Sicherheit und Compliance bei Cozero
Datum des Inkrafttretens: 1. September 2024
Der Schutz persönlicher und vertraulicher Kundeninformationen hat für uns oberste Priorität. Im Interesse unserer Kunden sowie unserer Geschäftsethik und Werte gehen wir bei der Datensicherheit keine Kompromisse ein und machen keine Abstriche. Als Teil dieser Verpflichtung handeln wir mit höchster Transparenz. Die folgende Übersicht bietet einen umfassenden Überblick über die sich ständig weiterentwickelnden Sicherheitspraktiken, die wir einsetzen.
Wir erfüllen die höchsten Sicherheits- und Datenschutzstandards
DSGVO und CCPA – Durch die Einhaltung der DSGVO und des CCPA beweisen wir unser Engagement für den Schutz personenbezogener Daten und die Durchsetzung eines zustimmungsbasierten Modells für die Verarbeitung personenbezogener Daten.
Unsere Verschlüsselungsprotokolle sind national sicherheitswürdig
Angetrieben von einer AWS-Cloud-Umgebung verschlüsseln wir alle Daten sowohl im Ruhezustand als auch während der Übertragung mithilfe der besten Sicherheitsalgorithmen wie RSA4096, SHA256 und AES256. Daten, die an unsere Infrastruktur gesendet oder von ihr empfangen werden, werden während der Übertragung mithilfe von Transport Layer Security (TLS) gemäß den Best Practices der Branche verschlüsselt. Im Ruhezustand unterliegen alle Daten bewährten Verschlüsselungsalgorithmen und werden mithilfe von Geheimverwaltungsdiensten gespeichert. Sie können unseren SSLLabs-Bericht hier einsehen.
Mit End-to-End-Verschlüsselung in jeder Phase – im Ruhezustand, während der Übertragung oder im Cloud-Speicher – sorgen Cozero-Dienste dafür, dass Ihre Daten immer sicher und privat sind. Sogar die Metadatenkommunikation zwischen Ihrem System und Cozero wird zur vollständigen Sicherheit verschlüsselt.
Unser einwilligungsbasiertes Modell gibt den Menschen die Kontrolle über ihre persönlichen und geschützten Gesundheitsinformationen
Gemäß der europäischen Datenschutz-Grundverordnung von 2018 sind personenbezogene Daten, einschließlich geschützter Gesundheitsdaten, Eigentum der Person, die sie repräsentieren, und die Zustimmung zur Verarbeitung und Weitergabe dieser Daten muss „freiwillig, spezifisch und informiert“ erfolgen. Dem können wir nur zustimmen.
Wenn ein Benutzer die Dienste von Cozero nutzt, sendet er einer Einzelperson eine Anfrage mit der Bitte um Erlaubnis, auf ihre Daten zuzugreifen. Dadurch erhält der Durchschnittsbürger die Möglichkeit, seine Zustimmung zu geben und Eigentum an den Daten auszuüben.
Unsere Sicherheitsmaßnahmen werden ständig weiterentwickelt, um mit der sich ändernden Bedrohungslandschaft Schritt zu halten
Unsere Arbeit an den Sicherheits- und Datenschutzbemühungen hat kein Ende; es ist ein kontinuierlicher Zyklus aus Erforschen, Überarbeiten, Implementieren, Testen, Beheben, Skalieren, Blockieren und Erteilen von Berechtigungen. Wir arbeiten ständig daran, die Anforderungen von Regulierungsbehörden, Investoren, Partnern und Benutzern zu erfüllen und zu übertreffen, und wir leben die Sicherheitsprozesse gemeinsam täglich. Sicherheit und Datenschutz sind ein wesentlicher Bestandteil unserer Kultur. Schließlich ist Sicherheit einer der Kerndienste, die wir anbieten.
Die Datenaufbewahrung und -löschung erfolgt standardisiert und liegt im Ermessen unserer Nutzer
Alle von Cozero gespeicherten, autorisierten Benutzerdaten stehen unseren Kunden für einen Zeitraum von 30 Tagen nach Ablauf oder Kündigung des Servicevertrags zum elektronischen Abruf zur Verfügung. Alle Daten werden dann vollständig von den Servern von Cozero entfernt. Jeder Benutzer kann die Entfernung seiner persönlichen Daten anfordern, indem er sich an den Cozero-Support wendet. Lesen Sie mehr über unsere Datenschutzeinstellungen.
Wir errichten starke Verteidigungsanlagen an den Eintrittspunkten
Von Cozero entwickelte Apps und Backend-Infrastrukturen, die Haupteinstiegspunkte für Benutzerdaten, erlauben nur Client-Anfragen mit starken TLS-Protokollen. Die gesamte Kommunikation zwischen der von Cozero verwalteten Infrastruktur und den Datenplattformen wird über verschlüsselte Tunnel übertragen.
Wir treffen alle notwendigen infrastrukturellen Vorkehrungen.
Alle unsere Dienste werden in Cloud-Umgebungen ausgeführt. Wir hosten oder betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server. Die von uns genutzten Cloud-Anbieter werden regelmäßig unabhängigen Prüfungen hinsichtlich Sicherheit, Datenschutz und Compliance nach den folgenden Standards unterzogen: ISO/IEC 27001, ISO/IEC 27017, SOC 1, SOC 2, SOC 3, PCI DSS, HIPAA, CSA Star, FedRAMP und viele andere.
Sicherer Code: Transparente Entwicklung mit Blick auf die Sicherheit
Um Kundendaten vor modernen Bedrohungen zu schützen, müssen die Produkte, die wir über unsere Dienste entwickeln, unter Berücksichtigung der Sicherheit entwickelt werden. Die folgenden Praktiken gewährleisten das höchste Maß an Sicherheit in unserer Software:
- Anwendung des Secure Software Development Life Cycle (S-SDLC), der sich auf die Einbindung der Sicherheit in den Entwicklungszyklus konzentriert
- Entwicklung und kontinuierliche Pflege einer sicherheitsorientierten Unternehmenskultur
- Wir bewerten die Sicherheit unseres Codes anhand branchenweit bekannter Sicherheitsframeworks wie ATT&CK, OWASP Top 10 und SANS Top 25.
- Entwickler nehmen regelmäßig an Sicherheitsschulungen teil, um mehr über gängige Schwachstellen, Bedrohungen und bewährte Methoden für sicheres Codieren zu erfahren.
- Wir überprüfen unseren Code auf Sicherheitslücken
- Wir aktualisieren unsere Backend-Infrastruktur und Software regelmäßig und stellen sicher, dass keine davon bekannte Schwachstellen aufweist.
- Wir verwenden statische Anwendungssicherheitstests (SAST) und dynamische Anwendungssicherheitstests (DAST), um grundlegende Sicherheitslücken in unserer Codebasis zu erkennen.
- Wir führen regelmäßig externe Penetrationstests unserer Produktionsumgebungen durch
Unsere Lösungen zur Überwachung und zum Schutz der Anwendungssicherheit ermöglichen uns die Transparenz in Bezug auf:
- Identifizieren Sie Angriffe und reagieren Sie schnell auf einen Datenverstoß
- Überwachen Sie Ausnahmen und Protokolle und erkennen Sie Anomalien in unseren Anwendungen
- Sammeln und Speichern von Protokollen, um einen Prüfpfad unserer Anwendungsaktivität bereitzustellen
Wir setzen außerdem ein Laufzeitschutzsystem ein, das Web-Angriffe und Angriffe auf die Geschäftslogik in Echtzeit erkennt und blockiert, sowie Sicherheitsheader, um unsere Benutzer vor Angriffen zu schützen.
Wir praktizieren strenge Sicherheitsüberwachung und -schutz auf Netzwerkebene
Wir unterhalten unser eigenes internes Security Operations Center. Unser Netzwerk besteht aus mehreren Sicherheitszonen, die wir mit bewährten Firewalls der nächsten Generation, einschließlich IP-Adressfilterung, überwachen und schützen, um unbefugten Zugriff zu verhindern. Wir setzen eine Lösung zur Erkennung und/oder Verhinderung von Angriffen (IDS/IPS) ein, die potenziell schädliche Pakete überwacht und blockiert, sowie Dienste zur Abwehr von Distributed Denial of Service (DDoS), die auf einer branchenführenden Lösung basieren.
Wir verfügen über ein branchenführendes Sicherheitsteam
Unser Sicherheitsteam besteht aus Sicherheitsexperten, die sich der ständigen Verbesserung der Sicherheit unserer Organisation widmen. Unser Team ist in den Bereichen Erkennung von Sicherheitsbedrohungen und Reaktion auf Vorfälle, Sicherheitstechnik, Penetrationstests, Anwendungssicherheit, Einhaltung des Sicherheitsmanagements und den neuesten bewährten Sicherheitspraktiken geschult und zertifiziert.
Wir ermutigen zu einer verantwortungsvollen Offenlegung.
Wenn Sie Schwachstellen in unserer Anwendung oder Infrastruktur entdecken, bitten wir Sie, unser Team zu benachrichtigen, indem Sie sich an security@cozero.io wenden . Bitte fügen Sie Ihrer E-Mail einen Proof of Concept bei. Wir werden so schnell wie möglich auf Ihre Meldung antworten und keine rechtlichen Schritte einleiten, wenn Sie den Prozess der verantwortungsvollen Offenlegung befolgen:
- Bitte vermeiden Sie automatisierte Tests und führen Sie Sicherheitstests nur mit Ihren eigenen Daten durch
- Bitte fügen Sie Ihrer E-Mail einen Proof of Concept bei
- Geben Sie keine Informationen zu den Schwachstellen preis, bis eine eindeutige Genehmigung vorliegt
Beachten Sie, dass unser Bug-Bounty-Programm derzeit geschlossen ist und wir keine neuen Sicherheitsforscher suchen.
Allgemeine Informationssicherheitsrichtlinie
Schutz der Informations- und IT-Ressourcen von Cozero (einschließlich, aber nicht beschränkt auf alle Computer, Mobilgeräte, Netzwerkgeräte, Software und vertraulichen Daten) vor allen internen, externen, vorsätzlichen oder versehentlichen Bedrohungen und Minderung der mit Diebstahl, Verlust, Missbrauch, Beschädigung oder Zweckentfremdung dieser Systeme verbundenen Risiken;
Stellen Sie sicher, dass Informationen vor unbefugtem Zugriff geschützt sind. Benutzer dürfen nur auf Ressourcen zugreifen, für die sie ausdrücklich autorisiert wurden. Die Vergabe von Berechtigungen muss streng kontrolliert und regelmäßig überprüft werden.
Schützen Sie die VERTRAULICHKEIT von Informationen. Wenn wir über die Vertraulichkeit von Informationen sprechen, geht es darum, die Informationen vor der Weitergabe an unbefugte Parteien zu schützen.
Stellen Sie die INTEGRITÄT der Informationen sicher . Integrität von Informationen bedeutet, Informationen vor Änderungen durch unbefugte Parteien zu schützen.
Sorgen Sie für die VERFÜGBARKEIT von Informationen für Geschäftsprozesse. Mit der Verfügbarkeit von Informationen ist gemeint, dass sichergestellt wird, dass autorisierte Parteien bei Bedarf auf die Informationen zugreifen können.
Halten Sie die nationalen gesetzlichen und behördlichen Anforderungen, Standards und bewährten Praktiken ein und übertreffen Sie diese, wo immer möglich.
Entwickeln , pflegen und testen Sie Geschäftskontinuitätspläne, um sicherzustellen, dass wir trotz aller Hindernisse, die uns begegnen, auf Kurs bleiben. Es heißt: „Ruhe bewahren und weitermachen!“;
Sensibilisierung für Informationssicherheit durch Schulungen zur Informationssicherheit für alle Mitarbeiter. Sicherheitsbewusstsein und gezielte Schulungen müssen konsequent durchgeführt werden, Sicherheitsverantwortlichkeiten müssen in Stellenbeschreibungen berücksichtigt werden und die Einhaltung von Sicherheitsanforderungen muss als Teil unserer Kultur erwartet und akzeptiert werden;
Stellen Sie sicher , dass gegen Mitarbeiter, die Bedenken hinsichtlich der Informationssicherheit durch eine Meldung oder im direkten Kontakt mit dem Leiter des Information Security Managements offen legen, keine Maßnahmen ergriffen werden, es sei denn, eine solche Offenlegung weist zweifelsfrei auf eine illegale Handlung, grobe Fahrlässigkeit oder eine wiederholte absichtliche oder vorsätzliche Missachtung von Vorschriften oder Verfahren hin;
Melden Sie alle tatsächlichen oder vermuteten Verstöße gegen die Informationssicherheit an security@cozero.io