Sicherheit
bei Vivy

Es gibt kaum sensiblere Daten als die zur eigenen Gesundheit. Daher ist es für Vivy von höchster Priorität, medizinische Daten vor jeglichem Zugriff unberechtigter Dritter zu schützen.

Registrierung und Verifizierung

Datensicherheit beginnt mit der eindeutigen Verifizierung des Nutzers. Schon bei der Registrierung und Anmeldung in der App stellt Vivy daher durch folgende Punkte sicher, dass persönliche Informationen nicht in die falschen Hände gelangen:

Zwei-Faktor-Authentifizierung

Sichere Authentifizierung

Jedes Vivy-Nutzerkonto wird durch eine sogenannte Zwei-Faktor-Authentifizierung doppelt vor unbefugtem Zugriff geschützt: Neben dem persönlichen Passwort muss das Benutzerkonto an das Smartphone gekoppelt sein. Diese Koppelung erfolgt per SMS.

Identifikations-Verfahren

Know Your Customer

Bevor Vivy in vollem Umfang genutzt werden kann, muss die Identität des Nutzers festgestellt werden. Hierzu wird eine Kopie des Lichtbildausweises mit einem Video des Nutzers abgeglichen, um einwandfrei sicher zu stellen, dass niemand unter falschem Namen an sensible Daten kommen kann. Nach §18 PAuswG (Personalausweisgesetz) ist ein elektronischer Identitätsnachweis legitim. Für dieses Identifikations-Verfahren wird nur speziell geschultes Personal eingesetzt.

Verschlüsselung und Server

Der Nutzer hat die Datenhoheit. Vivy sorgt mit mehrfachen Verschlüsselungen dafür, dass persönliche und Gesundheitsdaten jederzeit sicher gespeichert und übertragen werden.

Asymmetrische Ende-zu-Ende Verschlüsselung deiner Daten

Asymmetrische Ende-zu-Ende Verschlüsselung ist eine Methode zur sicheren Datenübertragung, bei der nur der Absender und der Empfänger die Daten lesen können. Im Gegensatz zur einfachen Ende-zu-Ende Verschlüsselung haben Absender und Empfänger nicht nur einen Schlüssel mit dem sich die Daten verschlüsseln und entschlüsseln können.

Durch die Verschlüsselung wird auch sichergestellt, dass:

✔ keine Versicherungen

✔ keine Vivy-Mitarbeiter oder Vivy selbst

✔ keine Ärzte

ohne die ausdrückliche Freigabe durch den Nutzer auf Daten zugreifen können.

Sichere Server in Deutschland

Mithilfe von externen Technologie- und Datenschutzexperten wir eine sichere Übertragung von sensiblen Gesundheitsinformationen gewährleistet. Alle Daten werden in Rechenzentren in Deutschland gespeichert, die nach ISO 27001 und ISO 9001 zertifiziert sind.

Nutzung per Browser

Ein Dokumenten-Upload über den Web-Browser auf Ihrem PC ist nur über eine https-geschützte Verbindung möglich. Somit wird jede Durch die verschlüsselte https-Verbindung kann die Datenübertragung zwischen dem Nutzer und dem Vivy-System vor Kompromittierung geschützt werden.

Stetige Verbesserung der Sicherheit 

Maßnahmen zur Datensicherheit müssen ständig aktualisiert und verbessert werden. Eine Grundsatzentscheidung von Vivy ist die Verschlüsselung sämtlicher Gesundheitsdaten. Das macht die Daten für Angreifer weniger attraktiv. Vivy nutzt dennoch zahlreiche Methoden, um fortlaufend aktuelle Sicherheitsstandards gewährleisten zu können.

Bug Bounty & Vulnerability Disclosure Program

Vivy hat ein Bug Bounty & Vulnerability Disclosure Programm gestartet. Darin sind Hacker aufgefordert, Sicherheitslücken zu finden und auf diese aufmerksam zu machen. Dafür erhalten sie gegebenfalls eine Belohnung. Dies ist eine international erprobte Methode, um weltweit Experten zu motivieren, die Sicherheit von Software zu verbessern. Die Details zu diesem Programm können sie hier erfahren.

Penetrationstests

Vivy führt regelmäßig Penetrationstests durch. Externe Sicherheitsunternehmen werden gezielt beauftragt, Schwachstellen und Angriffszenarien in den Systemen von Vivy zu finden.

4 häufige Fragen zu Sicherheit und Datenschutz

Wie sicher ist die Sicherheits­architektur von Vivy?

Die Vivy-App geht mit den Gesundheits-Daten der Nutzer besonders sorgsam um. Anders als bei den meisten anderen Diensten speichern wir alle Daten so verschlüsselt, dass niemand anderes außer der Nutzer selbst auf sie zugreifen kann. Im Klartext: Hacker können keine zentrale Stelle finden, wo sie alle Nutzerdaten abgreifen können, weil jegliche Daten asymmetrisch Ende-zu-Ende verschlüsselt sind. Somit kann niemand außer dem Nutzer (nicht mal wir!) die Daten auslesen. Der wirksamste Schutz vor Hacks, bei denen tausende Datensätze erbeuten werden könnten, ist Daten mit einem eigenen Code, den nur der Nutzer kennt, individuell zu verschlüsseln. Das bedeutet, dass Hacker bei jedem einzelnen Nutzer jeweils das private Vivy-Passwort, das Smartphone und den behandelnden Arzt hacken muss, um an den einen Datensatz dieses Nutzers zu kommen. Hacks sind zwar nie auszuschließen, bei Vivy sind sie aber sehr unattraktiv. Denn wenn jemand eine potentielle Sicherheitslücke findet, betrifft diese immer nur derartige Einzelfälle. Unsere grundsätzliche Architektur sorgt dafür, dass keine Sicherheitslücke alle betreffen kann. Und unsere Methoden sorgen dafür, dass alle Lücken zuerst uns gemeldet werden.

Speichert Vivy sensible Daten?

Gesundheitsdaten sind immer sensibel und Ihr Schutz hat oberste Priorität. Alle Daten sind daher immer verschlüsselt gespeichert. Somit entsteht keine zentrale Stelle, an der Daten unverschlüsselt gesammelt werden. Die Verschlüsselung selbst kann nur durch den Endnutzer durch das invidivuelle Passwort gelöst werden.

Nutzt Vivy State-of-the-Art Sicherheit zum Schutz der persönlichen Daten?

Datenschutz hat bei Vivy sehr hohe Priorität. Beim Start der App-Nutzung wird durch ein zweistufiges Verfahren die Identität des Nutzers festgestellt. Jedes Nutzerkonto wird durch eine sogenannte Zwei-Faktor-Authentifizierung vor unbefugtem Zugriff geschützt: Erst muss der Nutzer sein Smartphone entsperren und sich dann mit seinem persönlichen Vivy-Passcode in die App einloggen. Bei jeder Datenübertragung setzt Vivy auf mehrstufige Sicherheitsprozesse und eine asymmetrische Ende-zu-Ende-Verschlüsselung, für die nur der Nutzer selbst den Schlüssel hat. Gespeichert wird die digitale Akte ausschließlich auf nach ISO 27001 und ISO 9001 zertifizierten Servern in Deutschland, die den hohen europäischen Datenschutzbestimmungen entsprechen.

Haben Krankenkassen und Versicherungen Datenzugriff?

Nein, einzig und allein der Nutzer hat Zugriff auf die persönlichen Gesundheitsdaten, die sie/er in der Vivy-App sammelt und nur er/sie kann Daten aus der App mit weiteren Parteien - beispielsweise dem behandelnden Arzt - teilen. Bei jeder Datenübertragung setzt Vivy auf mehrstufige Sicherheitsprozesse und eine asymmetrische Ende-zu-Ende-Verschlüsselung, für die nur der Nutzer selbst den Schlüssel hat.

White Paper

Vivy: Sicherheit und Datenschutz

Erstellt am 16. Oktober 2018

Das White Paper Vivy "Sicherheit und Datenschutz" ist in enger Zusammenarbeit mit der Abteilung Secure Systems Engineering des Fraunhofer-Institut AISEC entstanden und beschreibt den aktuellen Stand der von Vivy umgesetzten Sicherheits- und Datenschutzmaßnahmen und die von Dritten durchgeführten Sicherheits- und Datenschutzevaluierungen. Im Rahmen der Erstellung des White Papers haben die Mitarbeiterinnen und Mitarbeiter der Abteilung tiefe Einblicke in das Sicherheits- und Datenschutzkonzept von Vivy erhalten.

Download Whitepaper

Tipps zur sicheren Nutzung von Vivy

Was passiert, wenn du dein Smartphone verloren hast?

Vivy-Gesundheitsdaten werden nicht auf dem Smartphone selbst gespeichert, sondern auf deutschen Servern. Geht das Smartphone verloren oder wird es gestohlen, sind die Vivy-Daten unzugänglich, da sie sich nicht auf dem Telefon "befinden". Deine Daten werden durch die Zwei-Faktor-Authentifizierung doppelt gesichert. Das heißt, es reicht für die Anmeldung nicht, dein Smartphone zu besitzen. Wenn jemand auf dein Konto zugreifen möchte, dann benötigt diese Person auch dein Passwort. Deine Daten sind also weiterhin geschützt, wenn du ein sicheres Passwort gewählt hast und dieses nicht öffentlich gemacht oder in deinem Smartphone gespeichert hast. Um dein Konto auf einem neuen Gerät wiederherstellen zu können, benötigst du Vivy's Wiederherstellungsschlüssel.

Betriebssystem & Aktualisierung

Aktualisierung des Betriebssystems

Das Smartphone sollte jederzeit durch Updates auf den neuesten Stand gebracht werden. Die Hersteller veröffentlichen regelmäßig Softwareupdates, die vor bekannten Sicherheitslücken schützen.

Installation von Vivy-App Updates

Es ist wichtig, immer die neusten Updates für die Vivy-App aus dem Apple AppStore oder dem Google PlayStore zu laden damit alle Funktionen reibungslos laufen.

Schütze deine Identität

Erstelle ein sicheres Passwort

Ein sicheres Passwort sollte idealerweise Groß- und Kleinbuchstaben und mindestens ein spezielles Zeichen (z.B. !@#$%) enthalten. Es sollte mindestens 8 Zeichen lang sein.

Achte auf eine sichere Kommunikation mit Vivy

Phishing - Vorsicht bei verdächtigen E-Mails und falschen Webseiten: Phishing nennt sich der Versuch, Passwörter zu stehlen. Eine gängige Methode ist es, Nutzer auf eine Webseite umzuleiten, die der offiziellen Website täuschend ähnlich sieht. Auf dieser gefälschten Webseite wird dann zur Eingabe der Login-Daten oder anderen sensiblen persönlichen Informationen aufgefordert. Vivy wird niemals per E-Mail oder Textnachricht nach einem Passwort fragen. Im Zweifel wende dich bitte immer an den Vivy Kundenservice.

Verwende kein gerootetes Smartphone

Wir empfehlen aus Sicherheitsgründen keine gerooteten Geräte zu verwenden. Durch Rooting eines Linux-basierten Endgerätes (Android) erhält ein Benutzer privilegierten Zugriff auf Betriebssystemfunktionen seines Smartphones. Diese Privilegien können somit auch von anderen Apps auf dem Smartphone genutzt werden, wodurch die Datensicherheit einer App wie Vivy nichtmehr gegeben ist, da auch andere Programme und Anwendungen auf dem Smartphone Zugriff auf die Daten in der App bekommen.

Ansprechpartner zur Sicherheit

Falls du an unseren Bug Bounty oder Vulnerability Disclosure Programm teilnehmen möchtest und Sicherheitslücken findest, melde dich bitte bei uns (Supportanfragen können wir unter dieser E-Mail Adresse nicht beantworten).

PGP öffentlicher Schlüssel: Vivy Security (FA9775F7) – Public Key.asc