Sicherheitskontrollen

Zentrum für Vertrauen und Sicherheit

Die Physitrack legt großen Wert auf die Sicherheit und den Schutz Ihrer Daten und bietet globale Lösungen für Gesundheit und Wohlbefinden mit strengen Datenschutzmaßnahmen.

Behalten Sie Ihre privaten Informationen für sich

Erfahren Sie, welche Maßnahmen wir ergreifen und welche Funktionen wir anbieten, um Ihre Daten und Informationen zu schützen.

Unsere Sicherheit wird nach den höchsten Standards gebaut

Erfahren Sie, wie unser firmeninternes Sicherheitsteam an die Informationssicherheit herangeht und unser Produkt stärkt.

Bescheinigungen auf Unternehmensniveau bestätigen unsere Sicherheitskontrollen

Sehen Sie sich die Bescheinigungen und Zertifizierungen an, die gewährleisten, dass die Daten unserer Nutzer sicher und geschützt sind.

Zwei führende Marken, eine vertrauenswürdige Plattform

Digitale Plattform für Physiotherapie und Rehabilitation, die Patienten mit lizenzierten Ärzten verbindet. Bietet Übungsverordnungen, Fortschrittsverfolgung und telemedizinische Lösungen für Erkrankungen des Bewegungsapparats.

*Physitrack ist beim United Kingdom Information Commissioner's Office unter der Nummer ZA396165 registriert.

Umfassende Plattform für das Wohlbefinden am Arbeitsplatz, die die psychische und physische Gesundheit der Mitarbeiter sowie arbeitsmedizinische Dienstleistungen für Unternehmen jeder Größe unterstützt.

* Champion Health ist beim United Kingdom Information Commissioner's Office unter der Nummer ZA525188 registriert.

Security Governance & Führung

Unser Sicherheitsteam arbeitet mit branchenführenden Frameworks und kontinuierlicher Überwachung, um beispielhafte Sicherheitspraktiken zu gewährleisten. Das Engagement der Führungskräfte für hervorragende Sicherheit fördert eine Kultur des Schutzes und der Einhaltung von Vorschriften. Wir bieten regelmäßige Sicherheitsschulungen an und haben klare Rollen für Datenzugang und -schutz.

Schwachstellen-Management
  • Praktiken des sicheren Entwicklungslebenszyklus (SDLC).
  • Proaktive Erkennung, Priorisierung (CVE, CVSS-Scoring) und Behebung von Schwachstellen.
  • Regelmäßige Penetrationstests durch Dritte, wobei auf Anfrage Zusammenfassungen der Prüfungen erhältlich sind.

Sicherheit der Infrastruktur

Robuste Sicherheitsarchitektur mit Bedrohungserkennung, Netzwerksegmentierung und laufenden Schwachstellenbewertungen.

Sicherheit der Infrastruktur (AWS)
  • Sicheres AWS-Hosting mit ISO 27001- und SOC 2-zertifizierten Rechenzentren.
  • Dezentralisierte Architektur zur Verbesserung der Ausfallsicherheit und Fehlertoleranz.
  • Tägliche verschlüsselte Backups, die sicher über mehrere geografische Regionen hinweg gespeichert werden.
  • Online verfügbarer Status des Dienstes in Echtzeit.
  • Unsere Infrastruktur wird auf AWS gehostet, das die physischen und umweltbezogenen Sicherheitskontrollen verwaltet.

Netzwerksicherheit

Unsere Netzwerksicherheit umfasst Segmentierung, Firewalls und Bedrohungserkennung. Wir verwenden automatisierte CSPM für die Cloud-Sicherheit und überwachen kontinuierlich Bedrohungen.

Anwendungssicherheit

Unsere Maßnahmen zum Schutz vor Manipulationen, wie Codeverschleierung und Integritätsprüfungen, verhindern unbefugten Zugriff. Regelmäßige Audits und Penetrationstests gewährleisten die Einhaltung der OWASP- und NIST-Standards.

Schwachstellen-Management

Wir gewährleisten die Sicherheit durch einen sicheren Entwicklungslebenszyklus (SDLC), in dem wir Schwachstellen mithilfe von CVE- und CVSS-Bewertungen identifizieren und beheben. Wir führen regelmäßig Penetrationstests durch Dritte durch und stellen auf Anfrage Audit-Zusammenfassungen zur Verfügung.

Zahlungen Sicherheit

Die Zahlungen werden sicher über PCI-DSS-konforme Drittanbieterdienste abgewickelt, ohne dass die Zahlungsdaten intern gespeichert werden.

Datenverschlüsselung

Die Daten werden bei der Übertragung mit TLS 1.2+ und im Ruhezustand mit AES-256 verschlüsselt. Wir gewährleisten eine Ende-zu-Ende-Verschlüsselung zwischen Geräten und der Cloud.

Zugangskontrolle und Authentifizierung

Wir verwenden eine rollenbasierte Zugriffskontrolle (RBAC), um den Benutzerzugriff auf die erforderlichen Informationen zu beschränken. Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene.

Konformität und Zertifizierungen

Umfassende Einhaltung internationaler Standards, einschließlich GDPR-, HIPAA- und ISO 27001-Zertifizierungen. Regelmäßige Audits und Bewertungen durch Dritte gewährleisten die kontinuierliche Einhaltung der höchsten Sicherheits- und Datenschutzstandards.

Die Physitrack verfügt über ein ISMS, für das ein Informationssicherheitsmanager und ein Datenschutzbeauftragter ernannt wurden. Unsere Einhaltung der ISO-Anforderungen wurde durch unabhängige Audits bestätigt und wird durch die Zertifikate ISO27001 (Informationssicherheit) und ISO27018 (Datenschutz in der Cloud) bestätigt.

Datenschutz und Privatsphäre

Hochentwickelte Verschlüsselung, sichere Datenverarbeitung und umfassende Datenschutzkontrollen schützen sensible Informationen in jeder Phase, transparente Datenschutzpraktiken mit Benutzerkontrolle über die Datennutzung und klare Zustimmungsmechanismen für alle Verarbeitungsaktivitäten.

Überblick über den Datenschutz

Die Physitrack verpflichtet sich zu Transparenz und strikter Einhaltung der weltweiten Datenschutzbestimmungen, um sicherzustellen, dass die Nutzerrechte auf allen Plattformen respektiert werden. Der Schutz von persönlichen und gesundheitlichen Daten ist für uns von grundlegender Bedeutung, um Vertrauen bei unseren Nutzern aufzubauen.

Datenspeicherung und Sicherheitsmaßnahmen

  • Daten werden sicher in AWS-Umgebungen gespeichert und verschlüsselt (Verschlüsselungsstandard AES-256).
  • Geografisch konforme Speicherung zur Gewährleistung der regionalen Datenresidenz.
  • Sichere Backups werden regelmäßig durchgeführt, verschlüsselt und an getrennten Orten gespeichert.

Datenverarbeitung und Kategorien von Daten

Die Physitrack verarbeitet personenbezogene Daten und spezielle Gesundheitsdaten ausschließlich zu dem Zweck, sichere und wirksame Dienstleistungen für Gesundheit und Wohlbefinden zu erbringen. Die Art der verarbeiteten Daten unterscheidet sich geringfügig zwischen unseren beiden Produkten, Physitrack und Champion Health.

Eine vollständige Aufschlüsselung der verarbeiteten Datenkategorien finden Sie in unseren detaillierten Datenverarbeitungsverträgen (DPAs).

Hinweis: Wir sind nach britischem Recht gegründet und bei der ICO (Information Commissioner's Office) registriert. Wir haben Kunden in mehr als 100 Ländern. Aus diesen Gründen sind unsere DPAs nur auf Englisch verfügbar.

Unsere DPAs sind:

  • Vollständig an die GDPR, die britische GDPR und die einschlägigen internationalen Vorschriften angepasst.
  • Unterstützt durch strenge Audits der Unterauftragsverarbeiter und Konformitätsprüfungen.
  • Es wurde entwickelt, um volle Transparenz und Kundenrechte zu gewährleisten, einschließlich des Widerspruchs gegen Änderungen des Unterauftragsverarbeiters.

Nutzerrechte und Transparenz

  • Vollständige Verwaltung der Benutzerrechte: Zugriff, Korrektur, Löschung.
  • Transparente Richtlinien und Verfahren, die in den Datenschutzhinweisen und den Nutzungsbedingungen klar beschrieben sind.

Aufbewahrung und Löschung von Daten

  • Die Daten werden nur so lange aufbewahrt, wie es die detaillierten Aufbewahrungsrichtlinien erfordern.
  • Automatische sichere Löschung nach Ablauf der Aufbewahrungsfristen, extern geprüft.

Wo verarbeitet Physitrack Daten?

Physitrack seine Plattform und Datenbanken auf Amazon Web Services (AWS). AWS betreibt sichere Rechenzentren auf der ganzen Welt.

Die folgende Tabelle zeigt, in welchen Rechenzentren die verschiedenen Server von Physitrack betrieben Physitrack .

PhysitrackStandort des Rechenzentrums
ae.physitrack.comAbu Dhabi / Dubai South, Vereinigte Arabische Emirate
au.physitrack.comSydney, Australien
br.physitrack.comSão Paulo, Brasilien
ca.physitrack.comMontreal, Kanada
ch.physitrack.comZürich, Schweiz
de.physitrack.comFrankfurt, Deutschland
es.physitrack.comFrankfurt, Deutschland
fi.physitrack.comStockholm, Schweden
fr.physitrack.comFrankfurt, Deutschland
id.physitrack.comSingapur
d. h..physitrack.comDublin, Irland
es.physitrack.comMailand, Italien
nl.physitrack.comFrankfurt, Deutschland
nz.physitrack.comSydney, Australien
pl.physitrack.comFrankfurt, Deutschland
se.physitrack.comStockholm, Schweden
uk.physitrack.comLondon, Vereinigtes Königreich
uns.physitrack.comNord-Virginia, USA
Backups werden in derselben Gerichtsbarkeit gespeichert wie das jeweilige Rechenzentrum.

Sicherheitskontrollen

Privatsphäre

Wir erfragen und speichern so wenig wie möglich und haben unsere Plattform und unseren Betrieb im Einklang mit den strengen Grundsätzen der EU-Grundverordnung (GDPR) gestaltet. Nicht-EU-Unterauftragsverarbeiter verfügen über Standardvertragsklauseln.

Datenverschlüsselung bei Übertragung und Speicherung

Alle Daten, die zu und von unserer Plattform gesendet werden, werden während der Übertragung und im Ruhezustand verschlüsselt. Siehe unsere SSL Labs Bewertung. Alle Medien zwischen dem Client und dem Server verwenden Standardprotokolle (DTLS/SRTP), die mit 256 Bit AES verschlüsselt sind.

HIPAA-konform

Unsere Plattform erfüllt alle Vorgaben der Datenschutzgrundverordnung.

Vertraulichkeit & unser Team

Der Zugang zu Patientendaten ist stark eingeschränkt, und jede Person oder Partei, die (potenziell) Zugang zu Patientendaten hat, ist an Vertraulichkeitsvereinbarungen gebunden.

Lokale Speicherung in Ländern/Regionen

Physitrack betreibt physisch isolierte Plattformen in verschiedenen Rechenzentren auf der ganzen Welt, um Datenlecks außerhalb der Gerichtsbarkeit so weit wie möglich zu vermeiden.

Sicherheitsaudits
  • Jedes Jahr beauftragen wir eine akkreditierte Drittpartei mit der Durchführung von Penetrationstests auf unserer Plattform. Dazu gehören Tests auf Schwachstellen gegen OWASP-Bedrohungen
  • Jede Woche prüft ein unabhängiger Dritter unsere Plattform auf bekannte Schwachstellen.
    Jede aufgedeckte Schwachstelle wird mit Priorität behandelt, behoben und so schnell wie möglich nach ihrer Entdeckung bereitgestellt.
Netzwerk-Sicherheit
  • Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen. Wir überwachen und schützen unser Netz, um sicherzustellen, dass kein unbefugter Zugriff erfolgt:

    - eine virtuelle private Cloud (VPC);
    - ein Bastion-Host oder VPN mit Netzwerk-Zugangskontrolllisten (ACLs) und keinen öffentlichen IP-Adressen;
    - eine Firewall, die den ein- und ausgehenden Netzwerkverkehr überwacht und kontrolliert;
    - IP-Adressfilterung.
Physische Sicherheit

Unsere Infrastruktur wird in AWS gehostet. Die physischen und umgebungsbezogenen Sicherheitskontrollen für unsere Server, zu denen auch Gebäude, Schlösser oder Schlüssel für Türen gehören, werden von AWS verwaltet: "Der physische Zugang wird sowohl an der Peripherie als auch an den Gebäudeeingangspunkten durch professionelles Sicherheitspersonal streng kontrolliert. Autorisierte Mitarbeiter müssen mindestens zweimal eine Zwei-Faktor-Authentifizierung durchlaufen, um Zugang zu den Etagen des Rechenzentrums zu erhalten."

Keine Speicherung von Zahlungsinformationen

Ihre Privatsphäre ist für uns von größter Bedeutung. Als Teil unserer Verpflichtung zum Schutz Ihrer Daten speichern wir keine Bank- oder Kreditkarteninformationen auf unseren Servern. Stattdessen verlassen wir uns bei der Abwicklung aller Transaktionen auf PCI-DSS-zertifizierte Zahlungsdienste Dritter. Diese sind branchenführend im Bereich Zahlungssicherheit und Compliance und gewährleisten, dass Ihre Zahlungsdaten sicher und effizient verarbeitet werden.
Für die Zahlungsabwicklung nutzen wir die folgenden vertrauenswürdigen Dienste:

  • Adyen ist ein führender Zahlungsdienstleister, der für seine fortschrittliche Technologie und die Einhaltung der PCI-DSS-Standards bekannt ist. Sie können die Datenschutzpraktiken des Unternehmens auf der Seite mit den Datenschutzrichtlinien einsehen.
  • Stripe ist eine weltweit anerkannte Zahlungsplattform, die für ihre robusten Sicherheitsmaßnahmen und die Einhaltung der PCI-DSS-Standards bekannt ist. Weitere Informationen über die Datenschutzpraktiken finden Sie auf der Seite mit den Datenschutzrichtlinien.
  • GoCardless ist auf Lastschriftzahlungen spezialisiert und hält sich an die höchsten Sicherheitsstandards. Ausführliche Informationen über den Datenschutz und die Datenschutzrichtlinien des Unternehmens finden Sie auf der Seite mit den Datenschutzrichtlinien.
  • Chargebee bietet eine umfassende Abrechnungsplattform mit robusten Sicherheitsprotokollen. Weitere Einzelheiten zum Umgang mit Ihren Daten bei Chargebee finden Sie in der Datenschutzrichtlinie des Unternehmens.

Unser Engagement für Ihre Datensicherheit wird durch unsere Partnerschaften mit diesen renommierten, vertrauenswürdigen Diensten noch verstärkt. Gemeinsam setzen wir eine umfassende Reihe von Sicherheitsmaßnahmen um, die gewährleisten, dass Ihre Finanzdaten mit größter Sorgfalt und Sicherheit verwaltet werden.

Sicherer Entwicklungslebenszyklus

Der Code unterliegt der Versionskontrolle (Git), und Funktionen/Fehlerbehebungen werden in separaten Zweigen entwickelt. Bevor der Code von einem Kollegen geprüft wird, muss er Tausende von automatischen Tests durchlaufen und wird auf bekannte Sicherheitsprobleme untersucht. Die Korrekturen/Features werden dann manuell getestet (QA) und in den Master-Code-Zweig integriert, wobei wir über separate Test-, Staging- und Produktionsumgebungen verfügen.

Gibt es kostenlose Kurse?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Bekomme ich Zertifikate?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Wie bewirbt man sich als Ausbilder?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Ist dies ein interaktiver Unterricht?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Gibt es kostenlose Kurse?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Bekomme ich Zertifikate?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Wie bewirbt man sich als Ausbilder?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Ist dies ein interaktiver Unterricht?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Verantwortungsbewusste Weitergabe

Die Physitrack ist bestrebt, die höchsten Standards für die Sicherheit und den Schutz der Privatsphäre unserer Nutzer einzuhalten. Wir schätzen die Unterstützung der Sicherheitsgemeinschaft bei der verantwortungsvollen Identifizierung potenzieller Schwachstellen in unserer Plattform.

Melden einer Schwachstelle

Wenn Sie glauben, dass Sie eine Sicherheitslücke in unseren Systemen entdeckt haben, bitten wir Sie, uns diese zu melden unter security@physitrack.com. Bitte geben Sie so viele Details wie möglich an, damit wir das Problem effizient untersuchen und beheben können.

Sicherheitsfragen: 24 Stunden | Datenschutzanfragen: 72 Stunden

Für allgemeine Anfragen

Unser Engagement

  • Wir werden Ihre Meldung umgehend bestätigen und Sie während des gesamten Sanierungsprozesses auf dem Laufenden halten.
  • Wir behandeln Ihre Meldung vertraulich und geben Ihre Identität nicht ohne Ihre Zustimmung preis.
  • Wir werden keine rechtlichen Schritte gegen Sie einleiten, wenn Sie in gutem Glauben handeln und die Grundsätze der verantwortungsvollen Offenlegung befolgen.‍

Umfang

Diese Richtlinie gilt für Schwachstellen in Diensten, die unter den Domänen Physitrack und Champion Health gehostet werden. Schwachstellen in Diensten von Drittanbietern sollten direkt an diese Anbieter gemeldet werden.

Außerhalb des Geltungsbereichs

  • Social Engineering von Physitrack oder Auftragnehmern
    Physische Angriffe oder Versuche des physischen Eindringens
  • Denial-of-Service-Angriffe (DoS) oder Brute-Force-Tests