Der Zweck dieses Dokuments besteht darin, die bei CEMSA eingeführten Sicherheitselemente und -protokolle vorzustellen, die den Schutz vertraulicher Daten von Kunden und Benutzern der Plattform und Anwendungen gewährleisten.

Schutz sensibler Daten:
Vor der Speicherung auf unseren Servern implementieren wir die SSE-S3-Methode, um alle in unserem System gespeicherten sensiblen Daten zu verschlüsseln. SSE-S3 verwendet Verschlüsselung zum Schutz ruhender Daten und stellt so sicher, dass die Daten selbst bei Angriffen und Versuchen, unbefugt auf Server zuzugreifen, unzugänglich und geschützt bleiben.

Darüber hinaus verwenden wir für die Datenübertragung sichere Kommunikationsprotokolle (TLS/SSL), um alle Datenübertragungen zwischen Anwendungen, Plattformen und Servern zu verschlüsseln. Diese Praktiken stellen sicher, dass sensible Informationen wie persönliche Daten, Finanzinformationen und Geschäftsgeheimnisse während der Übertragung vor Abfangen und unbefugtem Zugriff geschützt sind.

Der gesamte Zugriff auf Daten wird streng durch von CEMSA festgelegte und verwaltete Zugriffsrichtlinien gemäß dem Lei Geral de Proteção de Dados (LGPD) kontrolliert. Dadurch wird sichergestellt, dass nur autorisierte Personen, beispielsweise die Person selbst oder ihr Arzt, Zugriff auf die Informationen haben.

Tägliche Sicherungen werden gemäß den Sicherheitsregeln des Servers durchgeführt, um die Datenverfügbarkeit und -integrität im Falle von Ausfällen oder Wiederherstellungsanforderungen sicherzustellen, wobei die Verschlüsselung dieser Daten stets gewährleistet bleibt.

Aktivitäten in Cloud-Umgebungen werden von CEMSA kontinuierlich überwacht, wodurch ungewöhnliche Nutzungsmuster, ungewöhnliche Verkehrsspitzen oder verdächtige Aktivitäten identifiziert werden können, die auf eine mögliche Sicherheitsverletzung hinweisen könnten. Diese ständige Überwachung ermöglicht es uns, schnell auf potenzielle Bedrohungen zu reagieren und Risiken zu mindern, bevor sie unsere Systeme oder sensiblen Daten erheblich beeinträchtigen können.

Cloud-Services:
Für die Zugriffskontrolle auf Cloud-Dienste nutzen wir Identity and Access Management (IAM), das für die sichere Verwaltung der Zugriffsrechte auf Ressourcen unerlässlich ist. Mit IAM können wir Benutzern, Gruppen und Rollen spezifische Berechtigungen zuweisen und so sicherstellen, dass nur autorisierte Personen oder Dienste Zugriff haben.

Darüber hinaus haben wir einen Prüfpfad implementiert, der alle in unseren Cloud-Umgebungen durchgeführten Aktivitäten sorgfältig aufzeichnet. Dieser Trail überwacht nicht nur, wer was, wann und wo getan hat, sondern spielt auch eine entscheidende Rolle bei der Erkennung unbefugter Aktivitäten und der Untersuchung von Sicherheitsvorfällen. Audit-Protokolle werden vom Projektmanager bei CEMSA überwacht, um die fortlaufende Sicherheit unserer Dienste zu gewährleisten.

Serverbetrieb:
Alle Vorgänge im Zusammenhang mit der Serververwaltung werden ausschließlich vom Projektmanager bei CEMSA durchgeführt, um die Vertraulichkeit der Daten zu gewährleisten und die Sicherheit der gemeinsam genutzten Informationen zu erhöhen. Der Server verfügt über umfangreiche Compliance-Zertifizierungen, die sicherstellen, dass alle bereitgestellten Dienste den strengsten weltweit anerkannten Sicherheitsstandards entsprechen.

Bedienung über APPs:
Für alle Vorgänge im Zusammenhang mit der Dateneingabe und Nachrichtenanzeige muss der Benutzer angemeldet und im System aktiv sein. Auf dem Gerät, auf dem die Anwendung ausgeführt wird, werden keine sensiblen Daten gespeichert.

Bedienung über die CEMSAWeb-Plattform:
Für alle Vorgänge im Zusammenhang mit der Dateneingabe, der Anzeige von Nachrichten und dem Zugriff auf Berichte muss der Benutzer angemeldet und im System aktiv sein. Wird die Plattform für einen bestimmten Zeitraum vom Nutzer nicht aktiv genutzt, erfordert die Plattform eine erneute Anmeldung. Auf dem Gerät, das auf die CEMSA-Plattform zugreift, werden keine sensiblen Daten gespeichert, und Benutzer haben das Recht, ihre Berichte zu exportieren und sie nach dem Export im gewünschten Format unter ihrer Obhut zu behalten.

Reaktion auf Vorfälle:
Gemäß den Bestimmungen des Lei Geral de Proteção de Dados (LGPD) werden CEMSA-Kunden nach jeder Sicherheitsverletzung auf unseren Servern unverzüglich über den Vorfall informiert und erhalten alle Einzelheiten zum Vorfall. Im Falle eines Datenverlusts oder einer Datenpanne wird sofort ein Backup-Prozess eingeleitet, um sicherzustellen, dass das System innerhalb von drei Stunden wiederhergestellt und vollständig betriebsbereit ist.

Information:
Kontakt: ti@cemsa.com.br