Sicherheit

Sicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten

Doctena ergreift die folgenden technischen und organisatorischen Sicherheitsmaßnahmen, um personenbezogene Daten zu schützen:

Security
  • 1

    Engagiertes, organisatorisches und persönliches Management, verantwortlich für die Entwicklung, Umsetzung und Pflege des Informationssicherheitsprogramms von Doctena.

  • 2

    Prüfungsverfahren und Bewertung: Die Risikobewertung dient der regelmäßigen Überprüfung und Bewertung der Risiken für die Doctena-Organisation, der Überwachung und Aufrechterhaltung der Einhaltung der Doctena-Richtlinien und -Verfahren sowie der Berichterstattung über den Status der Informationssicherheit und der Einhaltung der Richtlinien an die interne Geschäftsleitung.

  • 3

    Informationssicherheitsrichtlinien aufrechterhalten und sicherstellen, dass die Richtlinien und Maßnahmen regelmäßig überprüft und ggf. verbessert werden.

  • 4

    Bei der Kommunikation mit Doctena-Anwendungen werden kryptografische Protokolle wie TLS verwendet, um Informationen auf dem Weg über öffentliche Netzwerke zu schützen. Am Rand des Netzwerks werden Stateful Firewalls, Web Application Firewalls und DDoS-Schutz eingesetzt, um Angriffe herauszufiltern.

  • 5

    Datensicherheitskontrollen, die eine logische Trennung der Daten, einen eingeschränkten Zugriff und eine eingeschränkte Überwachung (z. B. nach Rollen) und ggf. die Verwendung von handelsüblichen Verschlüsselungstechnologien, die den Industriestandards entsprechen, umfassen.

  • 6

    Logische Zugriffskontrollen, die so konzipiert sind, dass sie den elektronischen Zugriff auf Daten und Systemfunktionen entsprechend der jeweiligen Befugnisebene und Funktion regeln (z. B. Gewährung des Zugriffs nach dem Prinzip „Need-to-know“ und „Least Privilege“, Verwendung eindeutiger Kennungen und Passwörter für alle Benutzer, regelmäßige Überprüfungen und schnelle Aufhebung oder Änderung des Zugriffs bei Beendigung des Arbeitsverhältnisses oder Änderung der Funktion).

  • 7

    Passwortkontrollen, die darauf ausgelegt sind, die Stärke und Verwendung von Passwörtern zu verwalten und zu kontrollieren, z. B. indem sie den Nutzern verbieten, ihre Passwörter weiterzugeben.

  • 8

    Systemprüfung oder Ereignisprotokollierung und damit verbundene Überwachungsverfahren zur proaktiven Aufzeichnung des Benutzerzugriffs und der Systemaktivität für eine Routineüberprüfung.

  • 9

    Physische und umgebungsbezogene Sicherheit des Rechenzentrums, der Serverräume und anderer Bereiche, die vertrauliche Informationen des Kunden enthalten, ausgelegt auf : (i) Informationswerte vor unbefugtem physischem Zugriff zu schützen, (ii) die Bewegungen von Personen, die die Einrichtungen des Datenzentrums betreten und verlassen, zu verwalten, zu überwachen und aufzuzeichnen; und (iii) sich gegen Umweltrisiken wie Hitze, Feuer und Wasserschäden zu schützen.

  • 10

    Betriebliche Verfahren und Kontrollen, um die Konfiguration, Überwachung und Wartung von Technologie und Informationssystemen gemäß den vorgeschriebenen internen Standards und den angenommenen Industriestandards sicherzustellen.

  • 11

    Die Verfahren für das Änderungsmanagement und die Überwachungsmechanismen sind darauf ausgelegt, alle Änderungen an der Technologie und den Informationswerten von Doctena zu testen, zu genehmigen und zu überwachen.

  • 12

    Die Verfahren für das Management von Vorfällen und Problemen sollen Doctena in die Lage versetzen, Ereignisse im Zusammenhang mit der Technologie und den Informationswerten von Doctena zu untersuchen, darauf zu reagieren, sie abzuschwächen und sie zu melden.

  • 13

    Netzwerksicherheitskontrollen, die den Einsatz von Unternehmens-Firewalls und geschichteten DMZ-Architekturen vorsehen, sowie Intrusion-Detection-Systeme und andere Verfahren zur Korrelation von Datenverkehr und Ereignissen, die darauf ausgelegt sind, Systeme vor Eindringlingen zu schützen und die Reichweite eines erfolgreichen Angriffs zu begrenzen.

  • 14

    Technologien zur Bewertung von Schwachstellen, zum Patch-Management und zum Schutz vor Bedrohungen sowie zeitgesteuerte Überwachungsverfahren, die darauf ausgelegt sind, identifizierte Sicherheitsbedrohungen, Viren und anderen bösartigen Code zu erkennen, zu bewerten, abzuschwächen und davor zu schützen.

  • 15

    Verfahren zur Ausfallsicherheit/Geschäftskontinuität und ggf. zur Notfallwiederherstellung, die darauf ausgelegt sind, den Dienst und/oder die Wiederherstellung nach vorhersehbaren Notsituationen oder Katastrophen aufrechtzuerhalten.

Unser Engagement für Sicherheit

Bei Doctena nehmen wir Sicherheit und Datenschutz sehr ernst. Die Vertraulichkeit der Daten unserer Kunden und ihrer Patienten ist für uns von größter Bedeutung.

Sicherheit ist für uns nicht nur ein Wort, sondern ein Konzept, das man sich täglich pflegen und umsetzen muss. Deshalb behandeln wir das Thema Sicherheit aus vielen verschiedenen Blickwinkeln.

Engagierte Menschen und Verantwortung

Doctena hat einen Chief Information Security Officer (CISO), der ein leitender Angestellter mit einem Master-Abschluss in Sicherheit ist und Berufserfahrung in der IT-Sicherheit hat. Seine Aufgabe ist es, dafür zu sorgen, dass die Sicherheit ein Bereich bleibt, der täglich von Interesse ist. Dies tut er, indem er Prozesse und Technologien einführt und die verschiedenen Teams und Geschäftseinheiten rund um das Thema Sicherheit koordiniert. Er berichtet direkt an unseren Chief Information Officer (CIO) und auch an unseren Konzernchef (CEO), um sicherzustellen, dass der Fokus auf Sicherheit bereits auf der obersten Führungsebene liegt.

Sicherheit durch Design

Jedes Mal, wenn wir innovativ sind und an neuen Produkten und Funktionen arbeiten, ist das Element „Sicherheit “ einer der ersten Schritte auf der Checkliste. So können wir sicher sein, dass wir unsere Produkte mit Blick auf die Sicherheit entwerfen und die technologischen und architektonischen Entscheidungen treffen, die zu sicheren Implementierungen führen.

Mehrschichtige Sicherheitsinfrastruktur

Wir verwenden mehrere branchenbekannte Standardlösungen, um unsere Plattformen ständig zu überprüfen und vor möglichen Sicherheitsproblemen zu schützen:

– Eine Firewall für Webanwendungen, die unsere erste Verteidigungslinie gegen gängige Bedrohungen wie Distributed Denial of Service (DDOS)-Angriffe und bösartige Webanfragen darstellt. Dazu gehört auch das automatische Blockieren von bekannten Quellen schlechten Rufs (z. B. Dark Web) im Internet.

– Eine Plattform für automatisierte Penetrationstests, die unsere Plattformen regelmäßig scannt und unsere Entwicklungsteams jedes Mal informiert, wenn ein neues potenzielles Sicherheitsrisiko auftaucht (z. B. eine neu entdeckte Schwachstelle), sodass wir sofort Korrekturmaßnahmen ergreifen können.

– Eine Plattform für statische Code-Analyse, die ein noch höheres Maß an Sicherheit bietet, indem sie unseren sich ständig ändernden Code tatsächlich untersucht und jeden möglichen Eintrittspunkt in unsere Anwendung bewertet. Sie erkennt und benachrichtigt unsere Entwicklungsteams, wo sie etwas übersehen haben könnten.

– Mit unseren Tools zur Analyse der Softwarezusammensetzung können wir die externen Abhängigkeiten (Bibliotheken), die von unserem Code verwendet werden, auf Schwachstellen untersuchen.

– Ein intelligentes System zur Verhinderung von Angriffen, das mithilfe von KI normales Verhalten erlernt und uns warnt, sobald eine verdächtige, nicht alltägliche Aktivität auf der Plattform festgestellt wird. Dieses System warnt automatisch vor solchen Sicherheitsrisiken und informiert unser Sicherheitsteam über solche Aktivitäten für Folgemaßnahmen.

Diese Dienste haben ihren Preis, und Doctena stellt einen erheblichen Teil seines IT-Budgets für diese Sicherheitstools zur Verfügung, weil wir wissen, wie wichtig sie für Sie, aber auch für das Überleben unseres Unternehmens sind.

Pseudonymisierung

In unseren Testumgebungen oder auf den Geräten der Entwickler werden keine echten Patientendaten verwendet.

Unsere Abteilung für Business Intelligence hat nur Zugang zu völlig anonymen Daten.

Wir versenden niemals E-Mails, die persönliche Daten von Patienten enthalten. Wenn persönliche Daten per E-Mail gesendet werden müssen, werden sie anonym gesendet.

Automatisierte Sicherheitsaktualisierungen

Als Teil unseres Systems der kontinuierlichen Bereitstellung schließen wir die neuesten Sicherheitsaktualisierungen für alle unsere Systeme auf wöchentlicher Basis ein, für die meisten sogar fast täglich. Das bedeutet, dass unsere Sicherheitsteams zwar nicht über neue Sicherheitspatches Bescheid wissen müssen, diese aber automatisch bei jedem Einsatz einer neuen Version unserer Software mit einbezogen werden.

Verschlüsselung

Alle unsere Datenbanken werden im Ruhezustand mit dem branchenüblichen 256-Bit-AES-Algorithmus verschlüsselt.

Passwörter werden nie im Klartext gespeichert, sondern irreversibel gehasht.

Wo es technisch möglich ist, werden hochsensible Daten wie Arzt- und Patientennotizen zusätzlich auf der Ebene der Datenbankfelder verschlüsselt.

Alle Laptops und Computer unserer Mitarbeiter sind verschlüsselt, und wir wenden strenge Sicherheitsprotokolle an ihnen an.

Die branchenübliche Verschlüsselung für „Daten im Transit “ wird bei allen Kommunikationen angewendet, wodurch sichergestellt wird, dass keine dritte Person die Kommunikation zwischen unserer Plattform und dem Webbrowser des Nutzers bei der Nutzung der Plattform abfangen kann.

Abgelegene Umgebungen

Wir haben vier vollständig isolierte Umgebungen eingerichtet, die jeweils ihre eigenen dedizierten Server mit unterschiedlichen Kennungen pro Umgebung haben, um sicherzustellen, dass eine potenzielle Sicherheitslücke in einer Umgebung keine Auswirkungen auf die andere hat.

Test – Wird von der Entwicklung verwendet, um den neuen Code zu testen.

Staging – Isolierte Umgebung, die der Produktion als letzte Stufe am ähnlichsten ist, bevor der Code in die Produktion gedrückt wird.

Produktion – Hochgradig überwachte Umgebung, in der nur eine begrenzte Anzahl von Personen Zugang hat zu Räumlichkeiten.

Demo – Gleiche Umgebung wie in der Produktion, nur mit Daten von potenziellen Kunden, die das System testen wollen.

Versionskontrolle

Unsere Codebasis wird vollständig mit einem Versionskontrollsystem und verschiedenen Zweigen pro Umgebung verfolgt. Dies ist Teil unseres Änderungsmanagementprozesses, der es uns ermöglicht, klar zu sehen, wer welchen Code zu welchem Zeitpunkt hinzugefügt hat. Jede neue Ergänzung des Codes wird von einem Senior-Teamleiter geprüft und löst automatisierte Tests unserer häufigsten Geschäftslogik aus. Nur Projektleiter können Code in Produktions- und Demonstrationsumgebungen einsetzen.

Wiederaufnahme der Aktivitäten

Ein wichtiges Element unseres Systems der kontinuierlichen Bereitstellung ist die Tatsache, dass unsere gesamte Infrastruktur durch einen Code und nicht durch manuelle Konfiguration festgelegt wird. So können wir schnell identische Umgebungen und Serverkonfigurationen einrichten, die keinen Raum für manuelle Fehler oder falsche Sicherheitskonfigurationen lassen. Dies ermöglicht es uns auch, unsere Produktionsserver automatisch zu skalieren, wenn eine höhere Leistung erforderlich ist, ohne dass wir manuell mit potenziellen Fehlern agieren müssen.

Hohe Verfügbarkeit

Alle unsere Anwendungsdatenbanken werden mit hoher Verfügbarkeit eingerichtet, um sicherzustellen, dass sich alle Daten zu jedem Zeitpunkt in mindestens zwei geografisch isolierten Rechenzentren befinden. Jeden Tag wird von diesen Datenbanken ein automatisierter Snapshot für die Notfallwiederherstellung in Kombination mit einer weiteren täglichen Worst-Case-Kopie für die Notfallwiederherstellung erstellt, die in einer hochsicheren, verschlüsselten Speicherlösung in einem anderen Rechenzentrum gespeichert wird. Die Webserver, die unsere Dienste bereitstellen, sind ebenfalls mit hoher Verfügbarkeit konfiguriert.

Überwachung und Warnung

Alle wichtigen Server und Ressourcen werden mit fortschrittlichen Tools überwacht, die uns alarmieren, meist noch bevor etwas wirklich schiefgeht. Dadurch kann unser Infrastrukturteam schnell die Teams informieren, die zum Handeln benötigt werden.

Sicherheitsprüfungen

Einmal im Jahr werden unsere Plattformen von einer anerkannten IT-Sicherheitsfirma geprüft, die auch große und komplexe Bankensysteme für ihre Sicherheit und Belastbarkeit zertifiziert. Die Ergebnisse dieser Audits werden von unseren IT-Teams analysiert und berücksichtigt, sodass die Auditfirma uns ein Zertifikat ausstellen kann, das unsere hohen Sicherheitsstandards belegt.

ISO27001

Wir freuen uns, Ihnen mitteilen zu können, dass Doctena im Januar 2023 die ISO27001-Zertifizierung erhalten hat, was unser Engagement für die Aufrechterhaltung eines hohen Sicherheitsniveaus für unsere Kunden unterstreicht. Diese internationale Anerkennung belegt, dass wir die strengen Standards der Informationssicherheit einhalten und so die Vertraulichkeit und Integrität der Daten unserer Nutzer gewährleisten.

Wenn Sie mehr über die Details dieser Zertifizierung erfahren möchten, laden wir Sie ein, unsere spezielle Seite zu besuchen, auf der Sie weitere Informationen finden.

Leistungsverlauf

Seit seiner Gründung gab es bei Doctena keine Sicherheitslücken!