locatie. Alle informatie die is opgeslagen op door OHAI geleverde hardware maar die zich op een locatie van de klant bevindt, valt onder de verantwoordelijkheid van de klant. In dergelijke gevallen is de klant verantwoordelijk voor beslissingen met betrekking tot het opschonen of vernietigen van opslagmedia voor data aan het einde van de gebruikscyclus van de hardware.


Certificeringen en audits

OHAI voert regelmatig interne beoordelingen uit en ondergaat externe audits om de controles binnen het platform en de activiteiten van OHAI te onderzoeken en om te valideren dat OHAI effectief te werk gaat in overeenstemming met het OHAI-beveiligingsprogramma.

HIPAA - Health Insurance Portability and Accountability Act uit 1996

OHAI heeft de noodzakelijke controles ingesteld en onderhoudt deze om te voldoen aan HIPAA (zoals gewijzigd door HITECH). Er vinden jaarlijks HIPAA-beoordelingen (intern of extern) plaats waarbij alle relevante bedrijfs- en klantomgevingen op onze locaties in de Verenigde Staten worden onderzocht.

SOC 1 en SOC 2 Type II-attestaties

Er worden externe attestaties opgemaakt voor gehoste OHAI-omgevingen door de effectiviteit van risicobeperkingen van OHAI te meten en te testen met betrekking tot de Trust Service Principles van het AICPA die relevant zijn voor de beveiliging, beschikbaarheid en vertrouwelijkheid. Er worden SOC-rapporten opgesteld volgens de SSAE-richtlijnen van het AICPA die specifiek zijn gericht op de hostingservices en -controles die door OHAI worden beheerd. Momenteel omvatten deze rapporten de volgende hostinglocaties: de VS, Canada en Zweden. De locaties voor de SOC-rapportage kunnen worden gewijzigd als OHAI een beoordeling uitvoert van de steeds veranderende bedrijfsbehoeften. We werken samen met klanten om hen te helpen bij het verkrijgen van het juiste SOC-rapport van OHAI, indien van toepassing, of van een colocatie-provider.

ISO 27001/27002:2022

Het Information Security Management Framework (ISMF) van OHAI voldoet aan de principes van de norm ISO 27001/27002:2022, en het ISMF-beleid is van toepassing op de meeste platforms van OHAI.

We zijn afhankelijk van colocatie-datacenters in Canada, Zweden, het Verenigd Koninkrijk, Frankrijk en Australië en providers van openbarecloudservices voor hun fysieke en omgevingsbeveiligingscontroles. Volgens onze onafhankelijke auditor(s) kunnen alleen datacenters en kantoren die eigendom zijn van Oracle Health, worden geïdentificeerd en opgenomen in de ISO-certificering van Oracle Health. Processen voor het beheren van colocatie-datacenters vallen onder Oracle Health kantoren die zijn geïdentificeerd in de ISO-certificering. Oracle Health kan bevestigen dat de processen voor het beheren van datacenters voor colocatie-serviceproviders werden opgenomen in de ISO-certificering van Oracle Health. Dit komt overeen met de meerdere colocatie-serviceproviders voor datacenters die over de hele wereld worden gebruikt. Oracle Health is alleen eigenaar van datacenters in de Verenigde Staten en daarom worden deze geïdentificeerd in de certificering. Voor specifieke activiteiten van colocatie-serviceproviders voor datacenters moeten klanten vertrouwen op de eigen ISO-certificering van de provider.

Overzichtsrapport van penetratietests

OHAI schakelt jaarlijks een derde partij in om externe penetratietests uit te voeren op de platforms van OHAI. OHAI ontvangt een overzichtsrapport van penetratietests waarin de uitgevoerde penetratietests worden beschreven, waarin wordt bevestigd dat er een methodologie en testtools volgens de branchestandaard en een nationale kwetsbaarheidsdatabase werden gebruikt bij het uitvoeren van de penetratietest, en waarin bekende kwetsbaarheden binnen de platforms worden geïdentificeerd. OHAI verhelpt de geïdentificeerde kwetsbaarheden op basis van het risico en pakt deze kwetsbaarheden aan met behulp van een actief bewaakt herstelplan.

PCI-DSS – Payment Card Industry Data Security Standard

OHAI ontvangt een Attestation of Compliance (AoC) van derden om aan te tonen dat wordt voldaan aan de PCI DSS-vereisten voor een Level 1-serviceprovider voor de verwerking van betalingen die wordt ondersteund door bepaalde OHAI-oplossingen. Neem contact op met uw OHAI-vertegenwoordiger voor meer informatie over welke OHAI-oplossingen worden ondersteund door deze AoC.

EU-U.S. Privacy Shield Framework

OHAI heeft zichzelf gecertificeerd voor het EU-U.S. Privacy Shield en het Swiss-U.S. Privacy Shield.

Ondersteunende vragenlijsten voor klantbeveiliging

Als een klant een verzoek indient om een beveiligingsvragenlijst of -beoordeling in te vullen, verstrekt OHAI de toepasselijke documentatie van derden uit ons beveiligingsprogramma zoals hierboven wordt beschreven. Er kan ook aanvullende documentatie worden verstrekt als deze beschikbaar is, zoals vooraf ingevulde gestandaardiseerde beveiligingsvragenlijsten (CAIQ's) of een risicobeheeroverzicht voor een leverancier afkomstig uit een applicatie van derden. Klanten kunnen deze rapporten gebruiken om de beveiligingspositie van OHAI en de naleving van contractuele voorwaarden te beoordelen. We zullen samenwerken met klanten om redelijke, specifieke vragen over beveiligingsbeoordelingen die niet in deze standaarddocumentatie worden behandeld, te beantwoorden.

Een van onze vele beveiligingsmaatregelen omvat de garantie dat we geen vertrouwelijke en gevoelige informatie verstrekken waardoor OHAI of onze klanten worden blootgesteld aan aanvullende risico's. We nemen de beveiliging van uw data uiterst serieus en zullen deze niet in gevaar brengen door te voldoen aan verzoeken om specifieke gevoelige informatie wanneer externe auditors ons beveiligingsprogramma hebben gevalideerd.