Controles de segurança

Centro de Confiança e Segurança

O Grupo Physitrack dá prioridade à segurança e privacidade dos seus dados, oferecendo soluções globais de saúde e bem-estar com fortes medidas proteção de dados.

Mantenha a privacidade das suas informações em sigilo

Conheça as medidas que tomamos e as funcionalidades que oferecemos para salvaguardar os seus dados e manter as suas informações protegidas.

A nossa segurança é construída de acordo com os mais elevados padrões

Saiba como a nossa equipe de segurança interna aborda a segurança das informações e reforça o nosso produto.

Os atestados de nível empresarial validam os nossos controles de segurança

Veja os atestados e certificações que garantem que os dados dos nossos usuários estejam seguros e protegidos.

Duas marcas líderes, uma plataforma de confiança

Plataforma digital de fisioterapia e reabilitação que liga pacientes a profissionais licenciados. Fornece prescrição de exercícios, acompanhamento do progresso do paciente e soluções Telessaúde para doenças musculoesqueléticas.

*A Physitrack está registrada no Gabinete do Comissário de Informação do Reino Unido com o número ZA396165.

Plataforma abrangente de bem-estar no local de trabalho que apoia a saúde mental dos funcionários, o bem-estar físico e os serviços de saúde ocupacional para organizações de todas as dimensões.

* A Champion Health está registrada no Gabinete do Comissário para a Informação do Reino Unido com o número ZA525188.

Governança e liderança em segurança

A nossa equipe segurança utiliza as melhores estruturas da indústria e monitorização contínua para garantir protocolos de segurança exemplares. O compromisso da Leadership com a excelência em segurança promove uma cultura de proteção e conformidade. Oferecemos formação regular em segurança e temos funções claras para o acesso e proteção de dados.

Gestão de vulnerabilidades
  • Práticas de ciclo de vida de desenvolvimento seguro (SDLC).
  • Deteção proativa, definição de prioridades (pontuação CVE, CVSS) e correção de vulnerabilidades.
  • Testes de penetração regulares efetuados por terceiros, com resumos de auditoria disponíveis mediante solicitação.

Segurança das infraestruturas

Arquitetura de segurança robusta com deteção de ameaças, segmentação de redes e avaliações contínuas de vulnerabilidades.

Segurança das infraestruturas (AWS)
  • Alojamento AWS seguro com centros de dados com certificação ISO 27001 e SOC 2.
  • Arquitetura descentralizada para aumentar a resiliência e a tolerância a falhas.
  • Cópias de segurança criptografadas diárias armazenadas de forma segura em várias regiões geográficas.
  • Status de integridade do serviço em tempo real disponível online.
  • A nossa infraestrutura está alojada no AWS, que gerencia os controles de segurança física e ambiental.

Segurança de rede

A nossa segurança de rede inclui segmentação, firewalls e detecção de ameaças. Utilizamos CSPM automatizado para a segurança da nuvem e monitorização contínua de ameaças.

Segurança das aplicações

As nossas medidas anti-manipulação, como a ofuscação de código e as verificações de integridade, impedem o acesso não autorizado. Auditorias regulares e testes de penetração garantem a conformidade com as normas OWASP e NIST.

Gestão de vulnerabilidades

Mantemos a segurança através de um ciclo de vida de desenvolvimento seguro (SDLC), identificando e resolvendo vulnerabilidades utilizando a pontuação CVE e CVSS. São efetuados testes de penetração regulares por terceiros, com resumos de auditoria disponíveis mediante solicitação.

Segurança dos pagamentos

Os pagamentos são processados de forma segura através de serviços de terceiros compatíveis com PCI-DSS, sem armazenamento interno de dados de pagamento.

Criptografia de dados

Os dados são criptografados durante a transmissão com TLS 1.2+ e em repouso com AES-256. Garantimos a encriptação de ponta a ponta entre os dispositivos e a nuvem.

Controle de acesso e autenticação

Utilizamos o controle de acesso baseado em funções (RBAC) para limitar o acesso usuário às informações necessárias. A autenticação multifator (MFA) acrescenta uma camada de segurança adicional.

Conformidade e certificações

Conformidade abrangente com as normas internacionais, incluindo as certificações GDPR, HIPAA e ISO 27001. Auditorias e avaliações regulares de terceiros garantem a adesão contínua aos mais elevados padrões de segurança e privacidade.

O Grupo Physitrack tem um ISMS em vigor, com funções de Gerente de Segurança da Informação e Oficial de proteção de Dados nomeados. A nossa adesão aos requisitos ISO foi confirmada pelas auditorias independentes e é apoiada pelos certificados ISO27001 (Segurança da Informação) e ISO27018 ( proteção de dados na Cloud).

Proteção de dados e privacidade

A criptografia avançada, o processamento seguro de dados e os controles de privacidade abrangentes protegem as informações sensíveis em todas as fases. Políticas de privacidade transparentes com controle do usuário sobre a utilização dos dados e mecanismos de consentimento claros para todas as atividades de processamento.

Visão geral da proteção de dados

O Grupo Physitrack está comprometido com a transparência e a adesão estrita aos regulamentos globais proteção de dados, garantindo que os direitos usuário sejam respeitados em todas as plataformas. Priorizamos a proteção de informação pessoal e de saúde como uma responsabilidade fundamental, construindo confiança com os nossos usuários.

Armazenamento de dados e medidas de segurança

  • Dados armazenados de forma segura em ambientes AWS, criptografados (norma de encriptação AES-256).
  • Armazenamento geograficamente compatível, garantindo a residência regional dos dados.
  • Realização regular de cópias de segurança seguras, criptografadas e armazenadas em locais separados.

Processamento de dados e categorias de dados

O Grupo Physitrack processa dados de saúde pessoais e de categorias especiais estritamente com o objetivo de fornecer serviços de saúde e bem-estar seguros e eficazes. Os tipos de dados processados variam ligeiramente entre os nossos dois produtos, Physitrack e Champion Health.

Para uma discriminação completa das categorias de dados processados, consulte os nossos acordos de processamento de dados (DPA) detalhados.

Nota: Estamos constituídos ao abrigo da legislação do Reino Unido e registrados no ICO (Information Commissioner's Office). Temos clientes em mais de 100 países. Por estas razões, os nossos DPAs estão disponíveis apenas em inglês.

As nossas DPAs são:

  • Totalmente alinhado com o RGPD, o RGPD do Reino Unido e os regulamentos internacionais relevantes.
  • Apoiado por auditorias rigorosas dos subprocessadores e verificações de conformidade.
  • Projetado para garantir total transparência e os direitos dos clientes, incluindo a objeção a alterações do subcontratante.

Direitos do usuário e Transparência

  • Gestão completa dos direitos do usuário: acesso, correção, eliminação.
  • Políticas e procedimentos transparentes, claramente descritos em avisos de privacidade e termos de serviço.

Retenção e eliminação de dados

  • Os dados são mantidos apenas quando necessário, de acordo com políticas de conservação detalhadas.
  • Eliminação segura automática após períodos de retenção, auditada externamente.

Onde é que a Physitrack processa os dados?

A Physitrack opera a sua plataforma e bases de dados na Amazon Web Services (AWS). A AWS opera centros de dados seguros em todo o mundo.

A tabela abaixo mostra em quais centros de dados os vários servidores da Physitrack são executados.

PhysitrackLocalização do centro de dados
ae.physitrack.comAbu Zabi / Dubai Sul, Emirados Árabes Unidos
au.physitrack.comSydney, Austrália
br.physitrack.comSão Paulo, Brasil
ca.physitrack.comMontreal, Canadá
ch.physitrack.comZurique, Suíça
de.physitrack.comFrankfurt, Alemanha
es.physitrack.comFrankfurt, Alemanha
fi.physitrack.comEstocolmo, Suécia
fr.physitrack.comFrankfurt, Alemanha
id.physitrack.comSingapura
ie.physitrack.comDublin, Irlanda
it.physitrack.comMilão, Itália
nl.physitrack.comFrankfurt, Alemanha
nz.physitrack.comSydney, Austrália
pl.physitrack.comFrankfurt, Alemanha
se.physitrack.comEstocolmo, Suécia
uk.physitrack.comLondres, Reino Unido
nós.physitrack.comVirgínia do Norte, EUA
As cópias de segurança são armazenadas na mesma jurisdição do centro de dados aplicável.

Controles de segurança

Privacidade primeiro

Pedimos e armazenamos o mínimo possível e criamos a nossa plataforma e operações em conformidade com os princípios rigorosos do RGPD da UE. Os subprocessadores de fora da UE têm cláusulas contratuais padrão em vigor.

Criptografia de dados em trânsito e em repouso

Todos os dados enviados de e para a nossa plataforma são criptografados em trânsito e criptografados em repouso. Veja a nossa pontuação no SSL Labs. Todos os meios de comunicação entre o cliente e o servidor utilizam protocolos padrão (DTLS/SRTP) criptografados com AES de 256 bits. A encriptação TLS é utilizada para correio eletrônico de entrada e saída.

Compatível com HIPAA

Além de todos os controles que protegem a confidencialidade, a integridade e a disponibilidade da PHI, temos BAAs em vigor com terceiros e subcontratados que têm acesso à PHI.

Confidencialidade & a nossa equipe

O acesso aos dados do paciente é severamente restrito e qualquer pessoa ou parte que (potencialmente) tenha acesso aos dados do paciente está vinculada legalmente aos acordos de confidencialidade.

Armazenamento local em países / regiões

A Physitrack executa plataformas fisicamente isoladas em diferentes centros de dados em todo o mundo para evitar a fuga de dados para fora das jurisdições, tanto quanto razoavelmente possível.

Auditorias de segurança
  • Todos os anos, contratamos um terceiro acreditado para fazer testes de penetração de caixa cinzenta na nossa plataforma. Isto inclui testes de vulnerabilidades contra ameaças OWASP
  • Todas as semanas, uma empresa terceirizada e independente examina a nossa plataforma em busca de vulnerabilidades conhecidas.
    Qualquer vulnerabilidade descoberta é considerada prioritária, resolvida e implantada o mais rapidamente possível após a sua descoberta.
Segurança de rede
  • A nossa arquitetura de segurança de rede consiste em várias zonas de segurança. Monitorizamos e protegemos a nossa rede, para garantir que não é feito nenhum acesso não autorizado, utilizando:

    - uma nuvem privada virtual (VPC);
    - um host de base ou VPN com listas de controle de acesso à rede (ACL) e sem endereços IP públicos;
    - uma firewall que monitoriza e controla o tráfego de rede de entrada e saída;
    - filtragem de endereços IP.
Segurança física

A nossa infraestrutura está alojada no AWS. Os controles relacionados com a segurança física e ambiental dos nossos servidores, que incluem edifícios, fechaduras ou chaves utilizadas nas portas, são gerenciados pela AWS: "O acesso físico é rigorosamente controlado tanto no perímetro como nos pontos de entrada do edifício por pessoal de segurança profissional. O pessoal autorizado tem de passar por uma autenticação de dois fatores, no mínimo duas vezes, para acessar os andares dos centros de dados."

Nenhuma informação de pagamento armazenada

A sua privacidade é da maior importância para nós. Como parte do nosso compromisso de salvaguardar os seus dados, não armazenamos quaisquer informações bancárias ou de cartões de crédito nos nossos servidores. Em vez disso, confiamos em serviços de pagamento de terceiros certificados pelo PCI-DSS para tratar de todas as transações. Eles são líderes do setor de segurança e conformidade de pagamentos, garantindo que as suas informações de pagamento sejam processadas de forma segura e eficiente.
Para o processamento de pagamentos, utilizamos os seguintes serviços de confiança:

  • A Adyen é um serviço de pagamento líder conhecido pela sua tecnologia avançada e pela conformidade com as normas PCI-DSS. Você pode consultar as normas de privacidade na página da política de privacidade.
  • A Stripe é uma plataforma de pagamento reconhecida mundialmente, conhecida pelas suas medidas de segurança robustas e pela conformidade com as normas PCI-DSS. Você pode saber mais sobre os procedimentos de privacidade visitando a página da política de privacidade.
  • A GoCardless é especializada em pagamentos por débito direto e cumpre as mais elevadas normas de segurança. Informações pormenorizadas sobre os dados proteção e as políticas de privacidade podem ser encontradas na página da política de privacidade.
  • O Chargebee oferece uma plataforma abrangente de faturamento das assinaturas com protocolos de segurança robustos. Consulte a política de privacidade para obter mais informações sobre a forma como o Chargebee trata os seus dados.

O nosso compromisso com a segurança dos seus dados é ainda reforçado pelas nossas parcerias com estes serviços de confiança de renome. Em conjunto, implementamos um abrangente programa de medidas de segurança, assegurando que as suas informações financeiras são geridas com o máximo cuidado e segurança.

Ciclo de vida de desenvolvimento seguro

Utilizamos os melhores processos de desenvolvimento do setor tanto para nossos aplicativos quanto para nossa infraestrutura. O código está sob controle de versão (Git) e os recursos/correções são desenvolvidos em ramificações separadas. Antes de ser revisado por um colega, o código precisa passar por milhares de testes automatizados e é verificado quanto aos problemas de segurança conhecidos. A correção/recurso é então testada manualmente (QA) e mesclada à ramificação do código mestre. Temos ambientes separados de teste, preparação e produção.

Existem cursos gratuitos?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Recebo certificados?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Como candidatar-se a instrutor?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Trata-se de uma aula interativa?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Existem cursos gratuitos?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Recebo certificados?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Como candidatar-se a instrutor?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Trata-se de uma aula interativa?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Divulgação responsável

O Grupo Physitrack está empenhado em manter os mais altos padrões de segurança e privacidade para os nossos usuários. Nós valorizamos o apoio da comunidade de segurança na identificação responsável de potenciais vulnerabilidades em nossa plataforma.

Comunicar uma vulnerabilidade

Se você acredita ter descoberto uma vulnerabilidade de segurança nos nossos sistemas, comunique-a através de security@physitrack.com. Inclua o máximo de detalhes possível para nos ajudar a investigar e resolver o problema de forma eficiente.

Questões de segurança: 24 horas | Pedidos de privacidade: 72 horas

O nosso compromisso

  • Receberemos prontamente o seu relatório e lhe manteremos informado durante todo o processo de reparação.
  • Trataremos o seu relatório de forma confidencial e não divulgaremos a sua identidade sem o seu consentimento.
  • Não tomaremos medidas legais contra você se você agir de boa fé e seguir os princípios de divulgação responsável.‍

Escopo

Esta política aplica-se a vulnerabilidades em serviços alojados sob os domínios Physitrack e Champion Health. As vulnerabilidades em serviços de terceiros devem ser comunicadas diretamente a esses fornecedores.

Fora do escopo

  • Engenharia social de funcionários ou contratados Physitrack
    Ataques físicos ou tentativas de intrusão física
  • Ataques de negação de serviço (DoS) ou testes de força bruta