Turvallisuusvalvonta

Trust & Security Center

Physitrack Group asettaa tietojesi turvallisuuden ja yksityisyyden etusijalle ja tarjoaa maailmanlaajuisia terveydenhuolto- ja hyvinvointiratkaisuja, joissa on vahvat tietosuojatoimenpiteet.

Pidä yksityiset tietosi yksityisinä

Tutustu toimenpiteisiin, joihin ryhdymme, ja ominaisuuksiin, joita tarjoamme tietojesi suojaamiseksi ja tietojesi suojaamiseksi.

Turvallisuutemme on rakennettu korkeimpien standardien mukaisesti

Lue, miten sisäinen tietoturvatiimimme lähestyy tietoturvaa ja vahvistaa tuotteitamme.

Yritystason sertifikaatit vahvistavat tietoturvavalvontamme.

Tutustu todistuksiin ja sertifikaatteihin, joilla varmistetaan, että käyttäjien tiedot ovat turvassa.

Kaksi johtavaa tuotemerkkiä, yksi luotettava alusta

Digitaalinen fysioterapia- ja kuntoutusalusta, joka yhdistää potilaat lisensoituihin ammattihenkilöt. Tarjoaa harjoitusreseptin, edistymisen seurannan ja etälääkäriratkaisuja tuki- ja liikuntaelimistön sairauksiin.

* Physitrack on rekisteröity Yhdistyneen kuningaskunnan tietosuojavaltuutetun toimistossa numerolla ZA396165.

Kattava työhyvinvointialusta, joka tukee työntekijöiden mielenterveyttä, fyysistä hyvinvointia ja työterveyspalveluja kaikenkokoisille organisaatioille.

* Champion Health on rekisteröity Yhdistyneen kuningaskunnan tietosuojavaltuutetun toimistoon numerolla ZA525188.

Turvallisuushallinto ja johtaminen

Tietoturvatiimimme käyttää alan parhaita viitekehyksiä ja jatkuvaa seurantaa varmistaakseen esimerkilliset turvallisuuskäytännöt. Johdon sitoutuminen turvallisuuden huippuosaamiseen edistää suojelun ja vaatimustenmukaisuuden kulttuuria. Järjestämme säännöllisesti turvallisuuskoulutusta ja meillä on selkeät roolit tietojen käytön ja suojauksen osalta.

Haavoittuvuuksien hallinta
  • turvallisen kehityksen elinkaaren (SDLC) käytännöt.
  • Haavoittuvuuksien ennakoiva havaitseminen, priorisointi (CVE, CVSS-pisteytys) ja korjaaminen.
  • Säännölliset kolmannen osapuolen suorittamat tunkeutumistestit, joiden yhteenvedot ovat saatavilla pyydettäessä.

Infrastruktuurin turvallisuus

Vankka tietoturva-arkkitehtuuri, jossa on uhkien havaitseminen, verkon segmentointi ja jatkuvat haavoittuvuusarvioinnit.

Infrastruktuurin turvallisuus (AWS)
  • Turvallinen AWS-hostaus ISO 27001- ja SOC 2 -sertifioiduissa palvelinkeskuksissa.
  • Hajautettu arkkitehtuuri parantaa häiriönsietokykyä ja vikasietoisuutta.
  • Päivittäiset salatut varmuuskopiot, jotka on tallennettu turvallisesti useilla maantieteellisillä alueilla.
  • Reaaliaikainen palvelun terveydentila on saatavilla verkossa.
  • Infrastruktuurimme sijaitsee AWS:ssä, joka hallinnoi fyysisiä ja ympäristöön liittyviä turvavalvontatoimenpiteitä.

Verkon turvallisuus

Verkkoturvaan kuuluu segmentointi, palomuurit ja uhkien havaitseminen. Käytämme automaattista CSPM:ää pilvipalvelun tietoturvaan ja seuraamme uhkia jatkuvasti.

Sovelluksen turvallisuus

Väärennösten torjuntatoimenpiteemme, kuten koodin häivytys ja eheyden tarkistukset, estävät luvattoman pääsyn. Säännöllisillä tarkastuksilla ja tunkeutumistesteillä varmistetaan OWASP- ja NIST-standardien noudattaminen.

Haavoittuvuuksien hallinta

Ylläpidämme tietoturvaa Secure Development Lifecycle (SDLC) -prosessin avulla ja tunnistamme ja korjaamme haavoittuvuudet CVE- ja CVSS-pisteytyksen avulla. Kolmannen osapuolen tekemät tunkeutumistestit suoritetaan säännöllisesti, ja tarkastusten yhteenvedot ovat saatavilla pyynnöstä.

Maksujen turvallisuus

Maksut käsitellään turvallisesti PCI-DSS-yhteensopivien kolmansien osapuolten palveluiden kautta, eikä maksutietoja tallenneta sisäisesti.

Tietojen salaus

Tiedot salataan siirron aikana TLS 1.2+ -standardilla ja levossa AES-256:lla. Varmistamme päästä päähän -salauksen laitteiden ja pilven välillä.

Pääsynvalvonta ja todennus

Käytämme RBAC-järjestelmää (Role Based Access Control) rajoittaaksemme käyttäjien pääsyä tarvittaviin tietoihin. Monitekijätodennus (Multi-factor authentication, MFA) lisää ylimääräisen turvakerroksen.

Vaatimustenmukaisuus & sertifioinnit

Kattava kansainvälisten standardien noudattaminen, mukaan lukien GDPR-, HIPAA- ja ISO 27001 -sertifikaatit. Kolmannen osapuolen säännölliset auditoinnit ja arvioinnit varmistavat, että korkeimpia turvallisuus- ja tietosuojastandardeja noudatetaan jatkuvasti.

Physitrack Groupilla on käytössä ISMS-järjestelmä, johon on nimitetty tietoturvapäällikkö ja tietosuojavastaava. Riippumattomat auditoinnit ovat vahvistaneet ISO-vaatimusten noudattamisen, ja sitä tukevat ISO27001- (tietoturva) ja ISO27018-sertifikaatit (tietosuoja pilvipalveluissa).

Tietosuoja ja yksityisyys

Edistyksellinen salaus, turvallinen tietojenkäsittely ja kattavat yksityisyydensuojan valvontatoimet suojaavat arkaluonteisia tietoja kaikissa vaiheissa.Läpinäkyvät yksityisyydensuojakäytännöt, joissa käyttäjä voi hallita tietojen käyttöä ja selkeät suostumusmekanismit kaikille käsittelytoimille.

Tietosuoja Yleiskatsaus

Physitrack Group on sitoutunut avoimuuteen ja maailmanlaajuisten tietosuojasäännösten tiukkaan noudattamiseen ja varmistaa, että käyttäjien oikeuksia kunnioitetaan kaikilla alustoilla. Henkilö- ja terveystietojen suojaaminen on meille perustavanlaatuinen velvollisuus, ja rakennamme luottamusta käyttäjien kanssa.

Tietojen varastointi ja turvatoimet

  • Tiedot tallennetaan turvallisesti AWS-ympäristöihin salattuna (AES-256-salausstandardi).
  • Maantieteellisesti yhteensopiva tallennus, jolla varmistetaan tietojen alueellinen säilyvyys.
  • Suojatut varmuuskopiot tehdään säännöllisesti, ne salataan ja tallennetaan erillisiin paikkoihin.

Tietojen käsittely & tietoryhmät

Physitrack Group käsittelee henkilökohtaisia ja erityisiä terveystietoja tiukasti turvallisten ja tehokkaiden terveydenhuolto- ja hyvinvointipalvelujen tarjoamista varten. Käsiteltävät tietotyypit vaihtelevat hieman kahden tuotteemme, Physitrack ja Champion Healthin, välillä.

Käsiteltävien tietoluokkien täydellinen erittely on yksityiskohtaisissa tietojenkäsittelysopimuksissamme (DPA).

Huomaa: Olemme Yhdistyneen kuningaskunnan lainsäädännön mukaisesti perustettu ja ICO:n (Information Commissioner's Office) rekisteröimä yhtiö. Meillä on asiakkaita yli 100 maassa. Näistä syistä tietosuojasopimuksemme ovat saatavilla vain englanniksi.

Tietosuojaviranomaisemme ovat:

  • Täysin yhdenmukainen GDPR:n, Yhdistyneen kuningaskunnan GDPR:n ja asiaankuuluvien kansainvälisten säännösten kanssa.
  • Tukena on tiukat aliprosessorin tarkastukset ja vaatimustenmukaisuuden tarkastukset.
  • Suunniteltu varmistamaan täysi avoimuus ja asiakkaan oikeudet, mukaan lukien vastalauseet alihankkijan muutoksista.

Käyttäjien oikeudet ja avoimuus

  • Täydellinen käyttäjäoikeuksien hallinta: pääsy, korjaaminen, poistaminen.
  • Läpinäkyvät käytännöt ja menettelyt, jotka eritellään selkeästi tietosuojailmoituksissa ja käyttöehdoissa.

Tietojen säilyttäminen ja poistaminen

  • Tietoja säilytetään vain tarpeen mukaan yksityiskohtaisten säilyttämiskäytäntöjen mukaisesti.
  • Automaattinen turvallinen poistaminen säilytysaikojen jälkeen, ulkoisesti tarkastettu.

Missä Physitrack tietoja?

Physitrack alustaansa ja tietokantojaan Amazon Web Services (AWS) -palvelussa. AWS ylläpitää turvallisia tietokeskuksia ympäri maailmaa.

Alla olevassa taulukossa on esitetty, missä tietokeskuksissa Physitrack eri palvelimet Physitrack .

PhysitrackTietokeskuksen sijainti
ae.physitrack.comAbu Dhabi / Dubai South, Yhdistyneet arabiemiirikunnat
au.physitrack.comSydney, Australia
br.physitrack.comSão Paulo, Brasilia
ca.physitrack.comMontreal, Kanada
ch.physitrack.comZürich, Sveitsi
de.physitrack.comFrankfurt, Saksa
es.physitrack.comFrankfurt, Saksa
fi.physitrack.comTukholma, Ruotsi
fr.physitrack.comFrankfurt, Saksa
id.physitrack.comSingapore
ie.physitrack.comDublin, Irlanti
se.physitrack.comMilano, Italia
nl.physitrack.comFrankfurt, Saksa
nz.physitrack.comSydney, Australia
pl.physitrack.comFrankfurt, Saksa
se.physitrack.comTukholma, Ruotsi
uk.physitrack.comLontoo, Yhdistynyt kuningaskunta
me.physitrack.comPohjois-Virginia, Yhdysvallat
Varmuuskopiot tallennetaan samaan lainkäyttöalueeseen kuin sovellettava tietokeskus.

Turvallisuusvalvonta

Tietosuoja edellä

Pyydämme ja tallennamme mahdollisimman vähän tietoja, ja olemme suunnitelleet alustamme ja toimintamme EU:n tiukkojen GDPR-periaatteiden mukaisesti. EU:n ulkopuolisilla alihankkijoilla on käytössä vakiosopimuslausekkeet.

Tietojen salaus siirron aikana ja levossa

Kaikki alustalle ja alustalta lähetetyt tiedot salataan siirron aikana ja salataan levossa. Katso SSL Labs -pisteet. Kaikki asiakkaan ja palvelimen väliset mediat käyttävät vakioprotokollia (DTLS/SRTP), jotka on salattu 256-bittisellä AES:llä.TLS-salausta käytetään saapuvaan ja lähtevään sähköpostiin.

HIPAA-yhteensopiva

Kaikkien suojattujen terveystietojen luottamuksellisuutta, eheyttä ja saavutettavuutta suojaavien kontrollien lisäksi meillä on liikekumppanisopimus (BAA) sellaisten kolmansien osapuolten ja alihankkijoiden kanssa, joilla on pääsy suojatuihin terveystietoihin.

Salassapito ja tiimimme

Pääsy potilastietoihin on tiukasti rajoitettu, ja kaikkia henkilöitä tai osapuolia, joilla (mahdollisesti) on pääsy potilastietoihin, sitoo salassapitosopimus.

Paikallinen varastointi eri maissa/alueilla

Physitrack käyttää fyysisesti erillisiä alustoja eri datakeskuksissa eri puolilla maailmaa, jotta vältetään tietojen vuotaminen lainkäyttöalueiden ulkopuolelle niin paljon kuin mahdollista.

Tietoturvatarkastukset
  • Palkkaamme vuosittain akkreditoidun kolmannen osapuolen suorittamaan alustallemme harmaan laatikon tunkeutumistestejä. Tähän sisältyy haavoittuvuuksien testaus OWASP-uhkia vastaan.
  • Viikoittain riippumaton kolmas osapuoli tarkistaa alustamme tunnettujen haavoittuvuuksien varalta.
    Löydetyt haavoittuvuudet priorisoidaan, ratkaistaan ja korjataan mahdollisimman pian havaitsemisen jälkeen.
Verkkoturvallisuus
  • Verkon tietoturva-arkkitehtuurimme koostuu useista suojausvyöhykkeistä. Valvomme ja suojaamme verkkoamme varmistaaksemme, ettei luvattomia pääsyjä tapahdu:

    - virtuaalinen yksityinen pilvi (VPC);
    - bastion-isäntä tai VPN, jossa on verkon pääsynvalvontaluettelot (ACL) ja ei julkisia IP-osoitteita;
    - palomuuri, joka valvoo ja kontrolloi saapuvaa ja lähtevää verkkoliikennettä;
    - IP-osoitteiden suodatus.
Fyysinen turvallisuus

Infrastruktuurimme sijaitsee AWS:ssä. AWS hallinnoi palvelimiemme fyysistä ja ympäristöön liittyvää turvallisuutta, kuten rakennuksia, ovien lukkoja tai avaimia: "Ammattitaitoinen turvallisuushenkilöstö valvoo tiukasti fyysistä pääsyä sekä rakennuksen ulkorajoilla että rakennuksen sisäänkäynneillä. Valtuutetun henkilöstön on läpäistävä kaksitekijätodennus vähintään kaksi kertaa päästäkseen datakeskuksen kerroksiin."

Maksutietoja ei tallenneta

Yksityisyytesi on meille äärimmäisen tärkeä. Osana sitoumustamme tietojesi suojeluun emme tallenna palvelimillemme pankki- tai luottokorttitietojasi. Sen sijaan käytämme PCI-DSS-sertifioituja kolmannen osapuolen maksupalveluja kaikkien maksutapahtumien käsittelyssä. Ne ovat alan johtavia toimijoita maksuturvallisuuden ja vaatimustenmukaisuuden alalla, ja ne varmistavat, että maksutietojasi käsitellään turvallisesti ja tehokkaasti.
Maksujen käsittelyyn käytämme seuraavia luotettavia palveluita:

  • Adyen on johtava maksupalvelu, joka tunnetaan kehittyneestä teknologiastaan ja PCI-DSS-standardien noudattamisesta. Voit tutustua heidän tietosuojakäytäntöihinsä heidän tietosuojakäytäntösivullaan.
  • Stripe on maailmanlaajuisesti tunnustettu maksualusta, joka tunnetaan vankoista turvatoimistaan ja PCI-DSS-standardien noudattamisesta. Voit lukea lisää heidän tietosuojakäytännöistään vierailemalla heidän tietosuojakäytäntösivullaan.
  • GoCardless on erikoistunut suoraveloituksiin ja noudattaa korkeimpia turvallisuusstandardeja. Yksityiskohtaisia tietoja heidän tietosuoja- ja yksityisyydensuojakäytännöistään löydät heidän yksityisyydensuojasivultaan.
  • Chargebee tarjoaa kattavan tilauslaskutusalustan, jossa on vahvat turvallisuusprotokollat. Lisätietoja siitä, miten Chargebee käsittelee tietojasi, saat heidän tietosuojakäytännöstään.

Sitoutumistamme tietoturvaasi vahvistaa entisestään kumppanuutemme näiden arvostettujen ja luotettavien palvelujen kanssa. Yhdessä toteutamme kattavan valikoiman turvatoimia, joilla varmistamme, että taloudellisia tietojasi hallinnoidaan äärimmäisen huolellisesti ja turvallisesti.

Turvallisen ohjelmistokehityksen elinkaari (SDL)

Käytämme alan parhaita käytäntöjä sekä sovelluksissamme että infrastruktuurissamme.Koodi on versiohallinnassa (Git), ja ominaisuuksia/korjauksia kehitetään erillisissä haaroissa.Ennen kuin vertaisarviointi tehdään, koodi on läpäistävä tuhansia automaattisia testejä ja se on tarkistettava tunnettujen tietoturvaongelmien varalta. Korjaus/ominaisuus testataan sitten manuaalisesti (QA) ja yhdistetään pääkoodihaaraan.Meillä on erilliset testaus-, varastointi- ja tuotantoympäristöt.

Onko ilmaisia kursseja?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Saanko todistuksia?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Miten hakea ohjaajaksi?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Onko tämä interaktiivinen oppitunti?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Onko ilmaisia kursseja?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Saanko todistuksia?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Miten hakea ohjaajaksi?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Onko tämä interaktiivinen oppitunti?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Vastuullinen paljastaminen

Physitrack Group on sitoutunut ylläpitämään käyttäjiensä korkeimpia turvallisuus- ja yksityisyydensuojan standardeja. Arvostamme tietoturvayhteisön tukea alustamme mahdollisten haavoittuvuuksien vastuullisessa tunnistamisessa.

Haavoittuvuuden ilmoittaminen

Jos uskot havainneesi järjestelmissämme tietoturva-aukon, kehotamme sinua ilmoittamaan siitä meille osoitteessa security@physitrack.com. Ilmoita mahdollisimman yksityiskohtaisesti, jotta voimme tutkia ja ratkaista ongelman tehokkaasti.

Turvallisuuskysymykset: 24 tuntia | Yksityisyyden suojaa koskevat pyynnöt: 72 tuntia

Yleiset tiedustelut

Sitoumuksemme

  • Kuittaamme raporttisi viipymättä ja pidämme sinut ajan tasalla koko korjausprosessin ajan.
  • Käsittelemme raporttiasi luottamuksellisesti, emmekä paljasta henkilöllisyyttäsi ilman suostumustasi.
  • Emme ryhdy oikeustoimiin sinua vastaan, jos toimit hyvässä uskossa ja noudatat vastuullisen tiedonantovelvollisuuden periaatteita.‍

Laajuus

Tätä käytäntöä sovelletaan Physitrack ja Champion Health -verkkotunnusten alla isännöidyissä palveluissa oleviin haavoittuvuuksiin. Kolmansien osapuolten palveluissa olevat haavoittuvuudet on ilmoitettava suoraan kyseisille palveluntarjoajille.

Toiminnan ulkopuolelle

  • Physitrack työntekijöihin tai alihankkijoihin kohdistuva sosiaalinen manipulointi
    Fyysiset hyökkäykset tai fyysisen tunkeutumisen yritykset.
  • Palvelunestohyökkäykset (DoS-hyökkäykset) tai raa'an voiman testaaminen