Sicherheit und Datenschutz hat bei Okomo oberste Priorität. Um dies zu garantieren, unternimmt Okomo folgende Schritte und überprüft laufend Optimierungen:
- Verschlüsselung Datentransfer (in traffic): mit HTTPS/TSL, automatisch erneuernde Zertifikate
- Verschlüsselung Datenspeicherung (at rest): Datenbanken und Datenspeicher sind verschlüsselt
- Verschlüsselung Anrufe und Bildschirmübertragung: Ende-zu-Ende Verschlüsselt, durch den WebRTC Standard
- Infrastruktur Updates: Okomo nutzt standardisierte, gemanagte App Services auf Microsoft Azure die in regelmäßigen Abständen geupdated werden.
- Library Updates: In regelmäßigen Abständen prüfen wir die verwendeten Updates auf Updates und führen diese zeitnah durch.
- Backups: Datenbank und App Services werden mehrmals täglich automatisch ausgeführt und verschlüsselt abgespeichert. Sie werden zudem nach 30 Tagen gelöscht.
- Cross-Origin Resource Sharing ist aktiviert
- Content Security Policy zur Verhinderung von Cross-Site-Scripting (XSS), Clickjacking, Code Injection Attacks ist aktiviert
- Service Monitoring: die Uptime von Okomo und verwendeten Diensten (Microsoft Azure, Twilio) wird laufend gemonitored und Probleme sofort auf mehreren Kanälen an die entsprechenden Stellen kommuniziert
- Mitarbeiter werden in der Einführung und in regelmäßigen Abständen zu Sicherheit und Datenschutz geschult. Außerdem sind alle benutzten Geräte passwortgeschützt, die Geräteverschlüsselung ist aktiviert, und es werden sichere Passwörter (wo möglich inkl 2FA) genutzt.
- Mitarbeiter-Zugriffe auf Daten sind auf ein absolutes Minimum reduziert. Zugriff haben nur Personen die Zugriff benötigen, um den Okomo Service zu warten und weiterzuentwickeln. Zugriffe werden geloggt und regelmäßig überprüft.
- Es werden keine Kreditkartendaten gespeichert
- In Zukunft plant Okomo außerdem, ein Security Audit durchzuführen um die Security Zertifizierung HIPAA zu erlangen. Zudem planen wir in Zukunft, auch eine Zweifaktorauthentifizierung (2FA) für den Okomo Service anzubieten.