Contrôles de sécurité

Centre de confiance et de sécurité

Le Groupe Physitrack donne la priorité à la sécurité et à la confidentialité de vos données, en offrant des solutions globales de santé et de bien-être avec de solides mesures de protection des données.

Préservez la confidentialité de vos informations privées

Découvrez les mesures que nous prenons et les fonctionnalités que nous proposons pour sauvegarder vos données et protéger vos informations.

Notre sécurité répond aux normes les plus strictes

Découvrez comment notre équipe de sécurité interne aborde la sécurité de l'information et renforce notre produit.

Des attestations de niveau entreprise valident nos contrôles de sécurité

Consultez les attestations et certifications qui garantissent la sécurité des données de nos utilisateurs.

Deux grandes marques, une plateforme de confiance

Plate-forme numérique de physiothérapie et de rééducation mettant en relation les patients avec des praticiens agréés. Elle propose des solutions de prescription d'exercices, de suivi des progrès et de télésanté pour les troubles musculo-squelettiques.

*Physitrack est enregistré auprès de l'Information Commissioner's Office du Royaume-Uni sous le numéro ZA396165.

Plateforme complète de bien-être sur le lieu de travail qui prend en charge la santé mentale des employés, le bien-être physique et les services de santé au travail pour les organisations de toutes tailles.

* Champion Health est enregistré auprès du bureau du commissaire à l'information du Royaume-Uni sous le numéro ZA525188.

Gouvernance et leadership en matière de sécurité

Notre équipe de sécurité s'appuie sur les meilleurs cadres industriels et sur une surveillance continue pour garantir des pratiques de sécurité exemplaires. L'engagement de la direction en faveur de l'excellence en matière de sécurité favorise une culture de la protection et de la conformité. Nous assurons des formations régulières en matière de sécurité et définissons clairement les rôles en matière d'accès aux données et de protection de celles-ci.

Gestion de la vulnérabilité
  • Pratiques du cycle de développement sécurisé (SDLC).
  • Détection proactive, hiérarchisation (notation CVE, CVSS) et remédiation des vulnérabilités.
  • Des tests de pénétration réguliers effectués par des tiers, avec des résumés d'audit disponibles sur demande.

Sécurité des infrastructures

Architecture de sécurité robuste avec détection des menaces, segmentation du réseau et évaluation permanente des vulnérabilités.

Sécurité de l'infrastructure (AWS)
  • Hébergement AWS sécurisé avec des centres de données certifiés ISO 27001 et SOC 2.
  • Architecture décentralisée pour améliorer la résilience et la tolérance aux pannes.
  • Sauvegardes quotidiennes cryptées stockées en toute sécurité dans plusieurs régions géographiques.
  • L'état de santé des services est disponible en ligne en temps réel.
  • Notre infrastructure est hébergée sur AWS, qui gère les contrôles de sécurité physiques et environnementaux.

Sécurité des réseaux

La sécurité de notre réseau comprend la segmentation, les pare-feu et la détection des menaces. Nous utilisons un CSPM automatisé pour la sécurité de l'informatique en nuage et nous surveillons les menaces en permanence.

Sécurité des applications

Nos mesures anti-sabotage, telles que l'obscurcissement du code et les contrôles d'intégrité, empêchent tout accès non autorisé. Des audits et des tests de pénétration réguliers garantissent la conformité aux normes OWASP et NIST.

Gestion de la vulnérabilité

Nous maintenons la sécurité grâce à un cycle de développement sécurisé (SDLC), en identifiant et en corrigeant les vulnérabilités à l'aide des systèmes de notation CVE et CVSS. Des tests de pénétration sont régulièrement effectués par des tiers, et des résumés d'audit sont disponibles sur demande.

Sécurité des paiements

Les paiements sont traités en toute sécurité par des services tiers conformes à la norme PCI-DSS, sans stockage interne des données de paiement.

Cryptage des données

Les données sont chiffrées pendant la transmission à l'aide de TLS 1.2+ et au repos à l'aide de AES-256. Nous assurons un chiffrement de bout en bout entre les appareils et le nuage.

Contrôle d'accès et authentification

Nous utilisons le contrôle d'accès basé sur les rôles (RBAC) pour limiter l'accès des utilisateurs aux informations nécessaires. L'authentification multifactorielle (MFA) ajoute une couche de sécurité supplémentaire.

Conformité et certifications

Conformité totale avec les normes internationales, notamment les certifications GDPR, HIPAA et ISO 27001. Des audits et des évaluations régulières par des tiers garantissent le respect permanent des normes les plus strictes en matière de sécurité et de protection de la vie privée.

Le groupe Physitrack a mis en place un système de gestion de la sécurité de l'information (ISMS) et a nommé un responsable de la sécurité de l'information et un responsable de la protection des données. Notre adhésion aux exigences ISO a été confirmée par des audits indépendants et est appuyée par les certificats ISO27001 (sécurité de l'information) et ISO27018 (protection des données dans le nuage).

Protection des données et de la vie privée

Un cryptage avancé, un traitement sécurisé des données et des contrôles complets de la confidentialité protègent les informations sensibles à chaque étape. Des pratiques transparentes en matière de confidentialité avec un contrôle de l'utilisateur sur l'utilisation des données et des mécanismes de consentement clairs pour toutes les activités de traitement.

Aperçu de la protection des données

Le groupe Physitrack s'engage à faire preuve de transparence et à respecter strictement les réglementations mondiales en matière de protection des données, en veillant à ce que les droits des utilisateurs soient respectés sur toutes les plateformes. Nous considérons la protection des informations personnelles et de santé comme une responsabilité fondamentale et nous établissons une relation de confiance avec nos utilisateurs.

Stockage des données et mesures de sécurité

  • Données stockées en toute sécurité dans les environnements AWS, cryptées (norme de cryptage AES-256).
  • Stockage géographiquement conforme garantissant la résidence des données au niveau régional.
  • Des sauvegardes sécurisées sont régulièrement effectuées, cryptées et stockées dans des endroits distincts.

Traitement des données et catégories de données

Le groupe Physitrack traite des données personnelles et des données de santé de catégorie spéciale strictement dans le but de fournir des services de santé et de bien-être sûrs et efficaces. Les types de données traitées varient légèrement entre nos deux produits, Physitrack et Champion Health.

Pour une ventilation complète des catégories de données traitées, veuillez vous référer à nos accords détaillés sur le traitement des données (DPA).

Note : Nous sommes une société de droit britannique enregistrée auprès de l'ICO (Information Commissioner's Office). Nous avons des clients dans plus de 100 pays. Pour ces raisons, nos DPA ne sont disponibles qu'en anglais.

Nos DPA sont :

  • Entièrement conforme au GDPR, au GDPR britannique et aux réglementations internationales pertinentes.
  • Soutenu par des audits rigoureux des sous-traitants et des contrôles de conformité.
  • Conçue pour garantir une transparence totale et les droits des clients, y compris l'opposition aux changements de sous-traitants.

Droits des utilisateurs et transparence

  • Gestion complète des droits des utilisateurs : accès, correction, suppression.
  • Des politiques et des procédures transparentes, clairement détaillées dans les avis de confidentialité et les conditions de service.

Conservation et suppression des données

  • Les données ne sont conservées qu'en cas de besoin, conformément aux politiques de conservation détaillées.
  • Suppression automatique et sécurisée après les périodes de conservation, avec audit externe.

Où Physitrack -t-il les données ?

Physitrack sa plateforme et ses bases de données sur Amazon Web Services (AWS). AWS exploite des centres de données sécurisés dans le monde entier.

Le tableau ci-dessous indique dans quels centres de données les différents serveurs de Physitrack hébergés.

PhysitrackEmplacement du centre de données
ae.physitrack.comAbu Dhabi / Dubaï Sud, Émirats arabes unis
au.physitrack.comSydney, Australie
br.physitrack.comSao Paulo, Brésil
ca.physitrack.comMontréal, Canada
ch.physitrack.comZurich, Suisse
de.physitrack.comFrancfort, Allemagne
es.physitrack.comFrancfort, Allemagne
fi.physitrack.comStockholm, Suède
fr.physitrack.comFrancfort, Allemagne
id.physitrack.comSingapour
ie.physitrack.comDublin, Irlande
il.physitrack.comMilan, Italie
nl.physitrack.comFrancfort, Allemagne
nz.physitrack.comSydney, Australie
pl.physitrack.comFrancfort, Allemagne
se.physitrack.comStockholm, Suède
uk.physitrack.comLondres, Royaume-Uni
nous.physitrack.comVirginie du Nord, États-Unis
Les sauvegardes sont stockées dans la même juridiction que le centre de données concerné.

Contrôles de sécurité

Priorité à la protection des données

Nous demandons et stockons le moins de données possible et avons conçu notre plateforme et nos opérations conformément aux principes stricts du GDPR de l'UE. Les sous-traitants non européens sont soumis à des clauses contractuelles types.

Cryptage des données hors et en utilisation

Toutes les données envoyées vers et depuis notre plateforme sont cryptées en transit et cryptées au repos. Voir notre score SSL Labs. Tous les médias entre le client et le serveur utilisent des protocoles standard (DTLS/SRTP) cryptés avec AES 256 bits. Le cryptage TLS est utilisé pour les courriels entrants et sortants.

Conformité HIPAA

En plus de tous les contrôles qui protègent la confidentialité, l'intégrité et la disponibilité des renseignements médicaux personnels, nous avons mis en place des accords d'accréditation avec les tiers et les sous-traitants qui ont accès aux renseignements médicaux personnels.

Confidentialité et notre équipe

L'accès aux données des patients est sévèrement limité, et toute personne ou partie qui a (potentiellement) accès aux données des patients est liée par des accords de confidentialité.

Stockage local dans les pays/régions

Physitrack exploite des plateformes physiquement isolées dans différents centres de données à travers le monde afin d'éviter autant que possible les fuites de données en dehors des juridictions.

Audits de sécurité
  • Chaque année, nous faisons appel à un tiers accrédité pour effectuer des tests de pénétration en boîte grise sur notre plateforme. Il s'agit notamment de tester les vulnérabilités par rapport aux menaces de l'OWASP.
  • Chaque semaine, un tiers indépendant analyse notre plateforme à la recherche de vulnérabilités connues.
    Toute vulnérabilité découverte est traitée en priorité, résolue et déployée dès que possible après sa découverte.
Sécurité des réseaux
  • L'architecture de sécurité de notre réseau se compose de plusieurs zones de sécurité. Nous surveillons et protégeons notre réseau pour nous assurer qu'aucun accès non autorisé n'est effectué en utilisant :

    - un nuage privé virtuel (VPC) ;
    - un hôte bastion ou VPN avec des listes de contrôle d'accès au réseau (ACL) et aucune adresse IP publique ;
    - un pare-feu qui surveille et contrôle le trafic réseau entrant et sortant ;
    - le filtrage d'adresses IP.
Sécurité physique

Notre infrastructure est hébergée au sein d'AWS. Les contrôles liés à la sécurité physique et environnementale de nos serveurs, qui comprennent les bâtiments, les serrures ou les clés utilisées sur les portes, sont gérés par AWS: "L'accès physique est strictement contrôlé à la fois au périmètre et aux points d'entrée des bâtiments par un personnel de sécurité professionnel. Le personnel autorisé doit se soumettre à une authentification à deux facteurs au moins deux fois pour accéder aux étages du centre de données".

Aucune information de paiement stockée

Nous accordons la plus grande importance à la protection de votre vie privée. Dans le cadre de notre engagement à protéger vos données, nous ne stockons aucune information bancaire ou de carte de crédit sur nos serveurs. Nous faisons appel à des services de paiement tiers certifiés PCI-DSS pour traiter toutes les transactions. Ce sont des leaders du secteur en matière de sécurité et de conformité des paiements, ce qui garantit que vos informations de paiement sont traitées de manière sûre et efficace.
Pour le traitement des paiements, nous utilisons les services de confiance suivants :

  • Adyen est un service de paiement de premier plan connu pour sa technologie avancée et sa conformité aux normes PCI-DSS. Vous pouvez consulter ses pratiques en matière de protection de la vie privée sur sa page consacrée à la politique de confidentialité.
  • Stripe est une plateforme de paiement mondialement reconnue pour ses mesures de sécurité robustes et sa conformité aux normes PCI-DSS. Vous pouvez en savoir plus sur leurs pratiques en matière de protection de la vie privée en visitant leur page sur la politique de confidentialité.
  • GoCardless est spécialisé dans les paiements par prélèvement automatique et adhère aux normes de sécurité les plus strictes. Des informations détaillées sur leur politique de protection des données et de la vie privée sont disponibles sur leur page de politique de confidentialité.
  • Chargebee offre une plateforme complète de facturation d'abonnements avec des protocoles de sécurité robustes. Veuillez consulter leur politique de confidentialité pour plus de détails sur la manière dont Chargebee traite vos données.

Notre engagement en faveur de la sécurité de vos données est encore renforcé par nos partenariats avec ces services de confiance réputés. Ensemble, nous mettons en œuvre un ensemble complet de mesures de sécurité, garantissant que vos informations financières sont gérées avec le plus grand soin et la plus grande sécurité.

Cycle de vie du développement sécurisé

Le code est sous contrôle de version (Git) et les fonctionnalités/corrections sont développées dans des branches séparées. Avant d'être examiné par un pair, le code doit passer des milliers de tests automatisés et est analysé pour détecter les problèmes de sécurité connus. Le correctif/la fonctionnalité est ensuite testé manuellement (QA) et fusionné avec la branche principale du code. Nous disposons d'environnements de test, d'essai et de production distincts.

Existe-t-il des cours gratuits ?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Est-ce que je reçois des certificats ?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Comment postuler en tant qu'instructeur ?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

S'agit-il d'une leçon interactive ?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Existe-t-il des cours gratuits ?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Est-ce que je reçois des certificats ?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Comment postuler en tant qu'instructeur ?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

S'agit-il d'une leçon interactive ?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Une communication responsable

Le groupe Physitrack s'engage à maintenir les plus hauts standards de sécurité et de confidentialité pour ses utilisateurs. Nous apprécions le soutien de la communauté de la sécurité dans l'identification responsable des vulnérabilités potentielles de notre plateforme.

Signaler une vulnérabilité

Si vous pensez avoir découvert une faille de sécurité dans nos systèmes, nous vous encourageons à nous la signaler à l'adresse suivante security@physitrack.com. Veuillez fournir le plus de détails possible pour nous aider à enquêter et à résoudre le problème de manière efficace.

Questions de sécurité : 24 heures 72 heures

Pour des questions d'ordre général

Notre engagement

  • Nous accuserons réception de votre rapport dans les plus brefs délais et nous vous tiendrons informé tout au long du processus de remédiation.
  • Nous traiterons votre rapport de manière confidentielle et ne divulguerons pas votre identité sans votre consentement.
  • Nous n'engagerons pas de poursuites judiciaires à votre encontre si vous agissez de bonne foi et suivez les principes de la divulgation responsable.‍

Champ d'application

Cette politique s'applique aux vulnérabilités des services hébergés dans les domaines Physitrack et Champion Health. Les vulnérabilités des services tiers doivent être signalées directement à ces fournisseurs.

Hors champ d'application

  • Ingénierie sociale des employés ou des contractants de Physitrack
    Attaques physiques ou tentatives d'intrusion physique
  • Attaques par déni de service (DoS) ou tests de force brute