Infrastructuur
Cloud-infrastructuur
Al onze services draaien in de cloud. We hosten of beheren onze eigen routers, load-balancers, DNS-servers of fysieke servers niet. Ons platform is gebouwd op Amazon Web Services. AWS biedt krachtige beveiligingsmaatregelen en voldoet aan vele certificeringen.
Hosting
Het Caro-platform is gebouwd op AWS Lambda, SNS en API Gateway, die allemaal server-loos zijn, dus we draaien geen traditionele servers die mogelijk kunnen worden gehackt. Onze infrastructuur wordt beheerd met AWS CloudFormation templates en alle wijzigingen in de infrastructuur via ons implementatieproces op GitLab, inclusief geautomatiseerde penetratietests met Puppeteer.
Netwerk beveiliging en monitoring
We gebruiken AWS Cloudfront voor de API Gateway en onze front-end assets om het risico op DDoS-aanvallen te verkleinen.
Data encryptie
Encryptie tijdens verzending: alle gegevens die van of naar onze infrastructuur worden verzonden, worden tijdens de verzending gecodeerd via best practices uit de branche met behulp van Transport Layer Security (TLS). U kunt onze SSLLabs-rapporten voor de app en back-end bekijken.
Encryptie voor interne applicatiecommunicatie: alle interne communicatie verloopt via gecodeerde SNS-onderwerpen en machtigingen voor deze onderwerpen worden beheerd met Cloud Formation templates.
Encryptie at rest: applicatiegegevens worden opgeslagen in MongoDB Atlas- databases, die alle gegevens ‘at-rest’ versleutelen. Verificatiegegevens - telefoonnummers en wachtwoorden - worden opgeslagen in AWS Cognito, die voldoet aan de strengste vereisten voor gegevensbeveiliging.
Bedrijfscontinuïteit en noodherstel
We maken een back-up van applicatiegegevens en proberen regelmatig de back-up te herstellen om een snel herstel bij een ramp te garanderen. Al onze back-ups zijn versleuteld.
Caro beheert geen datacenter of individuele servers, dus reken- en opslagstoringen worden transparant door AWS afgehandeld en de ramp op het laagste niveau die de toepassing kan beïnvloeden, is dat de hele AWS eu-west-1-regio onbeschikbaar wordt.
Application security
Monitoring
We voeren wekelijkse geautomatiseerde kwetsbaarheidsscans uit met Probely, drie maandelijkse diepgaande veiligheidsbeoordelingen met Bulwarkers, en doen regelmatig steekproeven met Mozilla Observatory.
We gebruiken AWS CloudWatch en X-Ray om uitzonderingen te controleren, loggen en traceren.
We hebben geautomatiseerde traffic watchers die alle interne applicatiecommunicatie analyseren, fouten en pogingen tot inbreuken op de beveiliging identificeren en ons in realtime op de hoogte brengen.
We verzamelen en bewaren logboeken om een audittraject van applicatieactiviteit te bieden (zie auditregistratie hieronder).
Beveiliging in het software ontwikkelingsproces
Alle afhankelijkheden worden gecontroleerd als onderdeel van ons geautomatiseerde bouwproces, dat zal mislukken als een kwetsbaarheid wordt ontdekt. Elke taak wordt op code gecontroleerd op beveiligingsproblemen voordat deze wordt samengevoegd, volgens best practices en frameworks voor beveiliging (OWASP Top 10, SANS Top 25). We voeren driemaandelijkse diepgaande veiligheidsbeoordelingen uit op het Caro-platform.
Responsible disclosure
U kunt kwetsbaarheden melden door contact op te nemen met security@caro.health. Voeg een proof of concept bij uw inzending. We zullen zo snel mogelijk reageren en geen juridische stappen ondernemen als u zich aan de regels houdt.
Dekking
* .caro.app
* .caro.health
Uitsluitingen:
caro.health
www.caro.health
Intern veiligheidsbeleid
Toegang tot infrastructuur
2-factor authenticatie is vereist voor toegang tot onze AWS- en MongoDB Atlas-accounts. Infrastructuur in AWS en databases in MongoDB Atlas worden benaderd met behulp van speciaal gemaakte profielen met beperkte machtigingen.
Auditregistratie
Het Caro-platform slaat een onveranderlijk, cryptografisch verifieerbaar logboek op van alle activiteiten op gevoelige informatie-activa in AWS QLDB. De toegang tot deze logs wordt strikt gecontroleerd en ze worden regelmatig herzien.
Toegangscontrole en multi-tenancy
De Caro applicatie heeft strikte toegangscontroles die gebruikmaken van een actiegericht toegangscontrolemechanisme en een robuuste multi-tenancy-implementatie.
Compliance
GDPR
Caro voldoet aan de Algemene Verordening Gegevensbescherming (AVG), inclusief het recht om te worden vergeten en gegevensportabiliteit. Het doel van GDPR is om de privé-informatie van EU-burgers te beschermen en hen meer controle over hun persoonlijke gegevens te geven. Neem gerust contact met ons op via security@caro.health voor meer informatie over hoe we aan de AVG voldoen, of bekijk onze privacyverklaring.
ISO27001 / NEN7510
Caro is in november 2020 door Kiwa gecertificeerd voor zowel ISO27001 als NEN7510, en beschikt over alle relevante controles.
HIPAA
We voldoen aan de Health Insurance Portability and Accountability Act van 1996 (HIPAA). Het doel van HIPAA is om de gezondheidsinformatie van Amerikaanse burgers te beschermen.
