Turvallisuus

Henkilökohtaisten tietojesi turvallisuus on meille Flolla erittäin tärkeää. Ymmärrämme, että sovellusprofiilisi voi sisältää erityisen henkilökohtaisia tietoja sinusta. Tästä johtuen teemmekin kaikkemme hyödyntääksemme alan parhaita toimintatapoja ja -standardeita.
Lainsäädännön noudattaminen
Flo on omistautunut varmistamaan henkilökohtaisten tietojen turvallisuuden ja suojauksen EU:n yleisen tietosuoja-asetuksen (GDPR), Kalifornian kuluttajansuojalain sekä muiden määräysten mukaisesti.
Kolmannen osapuolen suorittamat tarkastukset
Suoritamme säännöllisesti tarkastuksia tunnettujen kolmannen osapuolen toimijoiden avustuksella tarkastaaksemme ja parantaaksemme sisäisiä turvallisuustoimintojamme ja -käytäntöjämme.
Fyysinen- ja ympäristöturvallisuus
Flo noudattaa alan tiukimpia fyysisiä, ympäristöllisiä ja hosting-palveluita koskevia standardeja. Flon datakeskukset tarjoava Amazon Web Services varmistaa uusien arkkitehtuuristen ja teknisten ratkaisujen käyttöönoton.
Tuoteturvallisuus
Palvelimet ja tietoverkot

Käytämme Amazon Web Services -palveluita kaikissa tuotantoympäristöissämme. AWS on suunniteltu tarjoamaan sovelluksellemme turvallinen, tehokas, joustava ja suorituskykyinen infrastruktuuri. AWS-datakeskukset ovat turvallisia suunnittelultaan, sekä SOC 1, SOC 2 ja SOC 3 -sertifioituja. Kaikki tuotantopalvelimemme ovat muuttumattomia, jatkuvasti päivityksessä olevia Docker-pohjaisia järjestelmiä. Käytämme lisäksi muitakin AWS-palveluita, kuten VPC (Virtual Private Cloud), AWS-monitunnusinfrastruktuuri, EKS (Elastic Kubernetes Service). Verkossa tapahtuvan tiedonsiirron turvaamiseksi käytämme HTTPS-protokollaa, joka on suojattu TLS-salauksella (Transport Layer Security).

Käytämme Amazon Web Services -palveluita kaikissa tuotantoympäristöissämme. AWS on suunniteltu tarjoamaan sovelluksellemme turvallinen, tehokas, joustava ja suorituskykyinen infrastruktuuri. AWS-datakeskukset ovat turvallisia suunnittelultaan, sekä SOC 1, SOC 2 ja SOC 3 -sertifioituja. Kaikki tuotantopalvelimemme ovat muuttumattomia, jatkuvasti päivityksessä olevia Docker-pohjaisia järjestelmiä. Käytämme lisäksi muitakin AWS-palveluita, kuten VPC (Virtual Private Cloud), AWS-monitunnusinfrastruktuuri, EKS (Elastic Kubernetes Service). Verkossa tapahtuvan tiedonsiirron turvaamiseksi käytämme HTTPS-protokollaa, joka on suojattu TLS-salauksella (Transport Layer Security).

Salaus

Käytämme AWS KMS (Key Management Service) -avainhallintapalvelua salausavainten luomiseen ja kontrollointiin, sekä salauksen käytön hallintaan useissa AWS-palveluissa sekä sovelluksessamme.

Käytämme AWS KMS (Key Management Service) -avainhallintapalvelua salausavainten luomiseen ja kontrollointiin, sekä salauksen käytön hallintaan useissa AWS-palveluissa sekä sovelluksessamme.

Varastointi

Flo tallentaa kaikki tiedot, kuten esimerkiksi metatiedot, toiminnot, alkuperäistiedostot ja asiakastiedot useisiin eri kohteisiin. KMS salaa kaikki tiedot joka paikkaan.

Loppukäyttäjien yksityistiedot poistetaan lokitiedostoista eikä Flon henkilökunnalla ole pääsyä näihin tietoihin.  

Flo tallentaa kaikki tiedot, kuten esimerkiksi metatiedot, toiminnot, alkuperäistiedostot ja asiakastiedot useisiin eri kohteisiin. KMS salaa kaikki tiedot joka paikkaan.

Loppukäyttäjien yksityistiedot poistetaan lokitiedostoista eikä Flon henkilökunnalla ole pääsyä näihin tietoihin.  

Eristetyt ympäristöt

Tuotantoverkko toimii erillään muista tila-, kehitys- ja infrastruktuuriympäristöistä. Jokainen ympäristö toimii erillisellä AWS-tilillä erillisissä VPC-verkoissa.

 

Tuotantoverkko toimii erillään muista tila-, kehitys- ja infrastruktuuriympäristöistä. Jokainen ympäristö toimii erillisellä AWS-tilillä erillisissä VPC-verkoissa.

 

Asiakkaiden maksutiedot

Kaikki maksut käsitellään joko App Storen, Google Playn tai Stripen kautta, ja jokainen näistä toimijoista vastaa itse maksutietojen turvallisuudesta. Flo ei tallenna luottokorttitietoja.

 

Kaikki maksut käsitellään joko App Storen, Google Playn tai Stripen kautta, ja jokainen näistä toimijoista vastaa itse maksutietojen turvallisuudesta. Flo ei tallenna luottokorttitietoja.

 

Suunnittelultaan turvallinen
Flon kehittäjät hyödyntävät parhaita tuotekehitystekniikoita, jotka noudattavat alan standardeja, kuten dokumentoituja kehitys- ja laadunvalvontaprosesseja. Suunnittelemme sovelluksemme luottamuksellisuuden, eheyden ja saatavuuden tietoturvaperiaatteiden mukaisesti vähentääksemme riskejä, jotka altistavat haavoittuvuudelle.
Palvelutasot ja varmuuskopiot
Flon infrastruktuurissa hyödynnetään monitasoisia tekniikoita luotettavamman käyttöajan saavuttamiseksi, mukaan lukien automaattista skaalautumista, kuormantasausta, tehtävien jonotuttamista ja vaiheittaista käyttöönottoa. Tietokannoista otetaan täydet varmuuskopiot päivittäin. Kaikki varmuuskopiot salataan.
Järjestelmän seuranta ja hälytykset
Flon tuotantosovellusta ja sen alla toimivia infrastruktuurikomponentteja seurataan 24/7/365 päivää vuodessa erillisten seurantajärjestelmien avulla. Näiden järjestelmien tuottamat kriittiset hälytykset lähetetään 24/7/365 paikalla oleville palveluomistajille ja tarvittaessa ohjataan operatiiviselle hallinnolle.
Haavoittuvuuksien (suojausten murtamisen) testaaminen
Flo suorittaa säännöllisesti haavoittuvuuksien testaamista alan johtavien kyberturvallisuustoimijoiden avustuksella verkkokonfiguraatiota, infrastruktuuria ja sovellustasoja koskien. Haavoittuvuuksien testaamisessa käytetään esimerkiksi yleisesti tunnettuja verkkosovellusturvallisuustyökaluja ja skannereita, joilla sovelluksen haavoittuvuuksia voidaan havaita ennen sovelluksen siirtämistä tuotantoon.
Liikenteen hallinta
Cloudflaren turvallisuusohjelmisto auttaa Flo-sovellusta automaattisesti estämään epäilyttävän liikenteen ja varmistaa sovelluksen luotettavuuden. Flo toimii joustavasti älypuhelimilla käyttäjän sijainnista riippumatta älykkään liikenteenohjauksen ansiosta, jolloin sovelluksessa jaettu sisältö toimitetaan käyttäjälle häntä lähimpänä olevalta Cloudflare-palvelimelta.
Tapahtumiin reagointi ja tietomurroista ilmoittaminen
Flo on määritellyt toimintatavat kansallisten määräysten ja ohjeiden mukaisesti sellaista tilannetta varten, jossa Flo Health kokee jonkin siihen ulkopuolisesti vaikuttavan tapauksen, esimerkiksi henkilötietoihin kohdistuvan tietomurron.
Turvallisuus osana Flon yrityskulttuuria
Flo Healthin työntekijöille ja urakoitsijoille tarjotaan vuosittain turvallisuuskoulutusta, jonka ansiosta he pystyvät suorittamaan tietoturvallisuuteen liittyviä tehtäviään ja velvollisuuksiaan, sekä noudattamaan niihin liittyviä ehtoja, käytäntöjä ja sopimuksia vastuullisesti. Flon turvallisuusosasto tarkastaa, päivittää, testaa, ylläpitää ja parantaa jatkuvasti yrityksen turvallisuus- ja yksityisyysohjelmia.