Tietoturva
Asiakkaan ja terveydenhuollon ammattilaisen turvallisuuden varmistaminen on Physitrackille ensiarvoisen tärkeää. Laaja tietoturvan hallintajärjestelmämme (ISMS) ja turvavalvontamme sekä kanssamme työskentelevien alihankkijoiden, kolmansien osapuolten ja alikäsittelijöiden huolellinen valinta ovat avainasemassa terveydenhuollon ammattilaisen tietojen ja asiakastietojen suojaamisessa.
Alla on korkean tason yhteenveto joistakin käytössämme olevista turvatarkastuksista. Koska filosofiamme on kehittyä jatkuvasti, näitä tarkastusprosesseja tarkistetaan ja mahdollisuuksien mukaan parannetaan vuosittain.
Physitrack on rekisteröity Yhdistyneen kuningaskunnan tietosuojavaltuutetun toimistoon numerolla ZA396165.
Salassapitoa suojaavat tarkistukset
Tietosuoja edellä
Kysymme ja tallennamme mahdollisimman vähän ja olemme suunnitelleet alustamme ja toimintamme EU:n tiukkojen GDPR-periaatteiden mukaisesti. EU:n ulkopuolisilla alikäsittelijöillä on voimassa vakiosopimuslausekkeet.
Tietojen salaus siirron aikana ja levossa
Kaikki alustallemme ja alustaltamme lähetetyt tiedot salataan sekä kuljetuksen aikana että levossa.Katso SSL Labs -tuloksemme.
Physitrack Telehealth -palvelussa kaikki asiakkaiden ja Dolby®-laitteiden välinen liikenne on salattu. Kaikki asiakkaan ja palvelimen väliset mediat käyttävät vakioprotokollia (DTLS/SRTP), jotka on salattu 128-bittisellä AES:llä.
TLS-salausta käytetään saapuvaan ja lähtevään sähköpostiin.
HIPAA-yhteensopiva
Kaikkien suojattujen terveystietojen luottamuksellisuutta, eheyttä ja saavutettavuutta suojaavien kontrollien lisäksi meillä on liikekumppanisopimus (BAA) sellaisten kolmansien osapuolten ja alihankkijoiden kanssa, joilla on pääsy suojatuihin terveystietoihin.
Salassapito ja tiimimme
Pääsy potilastietoihin on tiukasti rajoitettu, ja kaikkia henkilöitä tai osapuolia, joilla (mahdollisesti) on pääsy potilastietoihin, sitoo salassapitosopimus.
Paikallinen varastointi eri maissa/alueilla
Physitrack käyttää fyysisesti eristettyjä alustoja eri datakeskuksissa eri puolilla maailmaa, jotta vältetään tietojen vuotaminen lainkäyttöalueiden ulkopuolelle niin pitkälti kuin se on kohtuudella mahdollista.
Tietoturvatarkastukset
- Vuosittain palkkaamme akkreditoidun kolmannen osapuolen suorittamaan harmaan laatikon tunkeutumistestejä alustallamme. Tähän sisältyy haavoittuvuuksien testaaminen OWASP-uhkia vastaan.
- Viikoittain riippumaton kolmas osapuoli tarkistaa alustamme tunnettujen haavoittuvuuksien varalta.
Löydetyt haavoittuvuudet priorisoidaan, ratkaistaan ja korjataan mahdollisimman pian havaitsemisen jälkeen.
ISO 27001 ja ISO 27018 -sertifiointi
ISO 27001 (viralliselta nimeltään ISO/IEC 27001:2013) on tietoturvallisuuden hallintajärjestelmiä (ISMS) koskeva standardi.
ISMS on toimintatapojen ja menettelyjen kehys, joka sisältää kaikki organisaation tietoriskinhallintaprosesseihin liittyvät oikeudelliset, fyysiset ja tekniset valvontatoimet, joiden tavoitteena on pitää tiedot turvassa.
Tietoja isännöidään ja käsitellään AWS:ssä. AWS:llä on SOC- ja ISO 27001 -sertifiointi.
Physitrack on käytössä ISMS-järjestelmä, johon on nimitetty tietoturvapäällikkö ja tietosuojavastaava. Riippumattomat auditoinnit ovat vahvistaneet ISO-vaatimusten noudattamisen, ja sitä tukevat ISO27001- (tietoturva) ja ISO27018-sertifikaatit (tietosuoja pilvipalveluissa).
Lataa Physitrack ISO 27018 -sertifikaatti
Lataa Physitrack ISO 27001 -sertifikaatti
Verkkoturvallisuus
Verkkoturvallisuusarkkitehtuurimme koostuu useista turvavyöhykkeistä.
Valvomme ja suojaamme verkkoamme varmistaaksemme, että luvaton käyttö ei ole mahdollista; käytämme:
- yksityisiä virtuaaliverkkoja pilvipalvelussa (VPC);
- linnoituspalvelinta (bastion host) tai VPN:ää eli virtuaalista erillisverkkoa, jolla on pääsynvalvontaluettelot (ACL: t) eikä julkisia IP-osoitteita;
- palomuuria, joka valvoo ja ohjaa saapuvaa ja lähtevää verkkoliikennettä;
- IP-osoitteen suodatusta.
Fyysinen turvallisuus
Infrastruktuurimme isännöidään AWS:n sisällä. Palvelimiemme fyysisiä ja ympäristöön liittyviä valvontalaitteita, joihin kuuluvat rakennukset, lukot tai avaimet, hallinnoi AWS:
"Ammattitaitoinen turvahenkilöstö valvoo tiukasti fyysistä pääsyä sekä kehällä että rakennuksen sisääntulopisteillä. Päästäkseen datakeskuksen kerroksiin valtuutetun henkilöstön on läpäistävä kaksivaiheinen todennus vähintään kaksi kertaa."
Maksutietoja ei tallenneta
Yksityisyytesi on meille äärimmäisen tärkeä. Osana sitoumustamme tietojesi suojeluun emme tallenna palvelimillemme pankki- tai luottokorttitietojasi. Sen sijaan käytämme PCI-DSS-sertifioituja kolmannen osapuolen maksupalveluja kaikkien maksutapahtumien käsittelyssä. Ne ovat alan johtavia toimijoita maksuturvallisuuden ja vaatimustenmukaisuuden alalla, ja ne varmistavat, että maksutietojasi käsitellään turvallisesti ja tehokkaasti.
Maksujen käsittelyyn käytämme seuraavia luotettavia palveluita:
- Adyen on johtava maksupalvelu, joka tunnetaan kehittyneestä teknologiastaan ja PCI-DSS-standardien noudattamisesta. Voit tutustua heidän tietosuojakäytäntöihinsä heidän tietosuojakäytäntösivullaan.
- Stripe on maailmanlaajuisesti tunnustettu maksualusta, joka tunnetaan vankoista turvatoimistaan ja PCI-DSS-standardien noudattamisesta. Voit lukea lisää heidän tietosuojakäytännöistään vierailemalla heidän tietosuojakäytäntösivullaan.
- GoCardless on erikoistunut suoraveloituksiin ja noudattaa korkeimpia turvallisuusstandardeja. Yksityiskohtaisia tietoja heidän tietosuoja- ja yksityisyydensuojakäytännöistään löydät heidän yksityisyydensuojasivultaan.
- Chargebee tarjoaa kattavan tilauslaskutusalustan, jossa on vahvat turvallisuusprotokollat. Lisätietoja siitä, miten Chargebee käsittelee tietojasi, saat heidän tietosuojakäytännöstään.
Sitoutumistamme tietoturvaasi vahvistaa entisestään kumppanuutemme näiden arvostettujen ja luotettavien palvelujen kanssa. Yhdessä toteutamme kattavan valikoiman turvatoimia, joilla varmistamme, että taloudellisia tietojasi hallinnoidaan äärimmäisen huolellisesti ja turvallisesti.
Tarkistukset, jotka suojaavat eheyttä
Turvallisen ohjelmistokehityksen elinkaari (SDL)
Käytämme alan parhaita käytäntöjä noudattavia kehitysprosesseja sekä sovelluksissamme että infrastruktuurissamme.
Koodin versionhallinta tapahtuu Git-versionhallintajärjestelmän avulla, ja ominaisuuksia/korjauksia kehitetään erillisissä haaroissa.
Ennen kuin vertaiskäyttäjä tarkistaa koodin, koodin on läpäistävä tuhansia automaattisia testejä ja se tarkistetaan tunnettujen tietoturvaongelmien varalta. Korjaus/ominaisuus testataan sitten manuaalisesti (QA) ja yhdistetään päälinjaan.
Meillä on erilliset testaus-, staging- ja tuotantoympäristöt.
Tarkistukset, jotka suojaavat saatavuutta
Korkean käytettävyyden tietokannat
Tietojamme käsitellään AWS RDS -tietokannoissa (Postgresql) ja kopioidaan korkean käytettävyyden kokoonpanossa.
Päivittäiset varmuuskopiot
Joka päivä tietokantamme varmuuskopioidaan ja tallennetaan salattuina. Varmuuskopiot tarkistetaan säännöllisesti.
24/7 seuranta
Virtuaalinen NOC valvoo infrastruktuuriamme 24/7/365, ja sekä SRE-tiimimme että koko kehitystiimimme saavat hälytyksen, jos infrastruktuurin mittarit ylittävät tietyt kriittiset kynnysarvot.
Huolto-ikkunat
Päivitykset, jotka saattavat vaikuttaa palvelun saatavuuteen, tehdään mahdollisuuksien mukaan paikallisten aukioloaikojen ulkopuolella, jotta voidaan välttää häiritsemästä sinua ja asiakkaitasi.
Vastuullinen paljastaminen
Jos uskot havainneesi virheen tietoturvassamme, lähetä meille sähköpostia osoitteeseen support@physitrack.fi, niin otamme sinuun yhteyttä 24 tunnin kuluessa. Pyydämme, että et paljasta ongelmaa julkisesti ennen kuin meillä on ollut mahdollisuus käsitellä sitä.