Bezpieczeństwo

Bezpieczeństwo Twoich danych osobowych jest dla Flo najważniejsze. Rozumiemy, że Twój profil w aplikacji może zawierać wrażliwe dane osobowe. Właśnie dlatego każdego dnia staramy się wdrażać najlepsze praktyki i standardy branżowe.
Zgodność z przepisami prawa
Flo podejmuje starania, aby zapewnić bezpieczeństwo i poufność danych osobowych zgodnie z ogólnym rozporządzeniem UE o ochronie danych, ustawą o ochronie danych konsumentów stanu Kalifornia oraz z innymi przepisami prawa.
Audyty stron trzecich
Systematycznie przeprowadzamy kontrole sprawdzające i wzmacniające nasze wewnętrzne procesy i polityki bezpieczeństwa, korzystając z usług znanych zewnętrznych agencji audytowych.
Bezpieczeństwo fizyczne i środowiskowe
Flo stosuje najwyższe standardy branżowe w zakresie kontroli bezpieczeństwa fizycznego, środowiskowego i hostingu. Centra danych Flo obsługiwane przez Amazon Web Services korzystają z najnowszych rozwiązań architektonicznych i inżynierskich.
Bezpieczeństwo produktu
Serwery i sieci

Środowiska produkcyjne hostowane są na Amazon Web Services. AWS to usługa, która wspomaga nas w tworzeniu bezpiecznej, wydajnej, odpornej i wytrzymałej infrastruktury dla naszej aplikacji. Centra danych AWS zostały zaprojektowane w sposób zapewniający bezpieczeństwo i posiadają certyfikaty SOC 1, SOC 2 i SOC 3. Wszystkie nasze serwery produkcyjne są niezmiennymi i stale aktualizowanymi systemami obsługiwanymi przez platformę Docker. Korzystamy także z dodatkowych usług AWS, takich jak VPC (Virtual Private Cloud), infrastruktury z wieloma kontami AWS, EKS (Elastic Kubernetes Service). W celu zapewnienia bezpieczeństwa komunikacji w sieci korzystamy z protokołu HTTPS z szyfrowaniem TLS (Transport Layer Security).

Środowiska produkcyjne hostowane są na Amazon Web Services. AWS to usługa, która wspomaga nas w tworzeniu bezpiecznej, wydajnej, odpornej i wytrzymałej infrastruktury dla naszej aplikacji. Centra danych AWS zostały zaprojektowane w sposób zapewniający bezpieczeństwo i posiadają certyfikaty SOC 1, SOC 2 i SOC 3. Wszystkie nasze serwery produkcyjne są niezmiennymi i stale aktualizowanymi systemami obsługiwanymi przez platformę Docker. Korzystamy także z dodatkowych usług AWS, takich jak VPC (Virtual Private Cloud), infrastruktury z wieloma kontami AWS, EKS (Elastic Kubernetes Service). W celu zapewnienia bezpieczeństwa komunikacji w sieci korzystamy z protokołu HTTPS z szyfrowaniem TLS (Transport Layer Security).

Szyfrowanie

Do tworzenia kluczy dostępu i zarządzania kluczami oraz kontrolowania wykorzystania szyfrowania w całym spektrum usług AWS i w naszej aplikacji stosujemy AWS KMS (Key Management Service).

Do tworzenia kluczy dostępu i zarządzania kluczami oraz kontrolowania wykorzystania szyfrowania w całym spektrum usług AWS i w naszej aplikacji stosujemy AWS KMS (Key Management Service).

Przechowywanie

Flo przechowuje wszystkie dane, takie jak metadane, aktywność, pliki oryginalne oraz dane klientów w różnych miejscach. Wszystkie dane przechowywane w każdym miejscu są szyfrowane przez KMS.

Dane wrażliwe użytkowników końcowych usuwane są z rejestrów, a informatycy Flo nie mają dostępu do tych danych.  

Flo przechowuje wszystkie dane, takie jak metadane, aktywność, pliki oryginalne oraz dane klientów w różnych miejscach. Wszystkie dane przechowywane w każdym miejscu są szyfrowane przez KMS.

Dane wrażliwe użytkowników końcowych usuwane są z rejestrów, a informatycy Flo nie mają dostępu do tych danych.  

Odrębne środowiska

Sieć produkcyjna stanowi środowisko odrębne od innych środowisk startowych, programistycznych i infrastrukturalnych. Każde środowisko umiejscowione jest na oddzielnym koncie AWS w oddzielnych sieciach VPC.

Sieć produkcyjna stanowi środowisko odrębne od innych środowisk startowych, programistycznych i infrastrukturalnych. Każde środowisko umiejscowione jest na oddzielnym koncie AWS w oddzielnych sieciach VPC.

Dane dot. płatności klientów

Płatności przetwarzane są przez aplikacje App Store, Google Play lub Stripe, które ponoszą całkowitą odpowiedzialność za bezpieczeństwo płatności. Flo nie przechowuje żadnych danych dotyczących kart płatniczych.

Płatności przetwarzane są przez aplikacje App Store, Google Play lub Stripe, które ponoszą całkowitą odpowiedzialność za bezpieczeństwo płatności. Flo nie przechowuje żadnych danych dotyczących kart płatniczych.

Zaprojektowane dla bezpieczeństwa
Informatycy Flo wykorzystują najlepsze techniki programistyczne zgodne ze standardami branżowymi, takie jak dokumentowanie prac programistycznych i procesy zapewnienia jakości. Zgodnie z zasadami bezpieczeństwa dotyczącymi poufności, spójności i dostępności projektujemy naszą aplikację w sposób ograniczający ryzyko podatności na powstawanie błędów.
Poziomy obsługi i kopie bezpieczeństwa
Infrastruktura Flo wykorzystuje wielopoziomowe technologie zwiększające niezawodny czas pracy, w tym autoskalowanie, równoważenie obciążenia, kolejkowanie zadań i wdrażanie ciągłe. Automatycznie wykonujemy codzienne pełne kopie bezpieczeństwa naszych baz danych. Wszystkie kopie bezpieczeństwa są szyfrowane.
Monitoring systemu i ostrzeżeń
Specjalne systemy monitorowania kontrolują działanie aplikacji produkcyjnej Flo i jej podstawowych elementów infrastruktury przez całą dobę, 7 dni w tygodniu, 365 dni w roku. Generowane przez system ostrzeżenia o błędach krytycznych są wysyłane do osób odpowiedzialnych za usługę, będących w ciągłej gotowości, i są odpowiednio eskalowane do kierowników operacyjnych.
Testy podatności (penetracji)
Flo przeprowadza regularne testy penetracyjne wykonywane przez wiodących w branży specjalistów od cyberbezpieczeństwa w zakresie konfiguracji sieci, infrastruktury i poziomów aplikacji. Testy podatności obejmują wykorzystanie powszechnie znanych narzędzi w zakresie bezpieczeństwa aplikacji internetowych oraz skanerów w celu wykrycia podatności aplikacji na zagrożenia przed zleceniem jej produkcji.
Zarządzanie ruchem
Pakiet narzędzi bezpieczeństwa Cloudflare pozwala Flo na automatyczne blokowanie złośliwego ruchu i zapewnienie stabilności aplikacji. Bez względu na lokalizację użytkownika Flo bezproblemowo działa na smartfonach, bez względu na lokalizację użytkownika, dzięki inteligentnemu kierowaniu ruchem, a zawartość aplikacji jest dostarczana użytkownikom z najbliżej zlokalizowanego serwera Cloudflare.
Reakcja na Incydenty i powiadomienia o naruszeniu bezpieczeństwa danych
Zgodnie z międzynarodowymi przepisami i wytycznymi we Flo określono proces opisujący działania podejmowane w momencie pojawienia się informacji o jakimkolwiek zdarzeniu zdefiniowanym jako Incydent, w tym o naruszeniu bezpieczeństwa danych.
Bezpieczeństwo jako część kultury korporacyjnej Flo
Pracownicy i współpracownicy Flo Health przechodzą szkolenie w zakresie bezpieczeństwa i wykonywania swoich obowiązków związanych z zachowaniem bezpieczeństwa danych, zgodnie z odpowiednimi regulaminami, procedurami i umowami, nie rzadziej niż raz w roku. Zespół ds. bezpieczeństwa Flo stale monitoruje, aktualizuje, testuje i udoskonala korporacyjne zasady bezpieczeństwa i programy ochrony danych.