Köln, 26.02.2019 – Damit ihre digitalen Dienste den Benutzern ein maximales Sicherheitslevel versprechen können, hat die azh myYOLO Deutschland GmbH ihre Anwendung „azh myYOLO SIGN“ von der TÜV TRUST IT überprüfen und nach „Trusted Device“ zertifizieren zu lassen.
Die azh myYOLO Deutschland GmbH ist ein Tochterunternehmen der NOVENTI HealthCare GmbH, dem nationalen Marktführer im Gesundheitswesen für den Bereich Apotheken und Sonstige Leistungserbringer. Die Marke azh steht seit über 30 Jahren für die sichere Abrechnung mit gesetzlichen Kostenträgern und Privatliquidation und für innovative Softwarelösungen. Mit diversen Zusatzdienstleistungen und umfangreichen IT-Services bietet das Unternehmen Therapeuten und sonstigen Leistungserbringern im Gesundheitsmarkt innovative und individuell anpassbare Lösungen für die effiziente Praxis- und Therapieunterstützung an. azh myYOLO fokussiert mit webbasierten Komplettlösungen für den Gesundheitssport auf die Generierung von Nutzenvorteilen wie die wirtschaftliche Absicherung, Zeitgewinn für mehr qualitative Therapieleistung und die Steigerung des Therapieerfolgs.
Informationssicherheit steht als strategisches Unternehmensziel bei azh myYOLO an vorderster Stelle. Vor diesem Hintergrund wurde die Anwendung „azh myYOLO SIGN“ in der Version 3.3 sicherheitstechnisch überprüft und zertifiziert.
Mit Hilfe von „azh myYOLO SIGN“ werden Verträge, Mitgliedschaften und Rechnungen für Gesundheitssportanbieter nicht nur digital erstellt und versendet. Die Komplettlösung erfüllt auch die Anforderungen der digitalen Abrechnung im Rehabilitationssport. Hierbei kann die notwendige Signatur sowohl mit einem angeschlossenen Unterschriftenpad wie auch mit einem Touchscreen-Gerät eingeholt werden
Für die Zertifizierung nach „Trusted Device“ wurde ein abgestuftes Verfahren der Zertifizierung „Trusted Application“ angewendet. Im Rahmen einer Auditierung nach „Trusted Application“ werden Prüfungen in den Kategorien Sicherheitsmanagement, Betrieb, technische Sicherheit und Datenschutz durchgeführt. Dem Anforderungskatalog liegen neben verschiedenen Normen und Gesetzen (z.B. ISO 27001, BDSG, ISO 27033) auch eigene Kriterien der TÜV TRUST IT sowie gängige Best Practices der Informationssicherheit zugrunde. Die Auditierung nach „Trusted Device“ beschränkt sich auf die Überprüfung der technischen Sicherheit, im Fall der Anwendung „azh myYOLO SIGN“ auf eine Untersuchung der Endgeräte, des Übertragungswegs und der Sicherheit des Backends. Diese Vorgehensweise erlaubt bei Bedarf einen späteren Ausbau des Geltungsbereichs zur Zertifizierung „Trusted Application“.
Die Zertifizierungsprüfung nach „Trusted Device“ unterteilt sich in mehrere Schritte. Dazu gehört eine Analyse der Infrastruktur und Dienste sowie der Applikation als nicht autorisierter sowie als autorisierter Benutzer. Zusätzlich erfolgt eine Analyse der internen Infrastruktur. Mit diesen Teilszenarien wird die klassische Bedrohung aus dem Internet simuliert. Ziel der Analyse war die gesamte erreichbare Infrastruktur des zu untersuchenden Anwendungskomplexes auf der Netzwerk- und Dienstebene. Neben der externen Sicht auf die Infrastruktur wurden auch die angebotenen Dienste auf ihre Aktualität und ihren Patchstand überprüft. Hierfür wurden sowohl öffentlich zugängliche Tools als auch eigene Werkzeuge der TÜV TRUST IT eingesetzt. Alle toolgestützten Ergebnisse wurden manuell verifiziert, um mögliche False-Positive zu beseitigen.
„Uns ist es wichtig, unseren Nutzern nicht nur ein Höchstmaß an Sicherheitsgefühl zu vermitteln, sondern auch ein tatsächlich maximales Sicherheitslevel zu gewährleisten“, betont Holger Lerch, Geschäftsführer bei der azh myYOLO Deutschland GmbH. „Diesem Anspruch sind wir mit dem erlangten TÜV-Zertifikat gerecht geworden.“ Lob kommt auch vom Zertifizierer. „Wir konnten im Rahmen der Zertifizierung keine Schwachstellen in der technischen Architektur und im Betrieb finden“, begründet Mohammad-Kheri Murad, Consultant bei TÜV TRUST IT, die Erteilung des Zertifikats „Trusted Device“.