Información sobre Seguridad
Información sobre Seguridad
Mantener la seguridad de los pacientes y los profesionales es de suma importancia para Physitrack. Nuestro amplio sistema de gestión de la seguridad de la información (SGSI) y los controles de seguridad, así como la cuidadosa selección de los subcontratistas, terceros y subprocesadores con los que trabajamos, desempeñan un papel fundamental en la protección de los datos de los profesionales y los pacientes.
A continuación, encontrará un resumen de alto nivel de algunos de los controles de seguridad que tenemos implantados. Dado que nuestra filosofía es mejorar continuamente, estos controles se revisan y, cuando es posible, se mejoran anualmente.
Physitrack está registrada en la Oficina del Comisionado de Información del Reino Unido con el número ZA396165.
Controles que protegen la confidencialidad
La privacidad es lo primero
Pedimos y almacenamos lo menos posible y hemos diseñado nuestra plataforma y operaciones de acuerdo con los estrictos principios del GDPR de la UE. Los subprocesadores no pertenecientes a la UE cuentan con cláusulas contractuales estándar.
Encriptación de datos en tránsito y en reposo
Todos los datos enviados a y desde nuestra plataforma están cifrados en tránsito y cifrados en reposo. Consulte nuestra puntuación de SSL Labs.
Para Physitrack Telesalud , todo el tráfico entre los clientes y Dolby® está cifrado. Todos los medios entre el cliente y el servidor utilizan protocolos estándar (DTLS/SRTP) cifrados con AES de 128 bits.
El cifrado TLS se utiliza para el correo electrónico entrante y saliente.
Cumple con la HIPAA
En la cima de los controles que protegen la confidencialidad, integridad y disponibilidad de PHI, disponemos de BAAs con terceras partes y subcontratistas que acceden a PHI.
Confidencialidad y nuestro equipo
El acceso a los datos de los pacientes está restringido severamente, y cualquier persona o parte que (potencialmente) tiene acceso a los datos de los pacientes está sujeto a acuerdos de confidencialidad.
Almacenamiento local en países/regiones
Physitrack ejecuta plataformas físicamente aisladas en diferentes centros de datos de todo el mundo para evitar, en la medida de lo posible, la filtración de datos fuera de las jurisdicciones.
Auditorías de seguridad
- Cada año, contratamos a un tercero acreditado para que realice pruebas de penetración de caja gris en nuestra plataforma. Esto incluye pruebas de vulnerabilidad contra las amenazas OWASP
- Cada semana, un tercero independiente analiza nuestra plataforma en busca de vulnerabilidades conocidas.
Cualquier vulnerabilidad descubierta se prioriza, se resuelve y se despliega lo antes posible tras su descubrimiento.
Certificación ISO 27001 e ISO 27018
La ISO 27001 (formalmente conocida como ISO/IEC 27001:2013) es una norma para los Sistemas de Gestión de la Seguridad de la Información (SGSI).
Un SGSI es un marco de políticas y procedimientos que incluye todos los controles legales, físicos y técnicos que intervienen en los procesos de gestión del riesgo de la información de una organización con el objetivo de mantener la información segura.
Los datos se alojan y procesan en AWS. AWS cuenta con la certificación SOC e ISO 27001.
Physitrack Además, nuestro equipo de desarrollo y el equipo de SRE tienen su propia certificación ISO 27001a independiente.
Descargue el certificado Physitrack ISO 27018
Descargue el certificado Physitrack ISO 27001
Seguridad de la red
Nuestra arquitectura de seguridad de la red consta de múltiples zonas de seguridad.
Supervisamos y protegemos nuestra red, para asegurarnos de que no se realiza ningún acceso no autorizado utilizando:
- una nube privada virtual (VPC);
- un host bastión o VPN con listas de control de acceso a la red (ACL) y sin direcciones IP públicas;
- un cortafuegos que supervisa y controla el tráfico de red entrante y saliente;
- filtrado de direcciones IP.
Seguridad física
Nuestra infraestructura está alojada en AWS. Los controles relacionados con la seguridad física y ambiental de nuestros servidores, que incluyen los edificios, las cerraduras o las llaves utilizadas en las puertas, son gestionados por AWS:
"El acceso físico está estrictamente controlado tanto en el perímetro como en los puntos de entrada al edificio por personal de seguridad profesional. El personal autorizado debe pasar una autenticación de dos factores un mínimo de dos veces para acceder a las plantas del centro de datos."
No se almacena información de pago
No almacenamos información bancaria o de tarjetas de crédito en nuestros servidores y utilizamos terceros con certificación PCI-DSS (Adyen y Chargebee) para procesar los pagos.
Controles que protegen la integridad
Ciclo de Vida Seguro del Desarrollo
Utilizamos procesos de desarrollo con las mejores prácticas del sector tanto para nuestras aplicaciones como para nuestra infraestructura.
El código está bajo control de versiones (Git), y las características/correcciones se desarrollan en ramas separadas.
Antes de ser revisado por un compañero, el código tiene que pasar miles de pruebas automatizadas y se analiza para detectar problemas de seguridad conocidos. A continuación, la corrección o función se prueba manualmente (QA) y se incorpora a la rama de código principal.
Disponemos de entornos de prueba, de ensayo y de producción separados.
Controles que protegen la disponibilidad
Bases de datos de alta disponibilidad
Nuestros datos se procesan en bases de datos de AWS RDS (Postgresql) y se replican en una configuración de alta disponibilidad.
Copias de seguridad diarias
Cada día, nuestras bases de datos son copiadas y almacenadas de forma encriptada. Las copias de seguridad son verificadas de forma regular.
Monitorización 24/7
Nuestro NOC virtual supervisa nuestra infraestructura las 24 horas del día y los 365 días del año, y tanto nuestro equipo de SRE como todo nuestro equipo de desarrollo reciben una alerta si las métricas de la infraestructura superan ciertos umbrales críticos.
Ventanas de mantenimiento
Las actualizaciones que pudieran influir en la disponibilidad son realizadas lo máximo posible fuera del horario laboral para evitarles interrupciones a usted y a sus pacientes.
Divulgación responsable
Si cree que ha descubierto un fallo en nuestra seguridad, envíe un correo electrónico a support@physitrack.com y nos pondremos en contacto con usted en un plazo de 24 horas. Te rogamos que no divulgues públicamente el problema hasta que hayamos tenido la oportunidad de solucionarlo.