Bezpečnosť

Vaše údaje sú v bezpečí!

Cieľom Crossuite je pomôcť svojim klientom pracovať šikovnejšie, a to môžeme urobiť, iba ak je náš softvér bezpečným a spoľahlivým miestom pre vaše dáta. Preto je bezpečnosť a ochrana pre nás absolútne najvyššou prioritou. Táto stránka obsahuje najdôležitejšie opatrenia na zaručenie bezpečnosti a dostupnosti vašich údajov.

1. Dostupnosť

 

Je Crossuite vždy k dispozícii?

Crossuite má ročný prevádzkový čas alebo dostupnosť 99,7 % a tento prevádzkový čas nepretržite monitorujeme, ako pre náš program, tak aj pre našu webstránku. V prípade výpadku alebo mimoriadnej situácie náš tím dostáva notifikácie v reálnom čase, aby sme mohli rýchlo reagovať.

 

Čo ak niektoré funkcie nefungujú alebo nefungujú správne?

Ak dôjde k technickej poruche, budeme vás priebežne informovať pomocou našej stránky stavu servera a prostredníctvom oznámení v Crossuite aplikácii. Robíme všetko pre to, aby sme vás informovali o stave problému a aby sme ho čo najskôr vyriešili.

 

    2. Bezpečnostné opatrenia

     

    Bezpečnostné opatrenia

    Naše zásady bezpečnosti informácií a ochrany osobných údajov sú v súlade s GDPR a so všetkými pokynmi vydanými úradmi a sú v súlade s normami ISO 27001 a NEN 7510 pre bezpečnosť informácií. Táto politika je interne komunikovaná a implementovaná konkrétnymi spôsobmi prostredníctvom zdokumentovaných postupov.

     

    Certifikácia

    Je zavedený systém riadenia bezpečnosti informácií (ISMS), ktorý bol vytvorený a zavedený v súlade s normami ISO 27001 a NEN 7510 pre bezpečnosť informácií. Systém bol certifikovaný nezávislým audítorom Dekra.

     

    Zamestnanci

    Zamestnanci sú informovaní o svojich zodpovednostiach v súvislosti s ochranou súkromia a informácií a ich plnenie týchto povinností monitorujeme. Zamestnanci, ktorí majú prístup k údajom o klientovi/pacientovi, sú viazaní mlčanlivosťou.

     

    Správa zmlúv pre (sub-)spracovávateľov

    S každým povoleným (sub-)spracovávateľom sa uzatvára dohoda o spracovaní údajov, ktorá zmluvne zaväzuje (sub-)spracovávateľa dodržiavať rovnaké povinnosti týkajúce sa spracovania, aké sú obsiahnuté v zmluve o spracovaní údajov.

     

    Bezpečnostné incidenty a reakcia

    Je zavedený zdokumentovaný plán reakcie na bezpečnostné incidenty, ktorý je schopný odhaliť, napraviť a nahlásiť porušenie ochrany údajov v súlade s povinnosťami obsiahnutými v dohode o spracovaní údajov.

     

    Šifrovanie prenášaných údajov

    Celý online dátový prenos na Crossuite prebieha cez pripojenie šifrované SSL (Secure Socket Layer alebo zabezpečený prenos informácií a ochrana osobných údajov) a akceptujeme iba prenos cez port 443.
    Pri prvej návšteve našej webstránky Crossuite odošle do vášho prehliadača Strict Transport Security Header (HSTS), čo znamená, že vaše pripojenie bude odteraz zabezpečené prostredníctvom HTTPS, najbezpečnejšieho internetového protokolu – aj keď na našu webstránku kliknete pomocou nezašifrovaného odkazu, ktorý konkrétne začína na „https://“.

     

    Správa opráv / Zabezpečenie sietí a systémov

    Pravidelne vyhodnocujeme, či v aplikáciách, systémoch a sieťach, ktoré používame, existujú zraniteľné miesta. Sú nainštalované opravy a aktualizácie zistených chýb.

    Na ukladanie údajov Crossuite používa Amazon Web Services (AWS). Tieto servery pravidelne podliehajú hodnoteniu, aby vyhovovali najnovším štandardom. Pretože používame AWS ako dátové centrum, naša infraštruktúra je akreditovaná pre:

    • ISO 27001
    • SOC 1 and SOC 2/SSAE 16/ISAE 3402 (teraz SAS 70 Typ II)
    • PCI Level 1
    • C5 prevádzková bezpečnosť
    • ENS High
    • IT-Grundschutz

    Ďalšie informácie o bezpečnosti AWS sú k dispozícii tu.

     

    Pravidlá a ukladanie hesiel

    Ak si chcete vytvoriť Crossuite účet, musíte si zvoliť heslo, ktoré obsahuje minimálne 6 znakov. Neukladáme používateľské heslá v textovom formáte a používame iba nerozlúštiteľné haše hesiel, ktoré boli zašifrované pomocou Bcrypt-u (vrátane per-user-random-salt). To znamená, že chránime používateľov pred útokmi využívajúcimi dúhové tabuľky a pokusmi o dekódovanie šifrovacej syntaxe.

    Ak používateľ zadá nesprávne heslo viackrát (viac ako päťkrát), účet je uzamknutý, aby sa zabránilo útokom hrubou silou (metóda prelomenia hesiel pomocou mnohých pokusov). Používateľ sa potom môže znova prihlásiť iba po vyžiadaní nového hesla.

    Na ďalšie zabezpečenie vášho účtu používame tiež dvojfaktorové overenie (dodatočná vrstva ochrany, ktorá je k dispozícii iba používateľovi) prostredníctvom e-mailu, aplikácie Google Authenticator alebo SMS.

    Náš tím používa pre účty Crossuite silné a jedinečné heslá a na každé zariadenie a službu používa dvojfaktorové overenie. Tiež odporúčame všetkým našich zamestnancov, aby na vytváranie silných hesiel a ich ukladanie na bezpečnom mieste používali správcov hesiel, ako napríklad LastPass.

    Šifrujeme aj lokálne pevné disky a automaticky sa spúšťajú šetriče obrazovky.

     

    Spravovanie prístupov

    K správcovským funkciám našej aplikácie má prístup iba vybraná skupina.
    V prípade akýchkoľvek zmien statusu zamestnancov, dodávateľov, klientov, obchodných partnerov alebo tretích strán je používateľský prístup včas odvolaný alebo zmenený.

     

    Fyzická kontrola prístupu

    Suitable measures are in place (such as locks and alarm systems) to secure the rooms where Personal Data is Processed against unauthorised access.

     

    Zaznamenávanie prihlásenia

    Zaznamenávanie sa používa na zistenie toho, ktorí používatelia sú prihlásení a kedy, aby bolo možné skontrolovať, aké spracovanie osobných údajov daný používateľ vykonáva.

     

    Vývoj aplikácie – zásady bezpečnosti

    Aby sme vyhoveli všetkým bezpečnostným normám, využívame pri každej zmene alebo doplnení našej aplikácie prísne kontroly kódu.

    Zverejnenie zraniteľností
    Už od spustenia Crossuite sme aktívne vyzývali používateľov, aby rýchlo hlásili akékoľvek problémy v našej aplikácii a pomáhali nám zaručiť bezpečnosť a spoľahlivosť našej platformy. Všetky oznámenia vybavujeme a reagujeme na ne čo najrýchlejšie.