Beveiliging bij Caro

Caro hecht veel waarde aan het beveiligen van de gegevens van onze klanten en patiënten. Heeft u vragen of feedback? Neem gerust contact met ons op via security@caro.health.

Infrastructuur

Cloud-infrastructuur

Al onze services draaien in de cloud. We hosten of beheren onze eigen routers, load-balancers, DNS-servers of fysieke servers niet. Ons platform is gebouwd op Amazon Web Services. AWS biedt krachtige beveiligingsmaatregelen en voldoet aan vele certificeringen.

Hosting

Het Caro-platform is gebouwd op AWS Lambda, SNS en API Gateway, die allemaal server-loos zijn, dus we draaien geen traditionele servers die mogelijk kunnen worden gehackt. Onze infrastructuur wordt beheerd met AWS CloudFormation templates en alle wijzigingen in de infrastructuur via ons implementatieproces op GitLab, inclusief geautomatiseerde penetratietests met Puppeteer.

Netwerk beveiliging en monitoring

We gebruiken AWS Cloudfront voor de API Gateway en onze front-end assets om het risico op DDoS-aanvallen te verkleinen.

Data encryptie

Encryptie tijdens verzending: alle gegevens die van of naar onze infrastructuur worden verzonden, worden tijdens de verzending gecodeerd via best practices uit de branche met behulp van Transport Layer Security (TLS). U kunt onze SSLLabs-rapporten voor de app en back-end bekijken.

Encryptie voor interne applicatiecommunicatie: alle interne communicatie verloopt via gecodeerde SNS-onderwerpen en machtigingen voor deze onderwerpen worden beheerd met Cloud Formation templates.

Encryptie at rest: applicatiegegevens worden opgeslagen in MongoDB Atlas- databases, die alle gegevens ‘at-rest’ versleutelen. Verificatiegegevens - telefoonnummers en wachtwoorden - worden opgeslagen in AWS Cognito, die voldoet aan de strengste vereisten voor gegevensbeveiliging.

Bewaren en verwijderen van gegevens

We bewaren gebruiksgegevens gedurende 9 jaar voor historische rapportage doeleinden. Gebruikers kunnen de verwijdering van persoonlijk identificeerbare gegevens aanvragen door contact op te nemen met support@caro.health.

Bedrijfscontinuïteit en noodherstel

We maken een back-up van applicatiegegevens en proberen regelmatig de back-up te herstellen om een ​​snel herstel bij een ramp te garanderen. Al onze back-ups zijn versleuteld.

Caro beheert geen datacenter of individuele servers, dus reken- en opslagstoringen worden transparant door AWS afgehandeld en de ramp op het laagste niveau die de toepassing kan beïnvloeden, is dat de hele AWS eu-west-1-regio onbeschikbaar wordt. Als dit zou gebeuren:

* De applicatie zou in een andere regio worden geïmplementeerd - dit is relatief eenvoudig omdat de infrastructuur allemaal wordt beheerd met CloudFormation templates

* Database back-ups worden geïmporteerd in de nieuw geïmplementeerde omgeving

* DNS-records worden bijgewerkt om te wijzen op de nieuwe omgeving

Hoewel we geen SLA over deze mogelijkheid bieden, schatten we dat het proces binnen 12 uur zou zijn voltooid.

Application security

Monitoring

We voeren wekelijkse geautomatiseerde kwetsbaarheidsscans uit met Probely, drie maandelijkse diepgaande veiligheidsbeoordelingen met Bulwarkers, en doen regelmatig steekproeven met Mozilla Observatory.

We gebruiken AWS CloudWatch en X-Ray om uitzonderingen te controleren, loggen en traceren.

We hebben geautomatiseerde traffic watchers die alle interne applicatiecommunicatie analyseren, fouten en pogingen tot inbreuken op de beveiliging identificeren en ons in realtime op de hoogte brengen.

We verzamelen en bewaren logboeken om een ​​audittraject van applicatieactiviteit te bieden (zie auditregistratie hieronder).

Beveiliging in het software ontwikkelingsproces

Alle afhankelijkheden worden gecontroleerd als onderdeel van ons geautomatiseerde bouwproces, dat zal mislukken als een kwetsbaarheid wordt ontdekt. Elke taak wordt op code gecontroleerd op beveiligingsproblemen voordat deze wordt samengevoegd, volgens best practices en frameworks voor beveiliging (OWASP Top 10, SANS Top 25). We voeren driemaandelijkse diepgaande veiligheidsbeoordelingen uit op het Caro-platform.

Responsible disclosure

U kunt kwetsbaarheden melden door contact op te nemen met security@caro.health. Voeg een proof of concept bij uw inzending. We zullen zo snel mogelijk reageren en geen juridische stappen ondernemen als u zich aan de regels houdt.

Dekking

* .caro.app

* .caro.health

Uitsluitingen:

caro.health

www.caro.health

Intern veiligheidsbeleid

Toegang tot infrastructuur

2-factor authenticatie is vereist voor toegang tot onze AWS- en MongoDB Atlas-accounts. Infrastructuur in AWS en databases in MongoDB Atlas worden benaderd met behulp van speciaal gemaakte profielen met beperkte machtigingen.

Auditregistratie

De Caro-applicatie houdt een volledige, onveranderlijke geschiedenis bij van elke actie die resulteert in een gegevenswijziging, inclusief de gebruiker die de wijziging heeft aangebracht, de resource is gewijzigd, het tijdstip van de wijziging en welke interface is gebruikt om de wijziging aan te brengen. Bovendien wordt elke actie op het platform gedurende een beperkte periode bijgehouden voor analyse- en data science-doeleinden. Historische gegevens worden alleen verwijderd wanneer een gebruiker gebruik maakt van zijn recht om te worden vergeten of een klant zijn contract opzegt.

Toegangscontrole en multi-tenancy

De Caro applicatie heeft strikte toegangscontroles die gebruikmaken van een actiegericht toegangscontrolemechanisme en een robuuste multi-tenancy-implementatie.

Compliance

GDPR

Caro voldoet aan de Algemene Verordening Gegevensbescherming (AVG), inclusief het recht om te worden vergeten en gegevensportabiliteit. Het doel van GDPR is om de privé-informatie van EU-burgers te beschermen en hen meer controle over hun persoonlijke gegevens te geven. Neem gerust contact met ons op via security@caro.health voor meer informatie over hoe we aan de AVG voldoen, of bekijk onze privacyverklaring.

HIPAA

We voldoen aan de Health Insurance Portability and Accountability Act van 1996 (HIPAA). Het doel van HIPAA is om de gezondheidsinformatie van Amerikaanse burgers te beschermen.