Sicherheit

Sicherheit

Die Sicherheit Ihrer personenbezogenen Daten hat bei Flo oberste Priorität. Wir verstehen, dass Ihr App-Profil hochsensible personenbezogene Daten enthalten kann. Daher geben wir jeden Tag unser Bestes, um die optimalen Verfahren und Standards der Branche umzusetzen.

Einhaltung gesetzlicher Vorschriften

Flo verpflichtet sich, die Sicherheit und den Schutz personenbezogener Daten gemäß der Anforderungen der europäischen Datenschutz-Grundverordnung, des California Consumer Privacy Act und anderer Verordnungen sicherzustellen.

Audits durch Dritte

Wir führen mit Hilfe bekannter dritter Agenturen regelmäßig Audits durch, um unsere internen Sicherheitsprozesse und -richtlinien zu überprüfen und zu verbessern.

Physische und umgebungsbezogene Sicherheit

Flo folgt den höchsten Branchenstandards für physische, umgebungsbezogene und Hosting-Kontrollen. Die Flo-Rechenzentren, die von Amazon Web Services verwaltet werden, profitieren von den brandneuen architektonischen und technischen Ansätzen.

Produktsicherheit

Server und Netzwerke

Wir verwenden Amazon Web Services zum Hosten aller Produktumgebungen. AWS hilft uns, eine sichere, leistungsstarke, stabile und effiziente Infrastruktur für unsere Applikation zu erzeugen. Die AWS-Rechenzentren sind sicher konzipiert („Secure by Design“) und SOC-1-, SOC-2- und SOC-3-zertifiziert. All unsere Produktserver sind unveränderbare, laufend gepatchte Docker-basierte Systeme. Wir verwenden außerdem zusätzliche AWS-Dienste, wie VPC (Virtual Private Cloud), AWS Multi-Account Infrastructure, EKS (Eastic Kubernetes Service). Um die Kommunikation über das Netzwerk zu sichern, verwenden wir ein HTTPS-Protokoll, das mit Hilfe von TLS (Transport Layer Security) verschlüsselt wurde.

Verschlüsselung

Wir verwenden AWS KMS (Key Management Service), um Schlüssel zu erstellen und zu verwalten und die Verwendung von Verschlüsselungen bei einem Großteil der AWS-Dienste und unserer Applikation zu kontrollieren.

Speicherung

Flo speichert alle Daten, wie Metadaten, Aktivität, Originaldateien und Kundendaten, an verschiedenen Orten. An jedem dieser Orte werden die Daten von KMS verschlüsselt.

Sensible Daten der Endnutzer werden aus Protokollen entfernt und die Flo-Techniker haben keinen Zugang zu diesen Daten.

Flo speichert alle Daten, wie Metadaten, Aktivität, Originaldateien und Kundendaten, an verschiedenen Orten. An jedem dieser Orte werden die Daten von KMS verschlüsselt.

Sensible Daten der Endnutzer werden aus Protokollen entfernt und die Flo-Techniker haben keinen Zugang zu diesen Daten.

Isolierte Umgebungen

Das Produktionsnetzwerk ist von anderen Staging-, Entwicklungs- und Infrastrukturumgebungen isoliert. Jede Umgebung befindet sich auf dem separaten AWS-Konto in separaten VPC-Netzwerken.

Zahlungsdaten der Kunden

Alle Zahlungen werden entweder durch App Store, Google Play oder Stripe abgewickelt, welche die volle Verantwortung für die Zahlungssicherheit übernehmen. Flo speichert keinerlei Kreditkarteninformationen.

Sicher konzipiert - „Secure by Design“

Die Techniker von Flo wenden die besten Produktentwicklungstechniken an, welche den Branchenstandards entsprechen, wie etwa dokumentierte Entwicklungs- und Qualitätssicherungsprozesse. Geleitet von den Sicherheitsprinzipien Vertraulichkeit, Integrität und Verfügbarkeit entwickeln wir unsere App auf eine Weise, welche das Risiko für Fehler reduziert, durch die es zu Schwachstellen kommen könnte.

Service-Level und Backups

Die Flo-Infrastruktur verwendet mehrschichtige Techniken für eine deutlich zuverlässigere Uptime, darunter die Verwendung von automatischer Skalierung, Lastverteilung, Tast-Warteschlangen und Rolling Deployment. Wir führen täglich automatisierte Backups unserer Datenbanken durch. Alle Backups werden verschlüsselt.

Systemüberwachung und Alarmierung

Bei Flo werden die Produktionsanwendung und die zugrundeliegenden Infrastrukturkomponenten rund um die Uhr, 365 Tage im Jahr durch speziell zugewiesene Überwachungssysteme überwacht. Kritische Alarme, die von diesen Systemen erstellt werden, werden an Serviceunternehmen, die an 365 Tagen im Jahr rund um die Uhr auf Abruf bereitstehen, gesendet und entsprechend an das Operations Management delegiert.

Schwachstellen-(Penetrations)-Tests

Flo lässt regelmäßig von branchenführenden Cybersicherheit-Red-Team-Unternehmen für Netzwerkkonfiguration, Infrastruktur und Anwendungsebenen Penetrationstests durchführen. Diese Schwachstellen-Tests beinhalten die Nutzung von bekannten Webapplikationssicherheit-Toolkits und Scannern, um Schwachstellen der Applikation zu erkennen, bevor diese zur Produktion freigegeben wird.

Traffic-Management

Cloudflare Security Suite ermöglicht es der Flo-App, automatisch bösartigen Traffic zu blockieren und die Zuverlässigkeit der App zu garantieren. Egal wo unsere Nutzer ansässig sind — Flo funktioniert dank smartem Traffic-Routing auf ihren Smartphones problemlos und die Inhalte der App werden dem Nutzer jetzt durch den nächsten Cloudflare-Server geliefert.

Vorfallsreaktion und Benachrichtigung über Datenschutzverletzung

Flo hat einen Prozess eingeführt, der die Maßnahmen beschreibt, die Flo ergreifen muss, wenn uns ein Ereignis bekannt wird, das laut internationaler Richtlinien und Verordnungen als Vorfall kategorisiert wird, darunter eine Verletzung des Schutzes personenbezogener Daten.

Sicherheit als Teil von Flos Unternehmenskultur

Die Angestellten und Vertragsnehmer von Flo Health erhalten mindestens einmal im Jahr eine Schulung zum Thema Sicherheitsbewusstsein. Sie sind dafür ausgebildet, ihre Aufgaben und Verantwortlichkeiten im Bereich Informationssicherheit im Einklang mit entsprechenden Richtlinien, Prozessen und Vereinbarungen durchzuführen. Das Sicherheitsteam von Flo überprüft, aktualisiert, testet, wartet und verbessert fortwährend die Sicherheits- und Datenschutzprogramme des Unternehmens.