Безопасность в Alohi

Мы предоставляем надежные меры безопасности и конфиденциальности для защиты ваших данных во всех наших сервисах, включая Sign.Plus, Fax.Plus и Scan.Plus.

Мы внедряем современное шифрование, строгий контроль доступа и обнаружение угроз в реальном времени для защиты ваших данных в наших сервисах. Наши меры безопасности соответствуют международным стандартам, обеспечивая надежную защиту и конфиденциальность. Мы постоянно развиваем нашу защиту, чтобы противостоять новым киберугрозам, сохраняя вашу информацию в безопасности.

безопасность alohi

Технология

Шифрование данных в процессе передачи и в покое

Все хранящиеся файлы в состоянии покоя, включая подписанные и факсированные документы, шифруются с использованием 256-битного стандарта шифрования AES. Каждый пользователь получает уникальные ключи шифрования для обеспечения безопасности своих данных.


Для передачи данных между нашими приложениями (будь то мобильные, API или веб) и нашими серверами мы используем безопасность транспортного уровня (TLS), современную и улучшенную версию предыдущего протокола шифрования, известного как Secure Sockets Layer (SSL). Это создает безопасный туннель, укрепленный шифрованием по стандарту AES 128 бит или выше.



Мы с гордостью поддерживаем TLS 1.3, который не только увеличивает скорость, но и усиливает безопасность по сравнению с TLS 1.2. Он добавляет дополнительный уровень конфиденциальности, обеспечивая, что только две конечные точки могут расшифровывать трафик, тем самым гарантируя высшую степень конфиденциальности.

Тестирование безопасности приложений

Наша команда безопасности проводит регулярные автоматизированные и ручные оценки безопасности для выявления и устранения потенциальных уязвимостей и ошибок в наших веб- и мобильных приложениях. Кроме того, мы проходим ежегодное тестирование безопасности через сторонние аудиты, что позволяет нам оперативно устранять любые выявленные проблемы в наших веб-, API- и мобильных приложениях. Чтобы укрепить нашу приверженность безопасности, мы активно участвуем в платформах безопасности, таких как HackerOne, что дополнительно снижает вероятность инцидентов безопасности.

Архитектура системы

Для повышения стабильности, производительности и безопасности наша архитектура системы построена на многоуровневой структуре, которая включает несколько слоев защиты. Эти защитные слои охватывают шифрование, конфигурацию сети и контроль на уровне приложений, все тщательно распределено по масштабируемой и безопасной инфраструктуре.

Защита от DDoS атак

Мы используем сеть доставки контента (CDN) с пропускной способностью в 15 раз большей, чем самая большая DDoS-атака, когда-либо зафиксированная. Эта надежная инфраструктура является нашей передовой защитой, обеспечивая защиту нашего сервиса от потенциальных DDoS-атак.

Управление ключами

Наша инфраструктура управления ключами, отвечающая за шифрование файлов в состоянии покоя (как подписанных, так и факсированных файлов), тщательно разработана с учетом надежных операционных, технических и процедурных мер безопасности. Доступ к ключам строго ограничен, что обеспечивает максимальную безопасность.

WAF

Помимо сложных межсетевых экранов на уровне сети, мы используем веб-экранные приложения корпоративного класса (WAF), чтобы защитить наш сервис от уязвимостей, таких как атаки SQL-инъекций, межсайтовый скриптинг и межсайтовая подделка.

синий значок двух серверов на белом фоне

Безопасность на уровне оборудования

Все факсированные и подписанные файлы находят свой эксклюзивный дом в швейцарских дата-центрах, тщательно выбранных за их соответствие самым строгим стандартам безопасности, таким как ISO 27001. Эти дата-центры также гордятся тем, что являются членами Альянса облачной безопасности (CSA). Интересно, что один из наших дата-центров надежно расположен глубоко в швейцарских Альпах, в бывшем военном командном центре противоядерной обороны недалеко от Цюриха. Другой находится в Женеве, стратегически расположенный рядом с европейскими финансовыми центрами и мировыми рынками. Чтобы учесть специфические требования к конфиденциальности данных и месту их хранения в зависимости от регионов и стран, наши клиенты имеют возможность перемещать свои полностью зашифрованные файлы между дата-центрами, расположенными в различных глобальных локациях. Узнайте больше о резидентности данных, чтобы понять, как это работает.

Соответствие

Соответствие ISO/IEC 27001

Сертифицированная система управления информационной безопасностью (ISMS) в Alohi разработана для обеспечения безопасности данных наших клиентов. Она охватывает все взаимодействия с заинтересованными сторонами Alohi, включая людей, процессы и инструменты, необходимые для разработки, поддержки и обслуживания наших услуг и продуктов.

Соответствие SOC 2 Тип 2

Наш отчет SOC 2 предоставляет всестороннюю, ориентированную на контроль гарантию, охватывающую Критерии доверия для безопасности (Раздел TSP 100). Он предлагает обширный обзор процедур Alohi и множества мер предосторожности, внедренных для защиты ваших данных. Оценку провела EY CertifyPoint, всемирно известная и авторитетная организация, сертифицировавшая эффективный дизайн и работу наших контролей.

Соответствие HIPAA

Мы уважаем важность поддержания высочайшей конфиденциальности и безопасности данных о здоровье пациентов. Для достижения этой цели мы тщательно проверили все требования к административным, физическим и техническим мерам защиты, обеспечивая полное соответствие всем спецификациям HIPAA. Этот комплексный подход защищает данные наших клиентов, включая защищенную медицинскую информацию (PHI) и электронную защищенную медицинскую информацию (ePHI).

Соответствие PCI-DSS

Мы соблюдаем соответствие последней версии PCI DSS, чтобы гарантировать безопасную обработку информации о платежных картах наших клиентов. Наши строгие стандарты безопасности данных обеспечивают постоянную безопасность ваших данных кредитной карты.

Расширенная безопасность

Расширенные средства управления безопасностью

В дополнение ко всем мерам безопасности, которые мы принимаем для обеспечения наивысшего уровня безопасности и конфиденциальности для всех наших пользователей и их данных, мы предоставляем администраторам наших корпоративных планов определенные инструменты и функции безопасности для большего контроля над защитой их данных. Журнал доступа: Подробные журналы доступа доступны как пользователям, так и администраторам корпоративных команд. Мы фиксируем каждый раз, когда аккаунт входит в систему, указывая тип используемого устройства и IP-адрес подключения.

  • Блокировка пользователей: Мы упрощаем процесс блокировки пользователя в случае, если он больше не является частью вашей организации или в любых экстренных ситуациях или утечках данных.

  • Соглашение о деловом сотрудничестве (BAA): Мы подписываем BAA с пользователями наших корпоративных планов, которым необходимо BAA для соблюдения Закона о переносимости и подотчетности медицинского страхования (HIPAA)

*Расширенные средства безопасности доступны только для тарифов Enterprise Sign.Plus и Fax.Plus.

Швейцарская компания

Все пользовательские данные защищены Федеральным законом Швейцарии о защите данных (DPA) и Федеральным регламентом Швейцарии о защите данных (DPO), которые предлагают одну из самых сильных защит конфиденциальности в мире как для физических, так и для юридических лиц. Поскольку Alohi находится вне юрисдикции США и ЕС, только судебный приказ от Кантонного суда Женевы или Федерального верховного суда Швейцарии может заставить нас раскрыть крайне ограниченную информацию о пользователях, которую мы имеем.

Сообщить о уязвимости безопасности

Нашим приоритетом номер один является конфиденциальность и безопасность данных наших клиентов. Чтобы преуспеть в этом, мы приветствуем жизненно важную роль, которую исследователи безопасности играют в обеспечении безопасности систем и данных. Чтобы поощрять ответственное сообщение о потенциальных уязвимостях безопасности, команда безопасности стремится работать с сообществом над проверкой, воспроизведением и реагированием на законные сообщения. Если вы считаете, что обнаружили потенциальную уязвимость безопасности, немедленно сообщите нам об этом. Мы расследуем все законные сообщения и сделаем все возможное, чтобы быстро решить проблемы.

Вы можете отправить свой отчет через нашу Программу раскрытия уязвимостей HackerOne.