Wir legen großen Wert auf den Schutz von Informationen, da wir verstehen, dass die personenbezogenen Daten unserer Kunden und geschützten Gesundheitsinformationen wertvolle Vermögenswerte sind. Unsere Kunden vertrauen uns diese sensiblen Daten an, wenn sie unseren Service nutzen, und verlassen sich darauf, dass wir sie sicher aufbewahren.
Daten-Sicherheitskontrollen
Unsere Sicherheitsprozesse konzentrieren sich darauf, die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer sensiblen medizinischen Daten zu gewährleisten.
Vertraulichkeit bedeutet den Schutz der Daten vor unbefugter Offenlegung – sei es durch böswillige Angriffe externer Bedrohungsakteure oder durch unbeabsichtigte Fehler interner Mitarbeiter.
Integrität bedeutet den Schutz der Daten vor Korruption oder unerlaubter Veränderung – sei es durch menschliches Versagen oder technische Störungen.
Verfügbarkeit bedeutet, dass die Daten jederzeit abrufbar sind, und schützt vor Datenverlust durch externe Einflüsse oder Geräteausfälle.
Unser primärer Fokus beim Schutz von Informationen liegt auf der zuverlässigen Identifikation und Authentifizierung derjenigen, die auf sensible medizinische Daten zugreifen. Ohne eine sichere Authentifizierung werden andere Sicherheitsmaßnahmen für Daten, Anwendungen und Netzwerke unwirksam. Corti hat robuste Zugriffskontrollen implementiert, um die Sicherheit der Systeme und Netzwerke, die unseren Service hosten, zu gewährleisten.
Die Authentifizierung erfolgt über die Identitäts- und Zugriffsverwaltung von Azure, das eine identitätsbasierte Zugriffskontrolle durchführt, den administrativen Zugang einschränkt, Identitätsereignisse und auffälliges Konto-Verhalten meldet sowie eine rollenbasierte Zugriffskontrolle implementiert. Zudem kann die Authentifizierungslösung von Kunden individuell konfiguriert werden, um spezifische Serviceanforderungen zu erfüllen.
Unsere Web-, Anwendungs- und Datenbankserver, die unsere Services unterstützen, befinden sich in sicheren Rechenzentren, die nach international anerkannten Standards zertifiziert sind.
Datenverfügbarkeit
Alle Daten, die durch die Corti-Systeme gespeichert und verarbeitet werden, sind durch interne Zugriffskontrollen und Verschlüsselungstechniken geschützt. Unser System ermöglicht den effizienten Informationsaustausch zwischen autorisierten Benutzern, während gleichzeitig sichergestellt wird, dass unbefugte Benutzer keine Möglichkeit haben, auf die Daten zuzugreifen oder sie zu verändern.
Die Daten sind so segmentiert, dass jeder Serviceinhaber nur auf die Patientendaten zugreifen kann, die seinem spezifischen Service zugeordnet sind. Fortgeschrittene Zugriffsmanagement-Protokolle verhindern eine ungewollte Datenweitergabe zwischen einzelnen Bereichen. Nur Nutzer mit ausdrücklicher Berechtigung dürfen Daten einsehen oder bearbeiten.
Das System stellt sicher, dass jeder Zugriffsversuch überprüft wird, um festzustellen, ob der Nutzer über die erforderlichen Berechtigungen verfügt, bevor eine Aktion erlaubt wird. Die Schutzmechanismen sind so konfiguriert, dass kein Nutzer ohne explizite Zugriffsrechte eine Aktion auf Daten ausführen kann – dies gilt auch für Corti-Mitarbeiter, unsere Systemadministratoren und Mitarbeiter unseres externen Hosting-Anbieters.
Zusätzlich gibt es keine übergreifende Rolle, die Zugriff auf alle Daten innerhalb des Corti-Services oder der zugrundeliegenden Netzwerk- und Hosting-Plattform erlaubt. Dieser strikt kontrollierte Ansatz für das Datenzugriffsmanagement verhindert unabsichtliche Datenlecks, unbefugte Änderungen oder Datenverluste. Zudem dient er der Vorbeugung von Insider-Bedrohungen, die die Vertraulichkeit und Integrität der Daten gefährden könnten.
Datenintegrität
Informationssicherheit bedeutet nicht nur den Schutz von Daten vor unbefugtem Zugriff, sei es zum Zweck des Diebstahls, der Rufschädigung oder der absichtlichen Veränderung. Auch das Verhindern von Datenzugriffen für autorisierte Nutzer kann schwerwiegende Folgen haben – insbesondere, wenn dringend benötigte medizinische Informationen nicht verfügbar sind und keine alternative Quelle existiert.
Corti stellt die Kontinuität der Datenverfügbarkeit durch eine Kombination mehrerer Techniken sicher:
Die Azure-Rechenzentren, auf denen unser Service basiert, bieten hohe Ausfallsicherheit durch mehrere physische und logische Redundanzebenen.
Der Ausfall eines einzelnen Geräts, einer Anwendung, eines Betriebssystems oder sogar eines kompletten Rechenzentrums hat keine spürbaren Auswirkungen auf den Service.
Corti nutzt den Azure Distributed Denial of Service (DDoS) Schutz, um gezielte Angriffe von außen mit minimaler Beeinträchtigung für autorisierte Nutzer zu verhindern.
Datenschutz und Vertraulichkeit
Die entscheidende Kontrolle zum Schutz sensibler medizinischer Daten ist die Implementierung zuverlässiger Zugriffskontrollen. Diese verhindern, dass unbefugte Personen Zugriff erhalten, und stellen sicher, dass autorisierte Personen nur auf die Daten zugreifen, für die sie berechtigt sind.
Diese Mechanismen erfordern eine verlässliche Identifikation und Authentifizierung der Nutzer, die weder umgangen noch manipuliert werden kann. Ohne strenge Zugriffskontrollen wären alle weiteren Sicherheitsmaßnahmen wirkungslos, da ein unbefugter Nutzer sonst direkten Zugriff auf Daten erlangen könnte.
Die spezifischen Sicherheitsrichtlinien für die Benutzer-Authentifizierung innerhalb jeder Corti-Serviceinstanz können vom jeweiligen Kunden individuell konfiguriert werden. Dazu gehören:
Durchsetzung komplexer Passwortrichtlinien
Sperrung von Konten nach wiederholten fehlgeschlagenen Anmeldeversuchen, um Brute-Force-Angriffe zu verhindern
Der Zugriff auf den Corti-Service erfolgt über TLS-Technologie, die die gesamte Kommunikation schützt und den unautorisierten Zugriff auf den Service unterbindet.
Alle Datenübertragungen sind verschlüsselt, um Lauschangriffe oder Man-in-the-Middle-Angriffe zu verhindern.
Nachrichtenverschlüsselung schützt Anmeldeinformationen vor potenziellen Angreifern und sichert alle sensiblen Daten, die der Nutzer während der Sitzung verarbeitet.
Neben sensiblen personenbezogenen Daten werden auch alle anderen klassifizierten Informationen, einschließlich Systemkonfigurationen, Schlüsselcodes und Passwörter, durch fortschrittliche kryptografische Sicherheitsmaßnahmen geschützt.
Diese Maßnahmen umfassen:
Einsatz modernster Verschlüsselungsstandards, um unbefugten Zugriff – sei es versehentlich oder absichtlich – zu verhindern
Verschlüsselung aller gespeicherten Daten, sowohl in Live-Systemen als auch in Backup-Kopien
Dieser mehrschichtige Sicherheitsansatz stellt sicher, dass die Integrität, Vertraulichkeit und Verfügbarkeit sensibler Daten jederzeit gewährleistet ist.