Información sobre Seguridad
Mantener la seguridad de los pacientes y los profesionales es de suma importancia para Physitrack. Nuestro amplio sistema de gestión de la seguridad de la información (SGSI) y los controles de seguridad, así como la cuidadosa selección de los subcontratistas, terceros y subprocesadores con los que trabajamos, desempeñan un papel fundamental en la protección de los datos de los profesionales y los pacientes.
A continuación, encontrará un resumen de alto nivel de algunos de los controles de seguridad que tenemos implantados. Dado que nuestra filosofía es mejorar continuamente, estos controles se revisan y, cuando es posible, se mejoran anualmente.
Physitrack está registrada en la Oficina del Comisionado de Información del Reino Unido con el número ZA396165.
Controles que protegen la confidencialidad
La privacidad es lo primero
Pedimos y almacenamos lo menos posible y hemos diseñado nuestra plataforma y operaciones de acuerdo con los estrictos principios del GDPR de la UE. Los subprocesadores no pertenecientes a la UE cuentan con cláusulas contractuales estándar.
Encriptación de datos en tránsito y en reposo
Todos los datos enviados a y desde nuestra plataforma están cifrados en tránsito y cifrados en reposo. Consulte nuestra puntuación de SSL Labs.
Para Physitrack Telesalud , todo el tráfico entre los clientes y Dolby® está cifrado. Todos los medios entre el cliente y el servidor utilizan protocolos estándar (DTLS/SRTP) cifrados con AES de 128 bits.
El cifrado TLS se utiliza para el correo electrónico entrante y saliente.
Cumple con la HIPAA
En la cima de los controles que protegen la confidencialidad, integridad y disponibilidad de PHI, disponemos de BAAs con terceras partes y subcontratistas que acceden a PHI.
Confidencialidad y nuestro equipo
El acceso a los datos de los pacientes está restringido severamente, y cualquier persona o parte que (potencialmente) tiene acceso a los datos de los pacientes está sujeto a acuerdos de confidencialidad.
Almacenamiento local en países/regiones
Physitrack ejecuta plataformas físicamente aisladas en diferentes centros de datos de todo el mundo para evitar, en la medida de lo posible, la filtración de datos fuera de las jurisdicciones.
Auditorías de seguridad
- Cada año, contratamos a un tercero acreditado para que realice pruebas de penetración de caja gris en nuestra plataforma. Esto incluye pruebas de vulnerabilidad contra las amenazas OWASP
- Cada semana, un tercero independiente analiza nuestra plataforma en busca de vulnerabilidades conocidas.
Cualquier vulnerabilidad descubierta se prioriza, se resuelve y se despliega lo antes posible tras su descubrimiento.
Certificación ISO 27001 e ISO 27018
ISO 27001 (formalmente conocida como ISO/IEC 27001:2013) es una norma para Sistemas de Gestión de Seguridad de la Información (SGSI).
Un SGSI es un marco de políticas y procedimientos que incluye todos los controles legales, físicos y técnicos implicados en los procesos de gestión de riesgos de la información de una organización con el objetivo de mantener la información segura.
Los datos se alojan y procesan dentro de AWS. AWS posee las certificaciones SOC e ISO 27001.
Physitrack cuenta con un SGSI, con funciones de responsable de seguridad de la información y responsable de protección de datos. Nuestro cumplimiento de los requisitos ISO ha sido confirmado por auditorías independientes y está avalado por los certificados ISO27001 (Seguridad de la Información) e ISO27018 (Protección de Datos en la Nube).
Descargue el certificado Physitrack ISO 27018
Descargue el certificado Physitrack ISO 27001
Seguridad de la red
Nuestra arquitectura de seguridad de la red consta de múltiples zonas de seguridad.
Supervisamos y protegemos nuestra red, para asegurarnos de que no se realiza ningún acceso no autorizado utilizando:
- una nube privada virtual (VPC);
- un host bastión o VPN con listas de control de acceso a la red (ACL) y sin direcciones IP públicas;
- un cortafuegos que supervisa y controla el tráfico de red entrante y saliente;
- filtrado de direcciones IP.
Seguridad física
Nuestra infraestructura está alojada en AWS. Los controles relacionados con la seguridad física y ambiental de nuestros servidores, que incluyen los edificios, las cerraduras o las llaves utilizadas en las puertas, son gestionados por AWS:
"El acceso físico está estrictamente controlado tanto en el perímetro como en los puntos de entrada al edificio por personal de seguridad profesional. El personal autorizado debe pasar una autenticación de dos factores un mínimo de dos veces para acceder a las plantas del centro de datos."
No se almacena información de pago
Su privacidad es lo más importante para nosotros. Como parte de nuestro compromiso de salvaguardar sus datos, no almacenamos ninguna información bancaria o de tarjetas de crédito en nuestros servidores. En su lugar, confiamos en servicios de pago de terceros con certificación PCI-DSS para gestionar todas las transacciones. Son líderes del sector en seguridad y cumplimiento de las normas de pago, lo que garantiza que su información de pago se procesa de forma segura y eficiente.
Para el procesamiento de pagos, utilizamos los siguientes servicios de confianza:
- Adyen es un servicio de pago líder conocido por su avanzada tecnología y el cumplimiento de las normas PCI-DSS. Puedes revisar sus prácticas de privacidad en su página de política de privacidad.
- Stripe es una plataforma de pago reconocida en todo el mundo por sus sólidas medidas de seguridad y el cumplimiento de las normas PCI-DSS. Puedes obtener más información sobre sus prácticas de privacidad visitando su página de política de privacidad.
- GoCardless se especializa en pagos por domiciliación bancaria y cumple las normas de seguridad más estrictas. Puede encontrar información detallada sobre sus políticas de protección de datos y privacidad en su página de política de privacidad.
- Chargebee ofrece una completa plataforma de facturación por suscripción con sólidos protocolos de seguridad. Consulte su política de privacidad para obtener más información sobre cómo Chargebee gestiona sus datos.
Nuestro compromiso con la seguridad de sus datos se ve reforzado por nuestra colaboración con estos reputados servicios de confianza. Juntos, aplicamos una amplia gama de medidas de seguridad, garantizando que su información financiera se gestiona con el máximo cuidado y seguridad.
Controles que protegen la integridad
Ciclo de Vida Seguro del Desarrollo
Utilizamos procesos de desarrollo con las mejores prácticas del sector tanto para nuestras aplicaciones como para nuestra infraestructura.
El código está bajo control de versiones (Git), y las características/correcciones se desarrollan en ramas separadas.
Antes de ser revisado por un compañero, el código tiene que pasar miles de pruebas automatizadas y se analiza para detectar problemas de seguridad conocidos. A continuación, la corrección o función se prueba manualmente (QA) y se incorpora a la rama de código principal.
Disponemos de entornos de prueba, de ensayo y de producción separados.
Controles que protegen la disponibilidad
Bases de datos de alta disponibilidad
Nuestros datos se procesan en bases de datos de AWS RDS (Postgresql) y se replican en una configuración de alta disponibilidad.
Copias de seguridad diarias
Cada día, nuestras bases de datos son copiadas y almacenadas de forma encriptada. Las copias de seguridad son verificadas de forma regular.
Monitorización 24/7
Nuestro NOC virtual supervisa nuestra infraestructura las 24 horas del día y los 365 días del año, y tanto nuestro equipo de SRE como todo nuestro equipo de desarrollo reciben una alerta si las métricas de la infraestructura superan ciertos umbrales críticos.
Ventanas de mantenimiento
Las actualizaciones que pudieran influir en la disponibilidad son realizadas lo máximo posible fuera del horario laboral para evitarles interrupciones a usted y a sus pacientes.
Divulgación responsable
Si cree que ha descubierto un fallo en nuestra seguridad, envíe un correo electrónico a support@physitrack.com y nos pondremos en contacto con usted en un plazo de 24 horas. Te rogamos que no divulgues públicamente el problema hasta que hayamos tenido la oportunidad de solucionarlo.
