Sécurité de l'information
La sécurité des patients et des praticiens est d'une importance capitale pour Physitrack. Notre système de gestion de la sécurité de l'information (ISMS) et nos contrôles de sécurité, ainsi que la sélection minutieuse des sous-traitants, tiers et sous-traitants secondaires avec lesquels nous travaillons, jouent un rôle essentiel dans la protection des données des praticiens et des patients.
Vous trouverez ci-dessous un résumé de haut niveau de certains des contrôles de sécurité que nous avons mis en place. Notre philosophie étant de nous améliorer en permanence, ces contrôles sont revus et - dans la mesure du possible - améliorés chaque année.
Physitrack est enregistré auprès du bureau du commissaire à l'information du Royaume-Uni sous le numéro ZA396165.
Des contrôles qui protègent la confidentialité
Priorité à la protection des données
Nous demandons et stockons aussi peu que possible et avons conçu notre plateforme et nos opérations conformément aux principes stricts du GDPR de l'UE. Les sous-traitants non européens disposent de clauses contractuelles types.
Cryptage des données hors et en utilisation
Toutes les données envoyées vers et depuis notre plateforme sont cryptées en transit et cryptées au repos. Consultez notre score SSL Labs.
Pour Physitrack Télésanté , tout le trafic entre les clients et Dolby® est crypté. Tous les médias entre le client et le serveur utilisent des protocoles standard (DTLS/SRTP) cryptés avec AES 128 bits.
Le cryptage TLS est utilisé pour le courrier électronique entrant et sortant.
Conformité HIPAA
En plus de tous les contrôles qui protègent la confidentialité, l'intégrité et la disponibilité des renseignements médicaux personnels, nous avons mis en place des accords d'accréditation avec les tiers et les sous-traitants qui ont accès aux renseignements médicaux personnels.
Confidentialité et notre équipe
L'accès aux données des patients est sévèrement limité, et toute personne ou partie qui a (potentiellement) accès aux données des patients est liée par des accords de confidentialité.
Stockage local dans les pays/régions
Physitrack exploite des plateformes physiquement isolées dans différents centres de données à travers le monde afin d'éviter autant que possible la fuite de données hors des juridictions.
Audits de sécurité
- Chaque année, nous engageons un tiers accrédité pour effectuer des tests de pénétration en boîte grise sur notre plateforme. Cela comprend des tests de vulnérabilité contre les menaces OWASP.
- Chaque semaine, un tiers indépendant analyse notre plateforme à la recherche de vulnérabilités connues.
Toute vulnérabilité découverte est traitée en priorité, résolue et déployée dès que possible après sa découverte.
Certification ISO 27001 et ISO 27018
La norme ISO 27001 (officiellement connue sous le nom d'ISO/IEC 27001:2013) est une norme relative aux systèmes de gestion de la sécurité de l'information (SGSI).
Un SGSI est un cadre de politiques et de procédures qui comprend tous les contrôles juridiques, physiques et techniques impliqués dans les processus de gestion des risques liés à l'information d'une organisation dans le but de préserver la sécurité de l'information.
Les données sont hébergées et traitées au sein d'AWS. AWS est certifiée SOC et ISO 27001.
Physitrack a mis en place un SGSI, avec des rôles de responsable de la sécurité de l'information et de délégué à la protection des données. Notre adhésion aux exigences ISO a été confirmée par des audits indépendants et est appuyée par les certificats ISO27001 (sécurité de l'information) et ISO27018 (protection des données dans le nuage).
Télécharger le certificat Physitrack ISO 27018
Télécharger le certificat Physitrack ISO 27001
Sécurité des réseaux
L'architecture de sécurité de notre réseau se compose de plusieurs zones de sécurité.
Nous surveillons et protégeons notre réseau, afin de nous assurer qu'aucun accès non autorisé n'est effectué en utilisant :
- un nuage privé virtuel (VPC) ;
- un hôte bastion ou un VPN avec des listes de contrôle d'accès au réseau (ACL) et aucune adresse IP publique ;
- un pare-feu qui surveille et contrôle le trafic réseau entrant et sortant ;
- le filtrage des adresses IP.
Sécurité physique
Notre infrastructure est hébergée dans AWS. Les contrôles liés à la sécurité physique et environnementale de nos serveurs, qui comprennent les bâtiments, les serrures ou les clés utilisées sur les portes, sont gérés par AWS:
"L'accès physique est strictement contrôlé à la fois au périmètre et aux points d'entrée des bâtiments par du personnel de sécurité professionnel. Le personnel autorisé doit passer une authentification à deux facteurs au minimum deux fois pour accéder aux étages du centre de données."
Aucune information de paiement stockée
Nous accordons la plus grande importance à la protection de votre vie privée. Dans le cadre de notre engagement à protéger vos données, nous ne stockons aucune information bancaire ou de carte de crédit sur nos serveurs. Nous faisons appel à des services de paiement tiers certifiés PCI-DSS pour traiter toutes les transactions. Ce sont des leaders du secteur en matière de sécurité et de conformité des paiements, ce qui garantit que vos informations de paiement sont traitées de manière sûre et efficace.
Pour le traitement des paiements, nous utilisons les services de confiance suivants :
- Adyen est un service de paiement de premier plan connu pour sa technologie avancée et sa conformité aux normes PCI-DSS. Vous pouvez consulter ses pratiques en matière de protection de la vie privée sur sa page consacrée à la politique de confidentialité.
- Stripe est une plateforme de paiement mondialement reconnue pour ses mesures de sécurité robustes et sa conformité aux normes PCI-DSS. Vous pouvez en savoir plus sur leurs pratiques en matière de protection de la vie privée en visitant leur page sur la politique de confidentialité.
- GoCardless est spécialisé dans les paiements par prélèvement automatique et adhère aux normes de sécurité les plus strictes. Des informations détaillées sur leur politique de protection des données et de la vie privée sont disponibles sur leur page de politique de confidentialité.
- Chargebee offre une plateforme complète de facturation d'abonnements avec des protocoles de sécurité robustes. Veuillez consulter leur politique de confidentialité pour plus de détails sur la manière dont Chargebee traite vos données.
Notre engagement en faveur de la sécurité de vos données est encore renforcé par nos partenariats avec ces services de confiance réputés. Ensemble, nous mettons en œuvre un ensemble complet de mesures de sécurité, garantissant que vos informations financières sont gérées avec le plus grand soin et la plus grande sécurité.
Contrôles qui protègent l’intégrité des services
Cycle de vie du développement sécurisé
Nous utilisons des processus de développement conformes aux meilleures pratiques du secteur, tant pour nos applications que pour notre infrastructure.
Le code est sous contrôle de version (Git), et les fonctionnalités/corrections sont développées dans des branches séparées.
Avant d'être examiné par un pair, le code doit passer des milliers de tests automatisés et est analysé pour détecter les problèmes de sécurité connus. Le correctif/la fonctionnalité est ensuite testé(e) manuellement (QA) et fusionné(e) avec la branche de code principale.
Nous disposons d'environnements distincts pour les tests, le développement et la production.
Contrôles qui protègent la disponibilité des services
Bases de données à haute disponibilité
Nos données sont traitées sur des bases de données AWS RDS (Postgresql) et répliquées dans une configuration de haute disponibilité.
Sauvegardes quotidiennes
Chaque jour, nos bases de données sont sauvegardées et stockées sous forme cryptée. Les sauvegardes sont vérifiées régulièrement.
Surveillance 24 heures sur 24, 7 jours sur 7
Notre NOC virtuel surveille notre infrastructure 24 heures sur 24, 7 jours sur 7 et 365 jours par an. Notre équipe SRE et l'ensemble de notre équipe de développement sont alertés si les mesures de l'infrastructure dépassent certains seuils critiques.
Fenêtres de maintenance
Les mises à jour susceptibles d'avoir une incidence sur la disponibilité de la plateforme sont effectuées autant que possible en dehors des heures de bureau afin de ne pas vous perturber, vous et vos patients.
Une communication responsable
Si vous pensez avoir découvert un bogue dans notre sécurité, veuillez envoyer un courriel à support@physitrack.com et nous vous répondrons dans les 24 heures. Nous vous demandons de ne pas divulguer publiquement le problème avant que nous ayons eu l'occasion de le résoudre.