Informationssicherheit
Die Sicherheit von Patienten und Ärzten ist für Physitrack von größter Bedeutung. Unser umfassendes Managementsystem für Informationssicherheit (ISMS) und die Sicherheitskontrollen sowie die sorgfältige Auswahl der Subunternehmer, Dritten und Unterverarbeiter, mit denen wir zusammenarbeiten, spielen eine wichtige Rolle beim Schutz der Daten von Ärzten und Patienten.
Im Folgenden finden Sie eine Übersicht über einige der von uns eingesetzten Sicherheitskontrollen. Da es unsere Philosophie ist, uns ständig zu verbessern, werden diese Kontrollen jährlich überprüft und - wenn möglich - verbessert.
Physitrack ist beim United Kingdom Information Commissioner's Office unter der Nummer ZA396165 registriert.
Kontrollen zum Schutz der Vertraulichkeit
Privatsphäre
Wir erfragen und speichern so wenig wie möglich und haben unsere Plattform und unseren Betrieb im Einklang mit den strengen Grundsätzen der EU-Grundverordnung (GDPR) gestaltet. Für Nicht-EU-Unterauftragsverarbeiter gelten Standardvertragsklauseln.
Datenverschlüsselung bei Übertragung und Speicherung
Alle Daten, die zu und von unserer Plattform gesendet werden, werden während der Übertragung und im Ruhezustand verschlüsselt. Siehe unsere SSL Labs Bewertung.
Unter Physitrack Teletherapie wird der gesamte Datenverkehr zwischen Kunden und Dolby® verschlüsselt. Alle Medien zwischen dem Client und dem Server verwenden Standardprotokolle (DTLS/SRTP), die mit 128 Bit AES verschlüsselt sind.
TLS-Verschlüsselung wird für eingehende und ausgehende E-Mails verwendet.
HIPAA-konform
Unsere Plattform erfüllt alle Vorgaben der Datenschutzgrundverordnung.
Vertraulichkeit & unser Team
Der Zugang zu Patientendaten ist stark eingeschränkt, und jede Person oder Partei, die (potenziell) Zugang zu Patientendaten hat, ist an Vertraulichkeitsvereinbarungen gebunden.
Lokale Speicherung in Ländern/Regionen
Physitrack betreibt physisch isolierte Plattformen in verschiedenen Rechenzentren auf der ganzen Welt, um ein Durchsickern von Daten außerhalb der Gerichtsbarkeit so weit wie möglich zu vermeiden.
Sicherheitsaudits
- Jedes Jahr beauftragen wir eine akkreditierte Drittpartei mit der Durchführung von Penetrationstests auf unserer Plattform. Dazu gehören Tests auf Schwachstellen gegen OWASP-Bedrohungen
- Jede Woche prüft ein unabhängiger Dritter unsere Plattform auf bekannte Schwachstellen.
Jede aufgedeckte Schwachstelle wird mit Priorität behandelt, behoben und so schnell wie möglich nach ihrer Entdeckung bereitgestellt.
Zertifizierung nach ISO 27001 und ISO 27018
ISO 27001 (formal bekannt als ISO/IEC 27001:2013) ist ein Standard für Managementsysteme für Informationssicherheit (ISMS).
Ein ISMS ist ein Rahmenwerk von Richtlinien und Verfahren, das alle rechtlichen, physischen und technischen Kontrollen umfasst, die an den Informationsrisikomanagementprozessen einer Organisation beteiligt sind, mit dem Ziel, die Sicherheit von Informationen zu gewährleisten.
Daten werden in AWS gehostet und verarbeitet. AWS ist nach SOC und ISO 27001 zertifiziert.
Physitrack verfügt über ein ISMS mit den Funktionen eines Informationssicherheitsmanagers und eines Datenschutzbeauftragten. Die Einhaltung der ISO-Anforderungen wurde durch unabhängige Audits bestätigt und wird durch die Zertifikate ISO27001 (Informationssicherheit) und ISO27018 (Datenschutz in der Cloud) bestätigt.
Laden Sie das Physitrack ISO 27018 Zertifikat herunter
Laden Sie das Physitrack ISO 27001-Zertifikat herunter
Netzwerk-Sicherheit
Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen.
Wir überwachen und schützen unser Netzwerk, um sicherzustellen, dass kein unbefugter Zugriff erfolgt:
- eine virtuelle private Cloud (VPC);
- ein Bastion-Host oder VPN mit Netzwerk-Zugangskontrolllisten (ACLs) und ohne öffentliche IP-Adressen;
- eine Firewall, die den ein- und ausgehenden Netzwerkverkehr überwacht und kontrolliert;
- IP-Adressfilterung.
Physische Sicherheit
Unsere Infrastruktur wird in AWS gehostet. Die physischen und umgebungsbezogenen Sicherheitskontrollen für unsere Server, einschließlich der Gebäude, Schlösser oder Schlüssel für die Türen, werden von AWS verwaltet:
"Der physische Zugang wird sowohl an der Peripherie als auch an den Gebäudeeingängen durch professionelles Sicherheitspersonal streng kontrolliert. Autorisierte Mitarbeiter müssen mindestens zweimal eine Zwei-Faktor-Authentifizierung durchlaufen, um Zugang zu den Etagen des Rechenzentrums zu erhalten."
Keine Speicherung von Zahlungsinformationen
Ihre Privatsphäre ist für uns von größter Bedeutung. Als Teil unserer Verpflichtung zum Schutz Ihrer Daten speichern wir keine Bank- oder Kreditkarteninformationen auf unseren Servern. Stattdessen verlassen wir uns bei der Abwicklung aller Transaktionen auf PCI-DSS-zertifizierte Zahlungsdienste Dritter. Diese sind branchenführend im Bereich Zahlungssicherheit und Compliance und gewährleisten, dass Ihre Zahlungsdaten sicher und effizient verarbeitet werden.
Für die Zahlungsabwicklung nutzen wir die folgenden vertrauenswürdigen Dienste:
- Adyen ist ein führender Zahlungsdienstleister, der für seine fortschrittliche Technologie und die Einhaltung der PCI-DSS-Standards bekannt ist. Sie können die Datenschutzpraktiken des Unternehmens auf der Seite mit den Datenschutzrichtlinien einsehen.
- Stripe ist eine weltweit anerkannte Zahlungsplattform, die für ihre robusten Sicherheitsmaßnahmen und die Einhaltung der PCI-DSS-Standards bekannt ist. Weitere Informationen über die Datenschutzpraktiken finden Sie auf der Seite mit den Datenschutzrichtlinien.
- GoCardless ist auf Lastschriftzahlungen spezialisiert und hält sich an die höchsten Sicherheitsstandards. Ausführliche Informationen über den Datenschutz und die Datenschutzrichtlinien des Unternehmens finden Sie auf der Seite mit den Datenschutzrichtlinien.
- Chargebee bietet eine umfassende Abrechnungsplattform mit robusten Sicherheitsprotokollen. Weitere Einzelheiten zum Umgang mit Ihren Daten bei Chargebee finden Sie in der Datenschutzrichtlinie des Unternehmens.
Unser Engagement für Ihre Datensicherheit wird durch unsere Partnerschaften mit diesen renommierten, vertrauenswürdigen Diensten noch verstärkt. Gemeinsam setzen wir eine umfassende Reihe von Sicherheitsmaßnahmen um, die gewährleisten, dass Ihre Finanzdaten mit größter Sorgfalt und Sicherheit verwaltet werden.
Kontrollen zum Schutz der Integrität
Sicherer Entwicklungslebenszyklus
Wir verwenden branchenübliche Entwicklungsprozesse sowohl für unsere Anwendungen als auch für unsere Infrastruktur.
Der Code unterliegt der Versionskontrolle (Git), und Funktionen/Fehlerbehebungen werden in separaten Zweigen entwickelt.
Bevor der Code von einem Kollegen geprüft wird, muss er Tausende von automatisierten Tests durchlaufen und wird auf bekannte Sicherheitsprobleme untersucht. Die Korrektur bzw. das Feature wird dann manuell getestet (QA) und in den Master-Code-Zweig eingefügt.
Wir haben separate Test-, Staging- und Produktionsumgebungen.
Kontrollen zum Schutz der Verfügbarkeit
Hochverfügbare Datenbanken
Unsere Daten werden auf AWS RDS-Datenbanken (Postgresql) verarbeitet und in einer Hochverfügbarkeitskonfiguration repliziert.
Tägliche Backups
Jeden Tag werden unsere Datenbanken gesichert und verschlüsselt gespeichert. Die Backups werden regelmäßig überprüft.
24/7-Überwachung
Unser virtuelles NOC überwacht unsere Infrastruktur 24 Stunden am Tag, 7 Tage die Woche und 365 Tage die Woche, und sowohl unser SRE-Team als auch unser gesamtes Entwicklungsteam werden alarmiert, wenn die Infrastrukturmetriken bestimmte kritische Schwellenwerte überschreiten.
Wartungszeiträume
Aktualisierungen, die die Verfügbarkeit beeinträchtigen könnten, werden so weit wie möglich außerhalb der örtlichen Geschäftszeiten vorgenommen, um Sie und Ihre Patienten nicht zu stören.
Verantwortungsbewusste Weitergabe
Wenn Sie glauben, einen Fehler in unserer Sicherheit entdeckt zu haben, senden Sie bitte eine E-Mail an support@physitrack.com und wir werden uns innerhalb von 24 Stunden bei Ihnen melden. Wir bitten Sie, das Problem nicht öffentlich bekannt zu machen, bis wir die Möglichkeit hatten, es zu beheben.