Kontrola bezpieczeństwa

Centrum zaufania i bezpieczeństwa

Grupa Physitrack traktuje bezpieczeństwo i prywatność danych priorytetowo, oferując globalne rozwiązania w zakresie opieki zdrowotnej i dobrego samopoczucia z silnymi środkami ochrony danych.

Zachowaj prywatność swoich prywatnych informacji

Odkryj kroki, które podejmujemy i funkcje, które oferujemy, aby zabezpieczyć Twoje dane i zapewnić ich ochronę.

Nasze zabezpieczenia spełniają najwyższe standardy

Dowiedz się, jak nasz wewnętrzny zespół ds. bezpieczeństwa podchodzi do bezpieczeństwa informacji i wzmacnia nasz produkt.

Atesty klasy korporacyjnej potwierdzają nasze mechanizmy kontroli bezpieczeństwa

Zapoznaj się z atestami i certyfikatami, które zapewniają bezpieczeństwo danych naszych użytkowników.

Dwie wiodące marki, jedna zaufana platforma

Cyfrowa platforma do fizjoterapii i rehabilitacji łącząca pacjentów z licencjonowanymi lekarzami. Zapewnia przepisywanie ćwiczeń, śledzenie postępów i rozwiązania telezdrowia dla schorzeń układu mięśniowo-szkieletowego.

*Physitrack jest zarejestrowany w brytyjskim urzędzie ds. informacji pod numerem ZA396165.

Kompleksowa platforma dobrego samopoczucia w miejscu pracy wspierająca zdrowie psychiczne pracowników, dobre samopoczucie fizyczne i usługi medycyny pracy dla organizacji każdej wielkości.

* Champion Health jest zarejestrowana w brytyjskim urzędzie ds . informacji pod numerem ZA525188.

Zarządzanie bezpieczeństwem i przywództwo

Nasz zespół ds. bezpieczeństwa korzysta z najlepszych ram branżowych i ciągłego monitorowania w celu zapewnienia wzorowych praktyk bezpieczeństwa. Zaangażowanie kierownictwa w doskonałość w zakresie bezpieczeństwa sprzyja kulturze ochrony i zgodności. Zapewniamy regularne szkolenia w zakresie bezpieczeństwa i mamy jasno określone role w zakresie dostępu do danych i ich ochrony.

Zarządzanie podatnościami
  • Praktyki bezpiecznego cyklu życia oprogramowania (SDLC).
  • Proaktywne wykrywanie, priorytetyzacja (CVE, punktacja CVSS) i usuwanie luk w zabezpieczeniach.
  • Regularne testy penetracyjne przeprowadzane przez strony trzecie, z podsumowaniami audytów dostępnymi na żądanie.

Bezpieczeństwo infrastruktury

Solidna architektura bezpieczeństwa z wykrywaniem zagrożeń, segmentacją sieci i bieżącą oceną luk w zabezpieczeniach.

Bezpieczeństwo infrastruktury (AWS)
  • Bezpieczny hosting AWS z centrami danych z certyfikatami ISO 27001 i SOC 2.
  • Zdecentralizowana architektura zwiększająca odporność i odporność na awarie.
  • Codzienne szyfrowane kopie zapasowe przechowywane bezpiecznie w wielu regionach geograficznych.
  • Stan usługi dostępny online w czasie rzeczywistym.
  • Nasza infrastruktura jest hostowana w AWS, który zarządza fizycznymi i środowiskowymi kontrolami bezpieczeństwa.

Bezpieczeństwo sieci

Nasze zabezpieczenia sieciowe obejmują segmentację, zapory ogniowe i wykrywanie zagrożeń. Używamy zautomatyzowanego CSPM dla bezpieczeństwa chmury i stale monitorujemy zagrożenia.

Bezpieczeństwo aplikacji

Nasze środki antysabotażowe, takie jak zaciemnianie kodu i kontrole integralności, zapobiegają nieautoryzowanemu dostępowi. Regularne audyty i testy penetracyjne zapewniają zgodność ze standardami OWASP i NIST.

Zarządzanie podatnościami

Utrzymujemy bezpieczeństwo poprzez bezpieczny cykl życia oprogramowania (SDLC), identyfikując i eliminując luki w zabezpieczeniach za pomocą CVE i CVSS. Regularnie przeprowadzane są testy penetracyjne innych firm, a podsumowania audytów są dostępne na żądanie.

Bezpieczeństwo płatności

Płatności są bezpiecznie przetwarzane za pośrednictwem usług zewnętrznych zgodnych z PCI-DSS, bez wewnętrznego przechowywania danych płatności.

Szyfrowanie danych

Dane są szyfrowane podczas transmisji przy użyciu TLS 1.2+ i w spoczynku przy użyciu AES-256. Zapewniamy kompleksowe szyfrowanie między urządzeniami a chmurą.

Kontrola dostępu i uwierzytelnianie

Używamy kontroli dostępu opartej na rolach (RBAC), aby ograniczyć dostęp użytkowników do niezbędnych informacji. Uwierzytelnianie wieloskładnikowe (MFA) dodaje dodatkową warstwę bezpieczeństwa.

Zgodność z przepisami i certyfikaty

Kompleksowa zgodność z międzynarodowymi standardami, w tym certyfikatami GDPR, HIPAA i ISO 27001. Regularne audyty i oceny przeprowadzane przez strony trzecie zapewniają ciągłe przestrzeganie najwyższych standardów bezpieczeństwa i prywatności.

Grupa Physitrack posiada wdrożony SZBI, w ramach którego wyznaczone zostały stanowiska kierownika ds. bezpieczeństwa informacji oraz inspektora ochrony danych. Spełnianie przez nas wymogów ISO zostało potwierdzone przez niezależne audyty i jest poparte certyfikatami ISO27001 (bezpieczeństwo informacji) i ISO27018 (ochrona danych w chmurze).

Ochrona danych i prywatność

Zaawansowane szyfrowanie, bezpieczne przetwarzanie danych i kompleksowa kontrola prywatności chronią wrażliwe informacje na każdym etapie. Przejrzyste praktyki w zakresie prywatności z kontrolą użytkownika nad wykorzystaniem danych i jasnymi mechanizmami zgody na wszystkie działania związane z przetwarzaniem.

Przegląd ochrony danych

Grupa Physitrack dąży do przejrzystości i ścisłego przestrzegania globalnych przepisów o ochronie danych, zapewniając poszanowanie praw użytkowników na wszystkich platformach. Ochrona danych osobowych i informacji o zdrowiu jest naszym podstawowym obowiązkiem i budujemy zaufanie naszych użytkowników.

Przechowywanie danych i środki bezpieczeństwa

  • Dane przechowywane bezpiecznie w środowiskach AWS, szyfrowane (standard szyfrowania AES-256).
  • Zgodna geograficznie pamięć masowa zapewniająca regionalną rezydencję danych.
  • Bezpieczne kopie zapasowe wykonywane regularnie, szyfrowane i przechowywane w oddzielnych lokalizacjach.

Przetwarzanie danych i kategorie danych

Grupa Physitrack przetwarza dane osobowe i dane dotyczące zdrowia należące do kategorii specjalnych wyłącznie w celu świadczenia bezpiecznych, skutecznych usług opieki zdrowotnej i dobrego samopoczucia. Rodzaje przetwarzanych danych różnią się nieznacznie w zależności od naszych dwóch produktów, Physitrack i Champion Health.

Pełne zestawienie kategorii przetwarzanych danych można znaleźć w naszych szczegółowych umowach o przetwarzaniu danych (DPA).

Uwaga: Jesteśmy zarejestrowani zgodnie z prawem brytyjskim i zarejestrowani w ICO (Biurze Komisarza ds. Informacji). Mamy klientów w ponad 100 krajach. Z tych powodów nasze umowy DPA są dostępne wyłącznie w języku angielskim.

Naszymi organami ochrony danych są:

  • W pełni zgodny z RODO, brytyjskim RODO i odpowiednimi przepisami międzynarodowymi.
  • Wspierane przez rygorystyczne audyty podprocesorów i kontrole zgodności.
  • Zaprojektowany w celu zapewnienia pełnej przejrzystości i praw klienta, w tym sprzeciwu wobec zmian podprocesora.

Prawa użytkownika i przejrzystość

  • Pełne zarządzanie prawami użytkowników: dostęp, korekta, usuwanie.
  • Przejrzyste zasady i procedury wyszczególnione w informacjach o ochronie prywatności i warunkach świadczenia usług.

Przechowywanie i usuwanie danych

  • Dane przechowywane tylko w razie potrzeby zgodnie ze szczegółowymi zasadami przechowywania.
  • Automatyczne bezpieczne usuwanie danych po okresie ich przechowywania, poddawane zewnętrznemu audytowi.

Gdzie Physitrack dane?

Physitrack swoją platformę i bazy danych w ramach usługi Amazon Web Services (AWS). AWS prowadzi bezpieczne centra danych na całym świecie.

Poniższa tabela pokazuje, w których centrach danych Physitrack różne serwery Physitrack .

PhysitrackLokalizacja centrum danych
ae.physitrack.comAbu Zabi / Dubai South, Zjednoczone Emiraty Arabskie
au.physitrack.comSydney, Australia
br.physitrack.comSao Paulo, Brazylia
ca.physitrack.comMontreal, Kanada
ch.physitrack.comZurych, Szwajcaria
de.physitrack.comFrankfurt, Niemcy
es.physitrack.comFrankfurt, Niemcy
fi.physitrack.comSztokholm, Szwecja
fr.physitrack.comFrankfurt, Niemcy
id.physitrack.comSingapur
tj..physitrack.comDublin, Irlandia
it.physitrack.comMediolan, Włochy
nl.physitrack.comFrankfurt, Niemcy
nz.physitrack.comSydney, Australia
pl.physitrack.comFrankfurt, Niemcy
se.physitrack.comSztokholm, Szwecja
uk.physitrack.comLondyn, Wielka Brytania
nas.physitrack.comPółnocna Wirginia, Stany Zjednoczone
Kopie zapasowe są przechowywane w tej samej jurysdykcji, co odpowiednie centrum danych.

Kontrola bezpieczeństwa

Prywatność przede wszystkim

Pytamy i przechowujemy jak najmniej i zaprojektowaliśmy naszą platformę i operacje zgodnie z surowymi zasadami RODO UE. Podprzetwarzający spoza UE mają standardowe klauzule umowne.

Szyfrowanie danych podczas przesyłania i spoczynku

Wszystkie dane przesyłane do i z naszej platformy są szyfrowane w trakcie przesyłania i szyfrowane w spoczynku. Zobacz nasz wynik SSL Labs. Wszystkie media między klientem a serwerem używają standardowych protokołów (DTLS/SRTP) szyfrowanych 256-bitowym AES. Szyfrowanie TLS jest używane do przychodzących i wychodzących wiadomości e-mail.

Zgodność z HIPAA

Oprócz wszystkich kontroli, które chronią poufność, integralność i dostępność PHI, mamy zawarte umowy BAA ze stronami trzecimi i podwykonawcami, którzy mają dostęp do PHI.

Poufność i nasz zespół

Dostęp do danych pacjentów jest poważnie ograniczony, a każda osoba lub strona, która (potencjalnie) ma dostęp do danych pacjentów, jest związana umowami o zachowaniu poufności.

Lokalne przechowywanie w krajach/regionach

Physitrack uruchamia fizycznie odizolowane platformy w różnych centrach danych na całym świecie, aby uniknąć wycieku danych poza jurysdykcje w rozsądnym zakresie.

Audyty bezpieczeństwa
  • Każdego roku zatrudniamy akredytowaną firmę zewnętrzną do przeprowadzania testów penetracyjnych naszej platformy. Obejmuje to testowanie luk w zabezpieczeniach przed zagrożeniami OWASP
  • Co tydzień niezależna strona trzecia skanuje naszą platformę w poszukiwaniu znanych luk.
    Każda wykryta luka jest traktowana priorytetowo, usuwana i wdrażana jak najszybciej po jej wykryciu.
Bezpieczeństwo sieci
  • Nasza architektura bezpieczeństwa sieci składa się z wielu stref bezpieczeństwa. Monitorujemy i chronimy naszą sieć, aby upewnić się, że żaden nieautoryzowany dostęp nie jest wykonywany przy użyciu:

    - wirtualnej chmury prywatnej (VPC);
    - hosta bastionowego lub VPN z listami kontroli dostępu do sieci (ACL) i bez publicznych adresów IP;
    - zapory ogniowej, która monitoruje i kontroluje przychodzący i wychodzący ruch sieciowy;
    - filtrowanie adresów IP.
Bezpieczeństwo fizyczne

Nasza infrastruktura jest hostowana w AWS. Fizyczne i środowiskowe kontrole związane z bezpieczeństwem naszych serwerów, które obejmują budynki, zamki lub klucze używane w drzwiach, są zarządzane przez AWS: "Fizyczny dostęp jest ściśle kontrolowany zarówno na obwodzie, jak i w punktach wejścia do budynku przez profesjonalny personel ochrony. Upoważnieni pracownicy muszą przejść uwierzytelnianie dwuskładnikowe co najmniej dwa razy, aby uzyskać dostęp do pięter centrum danych".

Żadne informacje dotyczące płatności nie są przechowywane

Prywatność użytkowników ma dla nas ogromne znaczenie. W ramach naszego zobowiązania do ochrony danych użytkowników nie przechowujemy na naszych serwerach żadnych informacji bankowych ani informacji o kartach kredytowych. Zamiast tego polegamy na usługach płatniczych stron trzecich z certyfikatem PCI-DSS do obsługi wszystkich transakcji. Są to liderzy branży w zakresie bezpieczeństwa płatności i zgodności z przepisami, zapewniający bezpieczne i wydajne przetwarzanie informacji o płatnościach.
Do przetwarzania płatności wykorzystujemy następujące zaufane usługi:

  • Adyen to wiodąca usługa płatnicza znana z zaawansowanej technologii i zgodności ze standardami PCI-DSS. Możesz zapoznać się z ich praktykami dotyczącymi prywatności na stronie polityki prywatności.
  • Stripe to uznana na całym świecie platforma płatnicza znana z solidnych środków bezpieczeństwa i zgodności ze standardami PCI-DSS. Możesz dowiedzieć się więcej o ich praktykach dotyczących prywatności, odwiedzając ich stronę polityki prywatności.
  • GoCardless specjalizuje się w płatnościach za pomocą polecenia zapłaty i przestrzega najwyższych standardów bezpieczeństwa. Szczegółowe informacje na temat ochrony danych i polityki prywatności można znaleźć na stronie polityki prywatności.
  • Chargebee oferuje kompleksową platformę do rozliczania subskrypcji z solidnymi protokołami bezpieczeństwa. Więcej informacji na temat sposobu przetwarzania danych przez Chargebee można znaleźć w ich polityce prywatności.

Nasze zaangażowanie w bezpieczeństwo danych jest dodatkowo wzmacniane przez współpracę z tymi renomowanymi, zaufanymi usługami. Wspólnie wdrażamy kompleksową gamę środków bezpieczeństwa, zapewniając, że informacje finansowe są zarządzane z najwyższą starannością i bezpieczeństwem.

Bezpieczny Cykl Rozwoju

Stosujemy najlepsze w branży procesy rozwoju zarówno dla naszych aplikacji, jak i infrastruktury. Kod jest pod kontrolą wersji (Git), a funkcje / poprawki są opracowywane w oddzielnych gałęziach. Przed sprawdzeniem przez współpracownika kod musi przejść tysiące zautomatyzowanych testów i jest skanowany pod kątem znanych błędów bezpieczeństwa. Poprawka / funkcja jest następnie ręcznie testowana (QA) i scalana z główną gałęzią kodu. Mamy oddzielne środowiska testowe, przejściowe i produkcyjne.

Czy są jakieś darmowe kursy?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Czy otrzymam certyfikaty?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Jak aplikować na stanowisko instruktora?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Czy są to lekcje interaktywne?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Czy są jakieś darmowe kursy?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Czy otrzymam certyfikaty?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Jak aplikować na stanowisko instruktora?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Czy są to lekcje interaktywne?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Odpowiedzialne ujawnianie

Grupa Physitrack dokłada wszelkich starań, aby utrzymać najwyższe standardy bezpieczeństwa i prywatności naszych użytkowników. Doceniamy wsparcie społeczności bezpieczeństwa w odpowiedzialnym identyfikowaniu potencjalnych luk w zabezpieczeniach naszej platformy.

Zgłaszanie podatności

Jeśli uważasz, że odkryłeś lukę w zabezpieczeniach naszych systemów, zachęcamy do zgłoszenia nam tego pod adresem security@physitrack.com. Prosimy o podanie jak największej liczby szczegółów, aby pomóc nam w skutecznym zbadaniu i rozwiązaniu problemu.

Kwestie bezpieczeństwa: 24 godziny | Żądania ochrony prywatności: 72 godziny

Nasze zaangażowanie

  • Niezwłocznie potwierdzimy Twoje zgłoszenie i będziemy informować Cię na bieżąco podczas całego procesu naprawy.
  • Będziemy traktować zgłoszenie poufnie i nie ujawnimy tożsamości użytkownika bez jego zgody.
  • Nie będziemy podejmować działań prawnych przeciwko użytkownikowi, jeśli działa on w dobrej wierze i przestrzega zasad odpowiedzialnego ujawniania informacji.‍

Zakres

Niniejsza polityka dotyczy luk w zabezpieczeniach usług hostowanych w domenach Physitrack i Champion Health. Luki w zabezpieczeniach usług stron trzecich powinny być zgłaszane bezpośrednio do tych dostawców.

Poza zakresem

  • Inżynieria społeczna pracowników lub wykonawców Physitrack
    Fizyczne ataki lub próby fizycznego włamania
  • Ataki typu odmowa usługi (DoS) lub testy siłowe