Controles de seguridad

Centro de confianza y seguridad

Physitrack Group da prioridad a la seguridad y privacidad de sus datos, ofreciendo soluciones globales de asistencia sanitaria y bienestar con sólidas medidas de protección de datos.

Mantenga su información privada

Descubra las medidas que tomamos y las funciones que ofrecemos para salvaguardar sus datos y mantener su información protegida.

Nuestra seguridad cumple las normas más estrictas

Descubra cómo nuestro equipo de seguridad interno aborda la seguridad de la información y fortalece nuestro producto.

Los certificados de calidad empresarial validan nuestros controles de seguridad

Consulte los certificados que garantizan la seguridad de los datos de nuestros usuarios.

Dos marcas líderes, una plataforma de confianza

Plataforma digital de fisioterapia y rehabilitación que conecta a pacientes con profesionales autorizados. Ofrece prescripción de ejercicios, seguimiento del progreso y soluciones de telesalud para afecciones musculoesqueléticas.

*Physitrack está registrada en la Oficina del Comisionado de Información del Reino Unido con el número ZA396165.

Plataforma integral de bienestar en el lugar de trabajo que ofrece servicios de salud mental, bienestar físico y salud laboral a organizaciones de todos los tamaños.

* Champion Health está registrada en la Oficina del Comisionado de Información del Reino Unido con el número ZA525188.

Gobernanza y liderazgo en materia de seguridad

Nuestro equipo de seguridad utiliza los mejores marcos del sector y una supervisión continua para garantizar unas prácticas de seguridad ejemplares. El compromiso de la dirección con la excelencia en seguridad fomenta una cultura de protección y cumplimiento. Impartimos formación periódica sobre seguridad y tenemos claras las funciones de acceso y protección de datos.

Gestión de vulnerabilidades
  • Prácticas de ciclo de vida de desarrollo seguro (SDLC).
  • Detección proactiva, priorización (CVE, puntuación CVSS) y corrección de vulnerabilidades.
  • Pruebas de penetración periódicas realizadas por terceros, con resúmenes de auditoría disponibles previa solicitud.

Seguridad de las infraestructuras

Sólida arquitectura de seguridad con detección de amenazas, segmentación de redes y evaluaciones continuas de vulnerabilidades.

Seguridad de la infraestructura (AWS)
  • Alojamiento AWS seguro con centros de datos certificados ISO 27001 y SOC 2.
  • Arquitectura descentralizada para mejorar la resistencia y la tolerancia a fallos.
  • Copias de seguridad cifradas diarias almacenadas de forma segura en varias regiones geográficas.
  • Estado de salud del servicio en tiempo real disponible en línea.
  • Nuestra infraestructura está alojada en AWS, que gestiona los controles de seguridad físicos y ambientales.

Seguridad de las redes

Nuestra seguridad de red incluye segmentación, cortafuegos y detección de amenazas. Utilizamos CSPM automatizado para la seguridad en la nube y vigilamos continuamente las amenazas.

Seguridad de las aplicaciones

Nuestras medidas antimanipulación, como la ofuscación del código y las comprobaciones de integridad, impiden el acceso no autorizado. Las auditorías y pruebas de penetración periódicas garantizan el cumplimiento de las normas OWASP y NIST.

Gestión de vulnerabilidades

Mantenemos la seguridad mediante un ciclo de vida de desarrollo seguro (SDLC), identificando y abordando las vulnerabilidades mediante la puntuación CVE y CVSS. Se realizan pruebas de penetración periódicas por parte de terceros, con resúmenes de auditoría disponibles previa solicitud.

Seguridad de los pagos

Los pagos se procesan de forma segura a través de servicios de terceros que cumplen la normativa PCI-DSS, sin almacenamiento interno de los datos de pago.

Cifrado de datos

Los datos se cifran durante la transmisión con TLS 1.2+ y en reposo con AES-256. Garantizamos el cifrado de extremo a extremo entre los dispositivos y la nube.

Control de acceso y autenticación

Utilizamos el control de acceso basado en roles (RBAC) para limitar el acceso de los usuarios a la información necesaria. La autenticación multifactor (MFA) añade una capa de seguridad adicional.

Conformidad y certificaciones

Cumplimiento exhaustivo de las normas internacionales, incluidas las certificaciones GDPR, HIPAA e ISO 27001. Las auditorías y evaluaciones periódicas de terceros garantizan el cumplimiento continuo de las normas de seguridad y privacidad más estrictas.

Physitrack Group cuenta con un SGSI, con funciones de Responsable de Seguridad de la Información y Responsable de Protección de Datos. Nuestro cumplimiento de los requisitos ISO ha sido confirmado por auditorías independientes y está respaldado por los certificados ISO27001 (Seguridad de la Información) e ISO27018 (Protección de Datos en la Nube).

Protección de datos y privacidad

El cifrado avanzado, el tratamiento seguro de los datos y los exhaustivos controles de privacidad protegen la información sensible en todas las fases. Prácticas de privacidad transparentes con control del usuario sobre el uso de los datos y mecanismos de consentimiento claros para todas las actividades de tratamiento.

Protección de datos

Physitrack Group está comprometido con la transparencia y el estricto cumplimiento de la normativa mundial de protección de datos, garantizando el respeto de los derechos de los usuarios en todas las plataformas. Priorizamos la protección de la información personal y sanitaria como responsabilidad fundamental, generando confianza con nuestros usuarios.

Almacenamiento de datos y medidas de seguridad

  • Datos almacenados de forma segura en entornos AWS, cifrados (estándar de cifrado AES-256).
  • Almacenamiento geográficamente compatible que garantiza la residencia regional de los datos.
  • Realización periódica de copias de seguridad seguras, cifradas y almacenadas en ubicaciones separadas.

Tratamiento de datos y categorías de datos

Physitrack Group trata datos personales y datos sanitarios de categoría especial estrictamente con el fin de prestar servicios seguros y eficaces de asistencia sanitaria y bienestar. Los tipos de datos tratados varían ligeramente entre nuestros dos productos, Physitrack y Champion Health.

Para obtener un desglose completo de las categorías de datos procesados, consulte nuestros Acuerdos de Procesamiento de Datos (APD) detallados.

Nota: Estamos constituidos con arreglo a la legislación del Reino Unido y registrados en la ICO (Oficina del Comisionado de Información). Tenemos clientes en más de 100 países. Por estos motivos, nuestras APD sólo están disponibles en inglés.

Nuestras APD son:

  • Totalmente alineado con el GDPR, el GDPR del Reino Unido y las normativas internacionales pertinentes.
  • Con el apoyo de rigurosas auditorías de subprocesadores y controles de conformidad.
  • Diseñado para garantizar la total transparencia y los derechos de los clientes, incluida la objeción a los cambios de subprocesador.

Derechos de los usuarios y transparencia

  • Gestión completa de los derechos de los usuarios: acceso, corrección, supresión.
  • Políticas y procedimientos transparentes detallados claramente en los avisos de privacidad y las condiciones de servicio.

Conservación y supresión de datos

  • Los datos sólo se conservan si es necesario con arreglo a políticas de conservación detalladas.
  • Borrado automático seguro tras los periodos de conservación, auditado externamente.

¿Dónde Physitrack los datos Physitrack ?

Physitrack su plataforma y bases de datos en Amazon Web Services (AWS). AWS opera centros de datos seguros en todo el mundo.

La siguiente tabla muestra en qué centros de datos Physitrack ejecutan los distintos servidores de Physitrack .

PhysitrackUbicación del centro de datos
ae.physitrack.comAbu Zabi / Dubai South, Emiratos Árabes Unidos
au.physitrack.comSídney, Australia
br.physitrack.comSao Paulo, Brasil
ca.physitrack.comMontreal, Canadá
ch.physitrack.comZúrich, Suiza
de.physitrack.comFráncfort, Alemania
es.physitrack.comFráncfort, Alemania
fi.physitrack.comEstocolmo, Suecia
fr.physitrack.comFráncfort, Alemania
id.physitrack.comSingapur
es decir.physitrack.comDublín, Irlanda
it.physitrack.comMilán, Italia
nl.physitrack.comFráncfort, Alemania
nz.physitrack.comSídney, Australia
pl.physitrack.comFráncfort, Alemania
se.physitrack.comEstocolmo, Suecia
uk.physitrack.comLondres, Reino Unido
nosotros.physitrack.comVirginia del Norte, EE. UU.
Las copias de seguridad se almacenan en la misma jurisdicción que el centro de datos correspondiente.

Controles de seguridad

La privacidad es lo primero

Pedimos y almacenamos lo menos posible y hemos diseñado nuestra plataforma y operaciones de acuerdo con los estrictos principios del GDPR de la UE. Los subprocesadores no pertenecientes a la UE cuentan con cláusulas contractuales tipo.

Encriptación de datos en tránsito y en reposo

Todos los datos enviados a y desde nuestra plataforma están cifrados en tránsito y cifrados en reposo. Consulte nuestra puntuación de SSL Labs. Todos los medios entre el cliente y el servidor utilizan protocolos estándar (DTLS/SRTP) cifrados con AES de 256 bits.El cifrado TLS se utiliza para el correo electrónico entrante y saliente.

Cumple con la HIPAA

En la cima de los controles que protegen la confidencialidad, integridad y disponibilidad de PHI, disponemos de BAAs con terceras partes y subcontratistas que acceden a PHI.

Confidencialidad y nuestro equipo

El acceso a los datos de los pacientes está restringido severamente, y cualquier persona o parte que (potencialmente) tiene acceso a los datos de los pacientes está sujeto a acuerdos de confidencialidad.

Almacenamiento local en países/regiones

Physitrack ejecuta plataformas físicamente aisladas en diferentes centros de datos de todo el mundo para evitar la filtración de datos fuera de las jurisdicciones en la medida de lo razonablemente posible.

Auditorías de seguridad
  • Cada año, contratamos a un tercero acreditado para que realice pruebas de penetración de caja gris en nuestra plataforma. Esto incluye pruebas de vulnerabilidades frente a las amenazas OWASP
  • Cada semana, un tercero independiente analiza nuestra plataforma en busca de vulnerabilidades conocidas.
    Cualquier vulnerabilidad descubierta se prioriza, se resuelve y se despliega lo antes posible tras su descubrimiento.
Seguridad de la red
  • La arquitectura de seguridad de nuestra red consta de varias zonas de seguridad. Supervisamos y protegemos nuestra red, para asegurarnos de que no se realiza ningún acceso no autorizado mediante:

    - una nube privada virtual (VPC);
    - un host bastión o VPN con listas de control de acceso a la red (ACL) y sin direcciones IP públicas;
    - un cortafuegos que supervisa y controla el tráfico de red entrante y saliente;
    - filtrado de direcciones IP.
Seguridad física

Nuestra infraestructura está alojada en AWS. Los controles relacionados con la seguridad física y ambiental de nuestros servidores, que incluyen edificios, cerraduras o llaves utilizadas en las puertas, son gestionados por AWS: "El acceso físico está estrictamente controlado tanto en el perímetro como en los puntos de entrada a los edificios por personal de seguridad profesional. El personal autorizado debe pasar una autenticación de dos factores un mínimo de dos veces para acceder a las plantas de los centros de datos".

No se almacena información de pago

Su privacidad es lo más importante para nosotros. Como parte de nuestro compromiso de salvaguardar sus datos, no almacenamos ninguna información bancaria o de tarjetas de crédito en nuestros servidores. En su lugar, confiamos en servicios de pago de terceros con certificación PCI-DSS para gestionar todas las transacciones. Son líderes del sector en seguridad y cumplimiento de las normas de pago, lo que garantiza que su información de pago se procesa de forma segura y eficiente.
Para el procesamiento de pagos, utilizamos los siguientes servicios de confianza:

  • Adyen es un servicio de pago líder conocido por su avanzada tecnología y el cumplimiento de las normas PCI-DSS. Puedes revisar sus prácticas de privacidad en su página de política de privacidad.
  • Stripe es una plataforma de pago reconocida en todo el mundo por sus sólidas medidas de seguridad y el cumplimiento de las normas PCI-DSS. Puedes obtener más información sobre sus prácticas de privacidad visitando su página de política de privacidad.
  • GoCardless se especializa en pagos por domiciliación bancaria y cumple las normas de seguridad más estrictas. Puede encontrar información detallada sobre sus políticas de protección de datos y privacidad en su página de política de privacidad.
  • Chargebee ofrece una completa plataforma de facturación por suscripción con sólidos protocolos de seguridad. Consulte su política de privacidad para obtener más información sobre cómo Chargebee gestiona sus datos.

Nuestro compromiso con la seguridad de sus datos se ve reforzado por nuestra colaboración con estos reputados servicios de confianza. Juntos, aplicamos una amplia gama de medidas de seguridad, garantizando que su información financiera se gestiona con el máximo cuidado y seguridad.

Ciclo de Vida Seguro del Desarrollo

Utilizamos las mejores prácticas de desarrollo tanto para nuestras aplicaciones como para nuestra infraestructura. El código está bajo control de versiones (Git) y las funciones y correcciones se desarrollan en ramas independientes. Antes de ser revisado por un compañero, el código debe superar miles de pruebas automatizadas y se analiza para detectar problemas de seguridad conocidos.

¿Hay cursos gratuitos?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

¿Recibo certificados?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

¿Cómo solicitar el puesto de Instructor?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

¿Se trata de lecciones interactivas?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

¿Hay cursos gratuitos?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

¿Recibo certificados?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

¿Cómo solicitar el puesto de Instructor?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

¿Se trata de lecciones interactivas?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Divulgación responsable

Physitrack Group se compromete a mantener los más altos estándares de seguridad y privacidad para nuestros usuarios. Agradecemos el apoyo de la comunidad de seguridad en la identificación responsable de posibles vulnerabilidades en nuestra plataforma.

Notificación de una vulnerabilidad

Si cree que ha descubierto una vulnerabilidad de seguridad en nuestros sistemas, le animamos a que nos lo comunique en security@physitrack.com. Por favor, incluya tantos detalles como sea posible para ayudarnos a investigar y resolver el problema de manera eficiente.

Cuestiones de seguridad: 24 horas | Solicitudes de privacidad: 72 horas

Nuestro compromiso

  • Acusaremos recibo de su informe con prontitud y le mantendremos informado durante todo el proceso de reparación.
  • Trataremos su informe confidencialmente y no revelaremos su identidad sin su consentimiento.
  • No emprenderemos acciones legales contra usted si actúa de buena fe y sigue los principios de la divulgación responsable.

Alcance

Esta política se aplica a las vulnerabilidades de los servicios alojados en los dominios Physitrack y Champion Health. Las vulnerabilidades en servicios de terceros deben notificarse directamente a dichos proveedores.

Fuera del ámbito de aplicación

  • Ingeniería social de empleados o contratistas Physitrack
    Ataques físicos o intentos de intrusión física
  • Ataques de denegación de servicio (DoS) o pruebas de fuerza bruta