Contrôles de sécurité
Sécurité de l'information
Notre système complet de gestion de la sécurité de l'information (SGSI) et nos contrôles de sécurité robustes sont essentiels pour protéger les données des praticiens et des patients. Nous veillons également à ce que nos sous-traitants, tiers et sous-traitants secondaires soient soigneusement contrôlés afin de maintenir des normes de sécurité élevées.
*Physitrack est enregistré auprès de l'Information Commissioner's Office du Royaume-Uni sous le numéro ZA396165.
* Vous trouverez ci-dessous un résumé de haut niveau de certains des contrôles de sécurité que nous avons mis en place. Notre philosophie étant l'amélioration continue, ces contrôles sont revus et - si possible - améliorés chaque année.
Des contrôles qui protègent la confidentialité
Nous demandons et stockons le moins de données possible et avons conçu notre plateforme et nos opérations conformément aux principes stricts du GDPR de l'UE. Les sous-traitants non européens sont soumis à des clauses contractuelles types.
Toutes les données envoyées vers et depuis notre plateforme sont cryptées en transit et cryptées au repos. Consultez notre score SSL Labs.
Pour Physitrack Télésanté , tout le trafic entre les clients et Dolby® est crypté. Tous les médias entre le client et le serveur utilisent des protocoles standard (DTLS/SRTP) cryptés avec AES 128 bits.
Le cryptage TLS est utilisé pour le courrier électronique entrant et sortant.
En plus de tous les contrôles qui protègent la confidentialité, l'intégrité et la disponibilité des renseignements médicaux personnels, nous avons mis en place des accords d'accréditation avec les tiers et les sous-traitants qui ont accès aux renseignements médicaux personnels.
L'accès aux données des patients est sévèrement limité, et toute personne ou partie qui a (potentiellement) accès aux données des patients est liée par des accords de confidentialité.
Physitrack exploite des plateformes physiquement isolées dans différents centres de données à travers le monde afin d'éviter autant que possible les fuites de données en dehors des juridictions.
- Chaque année, nous faisons appel à un tiers accrédité pour effectuer des tests de pénétration en boîte grise sur notre plateforme. Il s'agit notamment de tester les vulnérabilités par rapport aux menaces de l'OWASP.
- Chaque semaine, un tiers indépendant analyse notre plateforme à la recherche de vulnérabilités connues.
Toute vulnérabilité découverte est traitée en priorité, résolue et déployée dès que possible après sa découverte.
Certification ISO 27001 et ISO 27018
La norme ISO 27001 (officiellement connue sous le nom d'ISO/IEC 27001:2013) est une norme relative aux systèmes de gestion de la sécurité de l'information (SGSI).
Un SGSI est un cadre de politiques et de procédures qui comprend tous les contrôles juridiques, physiques et techniques impliqués dans les processus de gestion des risques liés à l'information d'une organisation dans le but de préserver la sécurité de l'information.
Les données sont hébergées et traitées au sein d'AWS. AWS est certifiée SOC et ISO 27001.
*Physitrack a mis en place un système de gestion de la sécurité de l'information (ISMS) et a nommé un responsable de la sécurité de l'information et un responsable de la protection des données. Notre adhésion aux exigences ISO a été confirmée par des audits indépendants et est soutenue par les certificats ISO27001 (sécurité de l'information) et ISO27018 (protection des données dans le nuage).
L'architecture de sécurité de notre réseau se compose de plusieurs zones de sécurité. Nous surveillons et protégeons notre réseau pour nous assurer qu'aucun accès non autorisé n'est effectué en utilisant :
- un nuage privé virtuel (VPC) ;
- un hôte bastion ou VPN avec des listes de contrôle d'accès au réseau (ACL) et aucune adresse IP publique ;
- un pare-feu qui surveille et contrôle le trafic réseau entrant et sortant ;
- le filtrage d'adresses IP.
Notre infrastructure est hébergée dans AWS. Les contrôles liés à la sécurité physique et environnementale de nos serveurs, qui comprennent les bâtiments, les serrures ou les clés utilisées sur les portes, sont gérés par AWS:
"L'accès physique est strictement contrôlé à la fois au périmètre et aux points d'entrée des bâtiments par du personnel de sécurité professionnel. Le personnel autorisé doit passer une authentification à deux facteurs au minimum deux fois pour accéder aux étages du centre de données."
Nous accordons la plus grande importance à la protection de votre vie privée. Dans le cadre de notre engagement à protéger vos données, nous ne stockons aucune information bancaire ou de carte de crédit sur nos serveurs. Nous faisons appel à des services de paiement tiers certifiés PCI-DSS pour traiter toutes les transactions. Ce sont des leaders du secteur en matière de sécurité et de conformité des paiements, ce qui garantit que vos informations de paiement sont traitées de manière sûre et efficace.
Pour le traitement des paiements, nous utilisons les services de confiance suivants :
- Adyen est un service de paiement de premier plan connu pour sa technologie avancée et sa conformité aux normes PCI-DSS. Vous pouvez consulter ses pratiques en matière de protection de la vie privée sur sa page consacrée à la politique de confidentialité.
- Stripe est une plateforme de paiement mondialement reconnue pour ses mesures de sécurité robustes et sa conformité aux normes PCI-DSS. Vous pouvez en savoir plus sur leurs pratiques en matière de protection de la vie privée en visitant leur page sur la politique de confidentialité.
- GoCardless est spécialisé dans les paiements par prélèvement automatique et adhère aux normes de sécurité les plus strictes. Des informations détaillées sur leur politique de protection des données et de la vie privée sont disponibles sur leur page de politique de confidentialité.
- Chargebee offre une plateforme complète de facturation d'abonnements avec des protocoles de sécurité robustes. Veuillez consulter leur politique de confidentialité pour plus de détails sur la manière dont Chargebee traite vos données.
Notre engagement en faveur de la sécurité de vos données est encore renforcé par nos partenariats avec ces services de confiance réputés. Ensemble, nous mettons en œuvre un ensemble complet de mesures de sécurité, garantissant que vos informations financières sont gérées avec le plus grand soin et la plus grande sécurité.
Contrôles qui protègent l’intégrité des services
Nous utilisons des processus de développement conformes aux meilleures pratiques du secteur, tant pour nos applications que pour notre infrastructure.
Le code est sous contrôle de version (Git), et les fonctionnalités/corrections sont développées dans des branches séparées.
Avant d'être examiné par un pair, le code doit passer des milliers de tests automatisés et est analysé pour détecter les problèmes de sécurité connus. Le correctif/la fonctionnalité est ensuite testé(e) manuellement (QA) et fusionné(e) avec la branche de code principale.
Nous disposons d'environnements distincts pour les tests, le développement et la production.
Contrôles qui protègent la disponibilité des services
Bases de données à haute disponibilité
Nos données sont traitées sur des bases de données AWS RDS (Postgresql) et répliquées dans une configuration de haute disponibilité.
Sauvegardes quotidiennes
Chaque jour, nos bases de données sont sauvegardées et stockées sous forme cryptée. Les sauvegardes sont vérifiées régulièrement.
Surveillance 24 heures sur 24, 7 jours sur 7
Notre NOC virtuel surveille notre infrastructure 24 heures sur 24, 7 jours sur 7 et 365 jours par an. Notre équipe SRE et l'ensemble de notre équipe de développement sont alertés si les mesures de l'infrastructure dépassent certains seuils critiques.
Fenêtres de maintenance
Les mises à jour susceptibles d'avoir une incidence sur la disponibilité de la plateforme sont effectuées autant que possible en dehors des heures de bureau afin de ne pas vous perturber, vous et vos patients.
Une communication responsable
Si vous pensez avoir découvert un bogue dans notre sécurité, veuillez envoyer un courriel à support@physitrack.com et nous vous répondrons dans les 24 heures. Nous vous demandons de ne pas divulguer publiquement le problème avant que nous ayons eu l'occasion de le résoudre.
