Säkerhetskontroller

Förtroende- och säkerhetscenter

Physitrack Group prioriterar säkerheten och integriteten för dina uppgifter och erbjuder globala lösningar för hälso- och sjukvård och välbefinnande med starka dataskyddsåtgärder.

Håll din privata information privat

Upptäck de åtgärder vi vidtar och de funktioner vi erbjuder för att skydda dina uppgifter och hålla din information skyddad.

Vår säkerhet är byggd enligt högsta standard

Läs om hur vårt interna säkerhetsteam arbetar med informationssäkerhet och hur de stärker vår produkt.

Attester av företagsklass validerar våra säkerhetskontroller

Se de intyg och certifieringar som säkerställer att våra användares data är trygga och säkra.

Två ledande varumärken, en pålitlig plattform

Digital plattform för fysioterapi och rehabilitering som kopplar ihop patienter med legitimerade fysioterapeuter. Erbjuder träningsprogram, uppföljning av framsteg och telemedicinska lösningar för muskuloskeletala besvär.

*Physitrack är registrerat hos United Kingdom Information Commissioner's Office under nummer ZA396165.

Omfattande plattform för välbefinnande på arbetsplatsen som stöder mental hälsa, fysisk hälsa och företagshälsovård för organisationer av alla storlekar.

* Champion Health är registrerat hos United Kingdom Information Commissioner's Office under nummer ZA525188.

Styrning och ledarskap inom säkerhet

Vårt säkerhetsteam använder branschens bästa ramverk och kontinuerlig övervakning för att säkerställa exemplariska säkerhetsrutiner. Ledarskapets engagemang i säkerhetsfrågor främjar en kultur av skydd och efterlevnad. Vi tillhandahåller regelbunden säkerhetsutbildning och har tydliga roller för dataåtkomst och dataskydd.

Hantering av sårbarheter
  • Praxis för livscykeln för säker utveckling (SDLC).
  • Proaktiv upptäckt, prioritering (CVE- och CVSS-poängsättning) och åtgärdande av sårbarheter.
  • Regelbundna penetrationstester av tredje part, med sammanfattningar tillgängliga på begäran.

Säkerhet i infrastruktur

Robust säkerhetsarkitektur med hotdetektering, nätverkssegmentering och löpande sårbarhetsanalyser.

Säkerhet för infrastruktur (AWS)
  • Säker AWS-hosting med ISO 27001- och SOC 2-certifierade datacenter.
  • Decentraliserad arkitektur för att öka motståndskraften och feltoleransen.
  • Dagliga krypterade säkerhetskopior lagras säkert i flera geografiska regioner.
  • Servicens hälsostatus i realtid tillgänglig online.
  • Vår infrastruktur finns hos AWS, som hanterar fysiska och miljömässiga säkerhetskontroller.

Nätverkssäkerhet

Vår nätverkssäkerhet omfattar segmentering, brandväggar och hotdetektering. Vi använder automatiserad CSPM för molnsäkerhet och övervakar hot kontinuerligt.

Applikationssäkerhet

Våra åtgärder mot manipulering, som fördunkling av kod och integritetskontroller, förhindrar obehörig åtkomst. Regelbundna revisioner och penetrationstester säkerställer efterlevnad av OWASP- och NIST-standarder.

Hantering av sårbarheter

Vi upprätthåller säkerheten genom en SDLC (Secure Development Lifecycle), identifierar och åtgärdar sårbarheter med hjälp av CVE- och CVSS-värderingar. Regelbundna penetrationstester utförs av tredje part, och sammanfattningar av granskningarna finns tillgängliga på begäran.

Säkerhet för betalningar

Betalningar behandlas säkert genom PCI-DSS-kompatibla tredjepartstjänster, utan någon intern lagring av betalningsdata.

Kryptering av data

Data krypteras under överföring med TLS 1.2+ och i vila med AES-256. Vi säkerställer end-to-end-kryptering mellan enheter och molnet.

Åtkomstkontroll och autentisering

Vi använder rollbaserad åtkomstkontroll (RBAC) för att begränsa användarnas åtkomst till nödvändig information. Flerfaktorsautentisering (MFA) lägger till ett extra säkerhetslager.

Efterlevnad & certifieringar

Omfattande efterlevnad av internationella standarder, inklusive GDPR-, HIPAA- och ISO 27001-certifieringar. Regelbundna revisioner och utvärderingar från tredje part säkerställer att de högsta säkerhets- och integritetsstandarderna följs.

Physitrack Group har ett ISMS på plats, med roller som informationssäkerhetschef och dataskyddsombud utsedda. Vår efterlevnad av ISO-kraven har bekräftats av oberoende revisioner och stöds av certifikaten ISO27001 (informationssäkerhet) och ISO27018 (dataskydd i molnet).

Dataskydd och integritet

Avancerad kryptering, säker databehandling och omfattande sekretesskontroller skyddar känslig information i varje steg. Transparenta sekretessrutiner med användarkontroll över dataanvändning och tydliga samtyckesmekanismer för alla behandlingsaktiviteter.

Översikt över dataskydd

Physitrack Group strävar efter öppenhet och strikt efterlevnad av globala dataskyddsbestämmelser, vilket säkerställer att användarnas rättigheter respekteras på alla plattformar. Vi prioriterar skyddet av personuppgifter och hälsouppgifter som ett grundläggande ansvar och bygger förtroende hos våra användare.

Datalagring och säkerhetsåtgärder

  • Data lagras säkert inom AWS-miljöer, krypterade (AES-256-krypteringsstandard).
  • Geografiskt kompatibel lagring som säkerställer att data finns kvar i regionen.
  • Säkra säkerhetskopior utförs regelbundet, krypteras och lagras på separata platser.

Databehandling och kategorier av uppgifter

Physitrack Group behandlar personuppgifter och hälsouppgifter av särskild kategori endast i syfte att leverera säkra och effektiva hälso- och välbefinnandetjänster. De typer av uppgifter som behandlas varierar något mellan våra två produkter, Physitrack och Champion Health.

För en fullständig uppdelning av de kategorier av uppgifter som behandlas hänvisas till våra detaljerade databehandlingsavtal (DPA).

Notera: Vi är registrerade enligt brittisk lag och registrerade hos ICO (Information Commissioner's Office). Vi har kunder i mer än 100 länder. Av dessa skäl är våra dataskyddsavtal endast tillgängliga på engelska.

Våra dataskyddsombud är:

  • Fullständigt i linje med GDPR, UK GDPR och relevanta internationella bestämmelser.
  • Stöds av rigorösa revisioner av underprocessorer och kontroller av efterlevnad.
  • Utformad för att säkerställa full insyn och kundrättigheter, inklusive invändningar mot ändringar av underbehandlare.

Användarrättigheter och transparens

  • Fullständig hantering av användarrättigheter: åtkomst, korrigering, radering.
  • Transparenta policyer och rutiner som beskrivs tydligt i integritetsmeddelanden och användarvillkor.

Bevarande och radering av data

  • Data lagras endast vid behov enligt detaljerade lagringspolicyer.
  • Automatisk säker radering efter lagringsperioder, externt granskad.

Var Physitrack data?

Physitrack sin plattform och sina databaser på Amazon Web Services (AWS). AWS driver säkra datacenter över hela världen.

Tabellen nedan visar i vilka datacenter Physitrack :s olika servrar Physitrack .

PhysitrackDatacentrets placering
ae.physitrack.comAbu Zabi / Dubai South, Förenade Arabemiraten
au.physitrack.comSydney, Australien
br.physitrack.comSão Paulo, Brasilien
ca.physitrack.comMontreal, Kanada
ch.physitrack.comZürich, Schweiz
de.physitrack.comFrankfurt, Tyskland
es.physitrack.comFrankfurt, Tyskland
fi.physitrack.comStockholm, Sverige
fr.physitrack.comFrankfurt, Tyskland
id.physitrack.comSingapore
ie.physitrack.comDublin, Irland
det.physitrack.comMilano, Italien
nl.physitrack.comFrankfurt, Tyskland
nz.physitrack.comSydney, Australien
pl.physitrack.comFrankfurt, Tyskland
se.physitrack.comStockholm, Sverige
uk.physitrack.comLondon, Storbritannien
us.physitrack.comNorra Virginia, USA
Säkerhetskopior lagras i samma jurisdiktion som det aktuella datacentret.

Säkerhetskontroller

Sekretess - vår högsta prioritet

Vi frågar och lagrar så lite som möjligt och har utformat vår plattform och verksamhet i linje med EU:s strikta GDPR-principer. Underbiträden utanför EU har standardavtalsklausuler på plats.

Datakryptering under transaktioner och i lagring

Alla data som skickas till och från vår plattform krypteras under överföringen och krypteras i vila. Se vår SSL Labs-poäng. Alla medier mellan klienten och servern använder standardprotokoll (DTLS/SRTP) krypterade med 256 bitars AES.TLS-kryptering används för inkommande och utgående e-post.

HIPAA-kompatibel

Utöver alla kontroller som skyddar sekretess, integritet och tillgänglighet för PHI har vi BAA på plats med tredje part och underleverantörer som har tillgång till PHI.

Konfidentialitet & vårt team

Åtkomst till patientdata är kraftigt begränsad och varje person eller part som (potentiellt) har tillgång till patientdata är bunden oh reglerade av våra sekretessavtal och PUB (Personuppgiftsbiträdesavtal).

Lokal lagring i länder / regioner

Physitrack kör fysiskt isolerade plattformar i olika datacenter runt om i världen för att undvika att läcka data utanför jurisdiktioner så mycket som rimligen är möjligt.

Säkerhetsgranskningar
  • Varje år anlitar vi en ackrediterad tredje part för att utföra grå box-penetrationstester på vår plattform. Detta inkluderar testning av sårbarheter mot OWASP-hot
  • Varje vecka genomsöker en oberoende tredje part vår plattform för kända sårbarheter.
    Eventuell upptäkt sårbarhet prioriteras, löses och distribueras så snart som möjligt efter upptäckten.
Nätverkssäkerhet
  • Vår nätverkssäkerhetsarkitektur består av flera säkerhetszoner. Vi övervakar och skyddar vårt nätverk för att säkerställa att ingen obehörig åtkomst sker med hjälp av:

    - ett virtuellt privat moln (VPC);
    - en bastionsvärd eller VPN med kontrollistor för nätverksåtkomst (ACL:er) och inga offentliga IP-adresser;
    - en brandvägg som övervakar och kontrollerar inkommande och utgående nätverkstrafik;
    - IP-adressfiltrering.
Fysisk säkerhet

Vår infrastruktur är hostad hos AWS. Fysiska och miljömässiga säkerhetsrelaterade kontroller för våra servrar, vilket inkluderar byggnader, lås eller nycklar som används på dörrar, hanteras av AWS:"Fysisk åtkomst kontrolleras strikt både vid perimetern och vid byggnadens ingångspunkter av professionell säkerhetspersonal. Auktoriserad personal måste passera tvåfaktorsautentisering minst två gånger för att få tillgång till datacentrets våningar."

Ingen betalningsinformation lagras

Din integritet är av yttersta vikt för oss. Som en del av vårt åtagande att skydda dina uppgifter lagrar vi inte någon bank- eller kreditkortsinformation på våra servrar. Istället förlitar vi oss på PCI-DSS-certifierade tredjepartsbetaltjänster för att hantera alla transaktioner. De är branschledande inom betalningssäkerhet och efterlevnad, vilket säkerställer att din betalningsinformation behandlas säkert och effektivt.
För betalningshantering använder vi följande betrodda tjänster:

  • Adyen är en ledande betaltjänst som är känd för sin avancerade teknik och efterlevnad av PCI-DSS-standarder. Du kan granska deras sekretesspraxis på deras sekretesspolicy-sida.
  • Stripe är en globalt erkänd betalningsplattform som är känd för sina robusta säkerhetsåtgärder och efterlevnad av PCI-DSS-standarder. Du kan lära dig mer om deras sekretesspraxis genom att besöka deras sekretesspolicysida.
  • GoCardless är specialiserat på autogirobetalningar och följer de högsta säkerhetsstandarderna. Detaljerad information om deras dataskydds- och sekretesspolicy finns på deras sekretesspolicy-sida.
  • Chargebee erbjuder en omfattande plattform för abonnemangsfakturering med robusta säkerhetsprotokoll. Se deras sekretesspolicy för mer information om hur Chargebee hanterar dina uppgifter.

Vårt engagemang för din datasäkerhet stärks ytterligare av våra partnerskap med dessa välrenommerade och betrodda tjänster. Tillsammans implementerar vi ett omfattande utbud av säkerhetsåtgärder som säkerställer att din finansiella information hanteras med största omsorg och säkerhet.

Secure Development Lifecycle

Vi använder branschens bästa utvecklingsprocesser för både våra applikationer och vår infrastruktur.koden är under versionskontroll (Git) och funktioner/fixar utvecklas i separata grenar.innan koden granskas av en kollega måste den genomgå tusentals automatiserade tester och skannas för kända säkerhetsproblem. Fixen/funktionen testas sedan manuellt (QA) och slås samman med masterkodgrenen.Vi har separata test-, staging- och produktionsmiljöer.

Finns det några gratis kurser?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Får jag certifikat?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Hur ansöker jag som instruktör?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Är detta en interaktiv lektion?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Finns det några gratis kurser?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Får jag certifikat?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Hur ansöker jag som instruktör?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Är detta en interaktiv lektion?

Lorem ipsum dolor sit amet consectetur adipiscing elit Ut et massa mi. Aliquam in hendrerit urna.

Vid upptäckt av fel

Physitrack Group har åtagit sig att upprätthålla de högsta standarderna för säkerhet och integritet för våra användare. Vi uppskattar stödet från säkerhetsbranschen när det gäller att på ett ansvarsfullt sätt identifiera potentiella sårbarheter i vår plattform.

Rapportering av en sårbarhet

Om du tror att du har upptäckt en säkerhetsbrist i våra system uppmuntrar vi dig att rapportera det till oss på security@physitrack.com. Vänligen ange så många detaljer som möjligt för att hjälpa oss att undersöka och lösa problemet på ett effektivt sätt.

Säkerhetsfrågor: 24 timmar | Begäran om sekretess: 72 timmar

För allmänna förfrågningar

Vårt åtagande

  • Vi kommer att bekräfta din rapport omgående och hålla dig informerad under hela saneringsprocessen.
  • Vi kommer att behandla din anmälan konfidentiellt och kommer inte att röja din identitet utan ditt samtycke.
  • Vi kommer inte att vidta några rättsliga åtgärder mot dig om du agerar i god tro och följer principerna för ansvarsfullt offentliggörande.‍

Omfattning

Denna policy gäller för sårbarheter i tjänster som finns under domänerna Physitrack och Champion Health. Sårbarheter i tjänster från tredje part ska rapporteras direkt till dessa leverantörer.

Utanför räckvidd

  • Social manipulering av Physitrack anställda eller entreprenörer
    Fysiska attacker eller försök till fysiskt intrång
  • DoS-attacker (Denial of Service) eller brute force-testning