Controlli di sicurezza

Centro Fiducia e Sicurezza

Physitrack Group dà priorità alla sicurezza e alla privacy dei vostri dati, offrendo soluzioni globali per la salute e il benessere con forti misure di protezione dei dati.

Mantenere la riservatezza delle informazioni private

Scoprite le misure che adottiamo e le funzioni che offriamo per salvaguardare i vostri dati e proteggere le vostre informazioni.

La nostra sicurezza è costruita secondo gli standard più elevati

Scoprite come il nostro team di sicurezza interno affronta la sicurezza delle informazioni e rafforza il nostro prodotto.

Gli attestati di livello aziendale convalidano i nostri controlli di sicurezza

Consultate le attestazioni e le certificazioni che garantiscono la sicurezza dei dati dei nostri utenti.

Due marchi leader, una piattaforma affidabile

Piattaforma digitale per la fisioterapia e la riabilitazione che mette in contatto i pazienti con professionisti autorizzati. Fornisce la prescrizione di esercizi, il monitoraggio dei progressi e soluzioni di teleassistenza per le condizioni muscoloscheletriche.

*Physitrack è registrato presso l'Information Commissioner's Office del Regno Unito con il numero ZA396165.

Piattaforma completa per il benessere sul posto di lavoro che supporta la salute mentale dei dipendenti, il benessere fisico e i servizi di salute sul lavoro per le organizzazioni di tutte le dimensioni.

* Champion Health è registrata presso l'Information Commissioner's Office del Regno Unito con il numero ZA525188.

Governance e leadership della sicurezza

Il nostro team di sicurezza si avvale dei migliori framework di settore e di un monitoraggio continuo per garantire pratiche di sicurezza esemplari. L'impegno della leadership per l'eccellenza della sicurezza promuove una cultura di protezione e conformità. Forniamo una formazione regolare sulla sicurezza e abbiamo ruoli chiari per l'accesso e la protezione dei dati.

Gestione delle vulnerabilità
  • Pratiche del ciclo di vita dello sviluppo sicuro (SDLC).
  • Rilevamento proattivo, definizione delle priorità (CVE, CVSS scoring) e correzione delle vulnerabilità.
  • Regolari test di penetrazione di terze parti, con riepiloghi di audit disponibili su richiesta.

Sicurezza dell'infrastruttura

Robusta architettura di sicurezza con rilevamento delle minacce, segmentazione della rete e valutazioni continue delle vulnerabilità.

Sicurezza dell'infrastruttura (AWS)
  • Hosting AWS sicuro con data center certificati ISO 27001 e SOC 2.
  • Architettura decentralizzata per migliorare la resilienza e la tolleranza ai guasti.
  • Backup giornalieri crittografati archiviati in modo sicuro in più regioni geografiche.
  • Stato di salute del servizio in tempo reale disponibile online.
  • La nostra infrastruttura è ospitata su AWS, che gestisce i controlli di sicurezza fisici e ambientali.

Sicurezza di rete

La nostra sicurezza di rete comprende segmentazione, firewall e rilevamento delle minacce. Utilizziamo un CSPM automatizzato per la sicurezza del cloud e monitoriamo continuamente le minacce.

Sicurezza delle applicazioni

Le nostre misure anti-manomissione, come l'offuscamento del codice e i controlli di integrità, impediscono l'accesso non autorizzato. Audit e test di penetrazione regolari garantiscono la conformità agli standard OWASP e NIST.

Gestione delle vulnerabilità

Manteniamo la sicurezza attraverso un ciclo di vita di sviluppo sicuro (SDLC), identificando e risolvendo le vulnerabilità utilizzando i punteggi CVE e CVSS. Vengono condotti regolarmente test di penetrazione di terze parti, con sintesi di audit disponibili su richiesta.

Sicurezza dei pagamenti

I pagamenti vengono elaborati in modo sicuro attraverso servizi di terze parti conformi agli standard PCI-DSS, senza archiviazione interna dei dati di pagamento.

Crittografia dei dati

I dati vengono crittografati durante la trasmissione con TLS 1.2+ e a riposo con AES-256. Garantiamo la crittografia end-to-end tra i dispositivi e il cloud.

Controllo degli accessi e autenticazione

Utilizziamo il controllo degli accessi basato sui ruoli (RBAC) per limitare l'accesso degli utenti alle informazioni necessarie. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza.

Conformità e certificazioni

Conformità completa agli standard internazionali, comprese le certificazioni GDPR, HIPAA e ISO 27001. Audit e valutazioni regolari da parte di terzi assicurano la continua aderenza ai più elevati standard di sicurezza e privacy.

Physitrack Group dispone di un ISMS, con la nomina dei ruoli di Information Security Manager e Data Protection Officer. La nostra adesione ai requisiti ISO è stata confermata da audit indipendenti ed è supportata dai certificati ISO27001 (sicurezza delle informazioni) e ISO27018 (protezione dei dati nel cloud).

Protezione dei dati e privacy

Crittografia avanzata, elaborazione sicura dei dati e controlli completi sulla privacy proteggono le informazioni sensibili in ogni fase. Pratiche di privacy trasparenti con controllo dell'utente sull'utilizzo dei dati e meccanismi di consenso chiari per tutte le attività di elaborazione.

Panoramica sulla protezione dei dati

Physitrack Group si impegna a garantire la trasparenza e la rigorosa osservanza delle normative globali sulla protezione dei dati, assicurando il rispetto dei diritti degli utenti su tutte le piattaforme. Diamo priorità alla protezione delle informazioni personali e sanitarie come responsabilità fondamentale, costruendo fiducia con i nostri utenti.

Conservazione dei dati e misure di sicurezza

  • Dati archiviati in modo sicuro all'interno degli ambienti AWS, crittografati (standard di crittografia AES-256).
  • Archiviazione geograficamente conforme che garantisce la residenza dei dati a livello regionale.
  • Backup sicuri eseguiti regolarmente, crittografati e archiviati in luoghi separati.

Trattamento dei dati e categorie di dati

Il Gruppo Physitrack tratta i dati sanitari personali e di categoria speciale esclusivamente allo scopo di fornire servizi sanitari e di benessere sicuri ed efficaci. I tipi di dati trattati variano leggermente tra i nostri due prodotti, Physitrack e Champion Health.

Per una ripartizione completa delle categorie di dati trattati, si rimanda ai nostri accordi dettagliati sul trattamento dei dati (DPA).

Nota: Siamo costituiti secondo la legge del Regno Unito e siamo registrati presso l'ICO (Information Commissioner's Office). Abbiamo clienti in più di 100 paesi. Per questi motivi, le nostre DPA sono disponibili solo in inglese.

Le nostre DPA sono:

  • Completamente allineato al GDPR, al GDPR del Regno Unito e alle normative internazionali pertinenti.
  • Supportato da rigorosi audit dei subprocessori e controlli di conformità.
  • Progettato per garantire la piena trasparenza e i diritti del cliente, compresa l'obiezione alle modifiche del subprocessore.

Diritti degli utenti e trasparenza

  • Gestione completa dei diritti degli utenti: accesso, correzione, cancellazione.
  • Politiche e procedure trasparenti, chiaramente descritte nelle informative sulla privacy e nei termini di servizio.

Conservazione e cancellazione dei dati

  • I dati vengono conservati solo se necessario secondo le politiche di conservazione dettagliate.
  • Eliminazione automatica e sicura dopo i periodi di conservazione, verificata esternamente.

Dove vengono Physitrack i dati Physitrack ?

Physitrack la propria piattaforma e i propri database su Amazon Web Services (AWS). AWS gestisce centri dati sicuri in tutto il mondo.

La tabella sottostante mostra in quali centri dati Physitrack gestiti i vari server di Physitrack .

PhysitrackUbicazione del centro dati
ae.physitrack.comAbu Dhabi / Dubai South, Emirati Arabi Uniti
au.physitrack.comSydney, Australia
br.physitrack.comSan Paolo, Brasile
ca.physitrack.comMontreal, Canada
ch.physitrack.comZurigo, Svizzera
de.physitrack.comFrancoforte, Germania
es.physitrack.comFrancoforte, Germania
fi.physitrack.comStoccolma, Svezia
fr.physitrack.comFrancoforte, Germania
id.physitrack.comSingapore
ie.physitrack.comDublino, Irlanda
it.physitrack.comMilano, Italia
nl.physitrack.comFrancoforte, Germania
nz.physitrack.comSydney, Australia
pl.physitrack.comFrancoforte, Germania
se.physitrack.comStoccolma, Svezia
uk.physitrack.comLondra, Regno Unito
noi.physitrack.comVirginia settentrionale, Stati Uniti
I backup sono archiviati nella stessa giurisdizione del centro dati applicabile.

Controlli di sicurezza

La privacy al primo posto

Chiediamo e memorizziamo il meno possibile e abbiamo progettato la nostra piattaforma e le nostre operazioni in linea con i rigorosi principi del GDPR dell'UE. I subprocessori non appartenenti all'UE dispongono di clausole contrattuali standard.

Crittografia dei dati in transito e inattivi

Tutti i dati inviati da e verso la nostra piattaforma sono crittografati in transito e a riposo. Vedere il nostro punteggio SSL Labs. Tutti i media tra il client e il server utilizzano protocolli standard (DTLS/SRTP) crittografati con AES a 256 bit. La crittografia TLS viene utilizzata per le e-mail in entrata e in uscita.

Conformità alle norme HIPAA

Oltre a tutti i controlli che proteggono la riservatezza, l'integrità e la disponibilità di PHI, disponiamo di BAAs con terze parti e subappaltatori che hanno accesso a PHI.

Riservatezza e il nostro team

L'accesso ai dati dei pazienti è severamente limitato e qualsiasi persona o parte che (potenzialmente) abbia accesso ai dati dei pazienti è vincolata da accordi di riservatezza.

Archiviazione locale in paesi / regioni

Physitrack gestisce piattaforme fisicamente isolate in diversi centri dati in tutto il mondo per evitare, per quanto ragionevolmente possibile, la fuga di dati al di fuori delle giurisdizioni.

Audit di sicurezza
  • Ogni anno incarichiamo una terza parte accreditata di eseguire test di penetrazione grey box sulla nostra piattaforma. Questo include la verifica delle vulnerabilità rispetto alle minacce OWASP
  • Ogni settimana, una terza parte indipendente analizza la nostra piattaforma alla ricerca di vulnerabilità note.
    Ogni vulnerabilità scoperta viene classificata come prioritaria, risolta e distribuita il prima possibile dopo la scoperta.
Sicurezza della rete
  • La nostra architettura di sicurezza di rete è costituita da più zone di sicurezza. Monitoriamo e proteggiamo la nostra rete, per assicurarci che non vengano effettuati accessi non autorizzati, utilizzando:

    - un cloud privato virtuale (VPC);
    - un bastion host o una VPN con liste di controllo degli accessi alla rete (ACL) e nessun indirizzo IP pubblico;
    - un firewall che monitora e controlla il traffico di rete in entrata e in uscita;
    - un filtro degli indirizzi IP.
Sicurezza fisica

La nostra infrastruttura è ospitata all'interno di AWS. I controlli relativi alla sicurezza fisica e ambientale dei nostri server, che comprendono gli edifici, le serrature o le chiavi delle porte, sono gestiti da AWS: "L'accesso fisico è strettamente controllato sia nel perimetro che nei punti di ingresso degli edifici da personale di sicurezza professionale. Il personale autorizzato deve superare l'autenticazione a due fattori almeno due volte per accedere ai piani del centro dati".

Nessuna informazione di pagamento memorizzata

La vostra privacy è di estrema importanza per noi. Come parte del nostro impegno a salvaguardare i vostri dati, non memorizziamo alcuna informazione bancaria o relativa alla carta di credito sui nostri server. Per la gestione di tutte le transazioni ci affidiamo invece a servizi di pagamento di terzi certificati PCI-DSS. Si tratta di aziende leader nel settore della sicurezza e della conformità dei pagamenti, che garantiscono un'elaborazione sicura ed efficiente delle informazioni di pagamento.
Per l'elaborazione dei pagamenti, utilizziamo i seguenti servizi di fiducia:

  • Adyen è un servizio di pagamento leader noto per la sua tecnologia avanzata e la conformità agli standard PCI-DSS. È possibile esaminare le sue pratiche in materia di privacy nella pagina dedicata all'informativa sulla privacy.
  • Stripe è una piattaforma di pagamento riconosciuta a livello mondiale, nota per le sue solide misure di sicurezza e la conformità agli standard PCI-DSS. Per saperne di più sulle sue pratiche in materia di privacy, visitate la pagina della sua informativa sulla privacy.
  • GoCardless è specializzata in pagamenti con addebito diretto e rispetta i più elevati standard di sicurezza. Informazioni dettagliate sulle politiche di protezione dei dati e della privacy sono disponibili nella pagina dedicata.
  • Chargebee offre una piattaforma completa per la fatturazione degli abbonamenti con solidi protocolli di sicurezza. Per maggiori dettagli sul trattamento dei dati da parte di Chargebee, consultare l'informativa sulla privacy.

Il nostro impegno per la sicurezza dei vostri dati è ulteriormente rafforzato dalla collaborazione con questi rinomati servizi di fiducia. Insieme, implementiamo una serie completa di misure di sicurezza, assicurando che le vostre informazioni finanziarie siano gestite con la massima cura e sicurezza.

Ciclo di vita dello sviluppo sicuro

Utilizziamo i migliori processi di sviluppo del settore sia per le nostre applicazioni che per la nostra infrastruttura. Il codice è sottoposto a controllo di versione (Git) e le funzionalità/funzioni sono sviluppate in rami separati. Prima di essere rivisto da un pari, il codice deve superare migliaia di test automatici e viene analizzato per individuare eventuali problemi di sicurezza noti. La correzione/funzione viene quindi testata manualmente (QA) e unita al ramo master del codice.Abbiamo ambienti di test, staging e produzione separati.

Ci sono corsi gratuiti?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Ricevo dei certificati?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Come candidarsi come Istruttore?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Si tratta di una lezione interattiva?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Ci sono corsi gratuiti?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Ricevo dei certificati?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Come candidarsi come Istruttore?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Si tratta di una lezione interattiva?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Divulgazione responsabile

Physitrack Group si impegna a mantenere i più alti standard di sicurezza e privacy per i propri utenti. Apprezziamo il supporto della comunità della sicurezza nell'identificare responsabilmente le potenziali vulnerabilità della nostra piattaforma.

Segnalazione di una vulnerabilità

Se ritenete di aver scoperto una vulnerabilità di sicurezza nei nostri sistemi, vi invitiamo a segnalarcela all'indirizzo security@physitrack.com. Vi preghiamo di includere il maggior numero di dettagli possibile per aiutarci a indagare e risolvere il problema in modo efficiente.

Problemi di sicurezza: 24 ore | Richieste di privacy: 72 ore

Per richieste di carattere generale

Il nostro impegno

  • La segnalazione verrà presa in considerazione tempestivamente e vi terremo informati durante il processo di bonifica.
  • Tratteremo il vostro rapporto in modo confidenziale e non riveleremo la vostra identità senza il vostro consenso.
  • Non intraprenderemo azioni legali contro di voi se agite in buona fede e seguite i principi della divulgazione responsabile.‍

Ambito di applicazione

Questa politica si applica alle vulnerabilità dei servizi ospitati nei domini Physitrack e Champion Health. Le vulnerabilità nei servizi di terze parti devono essere segnalate direttamente a tali fornitori.

Fuori campo

  • Ingegneria sociale di dipendenti o collaboratori di Physitrack
    Attacchi fisici o tentativi di intrusione fisica
  • Attacchi Denial of Service (DoS) o test di forza bruta