Informasi Keamanan
Menjaga pasien dan praktisi tetap aman sangat penting untuk Physitrack. Sistem manajemen keamanan informasi (ISMS) dan kontrol keamanan kami yang luas, serta pemilihan subkontraktor, pihak ketiga, dan subpemroses yang kami gunakan untuk memainkan peran penting dalam melindungi data praktisi dan pasien.
Di bawah ini, temukan ringkasan tingkat tinggi dari beberapa kontrol keamanan yang kami miliki. Karena filosofi kami adalah untuk terus meningkatkan, kontrol ini ditinjau dan - jika memungkinkan - ditingkatkan setiap tahun.
Physitrack terdaftar di Kantor Komisaris Informasi Inggris Raya dengan nomor ZA396165.
Kontrol yang melindungi kerahasiaan
Utamakan privasi
Kami meminta dan menyimpan sesedikit mungkin dan telah merancang platform dan operasi kami sejalan dengan prinsip-prinsip GDPR UE yang ketat. Subpemroses non-UE memiliki Klausul Kontrak Standar.
Enkripsi data saat transit dan saat diam
Semua data yang dikirim ke dan dari platform kami dienkripsi saat transit dan dienkripsi saat tidak aktif. Lihat SSL Labs score kami
Bagi Physitrack Telehealth, semua aktivitas antara klien dan Dolby® terenkripsi. Semua media antara klien dan server menggunakan protokol standar (DTLS/SRTP) yang dienkripsi dengan AES 128 bit.
Enkripsi TLS digunakan untuk email masuk dan keluar.
Sesuai dengan HIPAA
Di atas semua kontrol yang melindungi kerahasiaan, integritas, dan ketersediaan PHI, kami memiliki BAA dengan pihak ketiga dan subkontraktor yang memiliki akses ke PHI.
Kerahasiaan & tim kami
Akses ke data pasien sangat dibatasi, dan setiap orang atau pihak yang (berpotensi) memiliki akses ke data pasien terikat dengan perjanjian kerahasiaan.
Penyimpanan lokal di negara/regional
Physitrack Menjalankan platform yang terisolasi secara fisik di pusat data yang berbeda di seluruh dunia untuk menghindari kebocoran data di luar yurisdiksi sebanyak mungkin.
Audit keamanan
- Setiap tahun, kami mempekerjakan pihak ketiga yang terakreditasi untuk melakukan tes penetrasi kotak abu-abu di platform kami. Ini termasuk menguji kerentanan terhadap ancaman OWASP
- Setiap minggu, pihak ketiga independen memindai platform kami untuk mencari kerentanan yang diketahui.
Setiap kerentanan yang tidak terungkap diprioritaskan, diselesaikan, dan disebarkan sesegera mungkin setelah penemuan.
Sertifikasi ISO 27001 & ISO 27018
ISO 27001 (secara resmi dikenal sebagai ISO/IEC 27001:2013) adalah standar untuk Sistem Manajemen Keamanan Informasi (SMKI).
SMKI adalah kerangka kerja kebijakan dan prosedur yang mencakup semua kontrol hukum, fisik, dan teknis yang terlibat dalam proses manajemen risiko informasi organisasi dengan tujuan menjaga keamanan informasi.
Data di-host dan diproses di dalam AWS. AWS memiliki sertifikasi SOC dan ISO 27001.
Physitrack memiliki ISMS, dengan peran Manajer Keamanan Informasi dan Petugas Perlindungan Data yang ditunjuk. Kepatuhan kami terhadap persyaratan ISO telah dikonfirmasi oleh audit independen dan didukung oleh sertifikat ISO27001 (Keamanan Informasi) dan ISO27018 (Perlindungan Data di Cloud).
Unduh Physitrack Sertifikat ISO 27018
Unduh Physitrack Sertifikat ISO 27001
Keamanan jaringan
Arsitektur keamanan jaringan kami terdiri dari beberapa zona keamanan.
Kami memantau dan melindungi jaringan kami, untuk memastikan tidak ada akses tidak sah yang menggunakan:
- cloud pribadi virtual (VPC);
- host bastion atau VPN dengan daftar kontrol akses jaringan (ACL) dan tidak ada alamat IP publik;
- firewall yang memantau dan mengontrol lalu lintas jaringan masuk dan keluar;
- Penyaringan alamat IP.
Keamanan fisik
Infrastruktur kami dihosting di dalam AWS. Kontrol terkait keamanan fisik dan lingkungan untuk server kami, yang mencakup bangunan, kunci, atau kunci yang digunakan di pintu, dikelola oleh AWS:
"Akses fisik dikontrol secara ketat baik di perimeter maupun di titik-titik ganti rugi oleh staf keamanan profesional. Staf yang berwenang harus melewati otentikasi dua faktor minimal dua kali untuk mengakses pusat data.
Tidak ada informasi pembayaran yang disimpan
Privasi Anda adalah hal yang paling penting bagi kami. Sebagai bagian dari komitmen kami untuk melindungi data Anda, kami tidak menyimpan informasi bank atau kartu kredit apa pun di server kami. Sebaliknya, kami mengandalkan layanan pembayaran pihak ketiga yang bersertifikat PCI-DSS untuk menangani semua transaksi. Mereka adalah pemimpin industri dalam hal keamanan dan kepatuhan pembayaran, yang memastikan bahwa informasi pembayaran Anda diproses dengan aman dan efisien.
Untuk pemrosesan pembayaran, kami menggunakan layanan tepercaya berikut ini:
- Adyen adalah layanan pembayaran terkemuka yang dikenal dengan teknologi canggih dan kepatuhan terhadap standar PCI-DSS. Anda dapat meninjau praktik privasi mereka di halaman kebijakan privasi mereka.
- Stripe adalah platform pembayaran yang diakui secara global yang dikenal dengan langkah-langkah keamanannya yang kuat dan kepatuhannya terhadap standar PCI-DSS. Anda dapat mempelajari lebih lanjut tentang praktik privasi mereka dengan mengunjungi halaman kebijakan privasi mereka.
- GoCardless mengkhususkan diri dalam pembayaran debit langsung dan mematuhi standar keamanan tertinggi. Informasi terperinci tentang perlindungan data dan kebijakan privasi mereka dapat ditemukan di halaman kebijakan privasi mereka.
- Chargebee menawarkan platform penagihan langganan yang komprehensif dengan protokol keamanan yang kuat. Silakan lihat kebijakan privasi mereka untuk detail lebih lanjut tentang bagaimana Chargebee menangani data Anda.
Komitmen kami terhadap keamanan data Anda semakin diperkuat oleh kemitraan kami dengan layanan tepercaya yang memiliki reputasi baik. Bersama-sama, kami menerapkan serangkaian langkah keamanan yang komprehensif, memastikan bahwa informasi keuangan Anda dikelola dengan sangat hati-hati dan aman.
Kontrol yang melindungi integritas
Daur Hidup Pengembangan yang Aman
Kami menggunakan proses pengembangan praktik terbaik industri baik untuk aplikasi dan infrastruktur kami.
Kode berada di bawah kontrol versi (Git), dan fitur/perbaikan dikembangkan di cabang yang terpisah.
Sebelum ditinjau oleh rekan sejawat, kode harus lulus ribuan tes otomatis dan dipindai untuk masalah keamanan yang diketahui. Perbaikan/fitur kemudian diuji secara manual (QA) dan digabungkan ke cabang kode master.
Kami memiliki lingkungan pengujian, pementasan, dan produksi terpisah.
Kontrol yang melindungi ketersediaan
Basis data dengan ketersediaan tinggi
Data kami diproses di database AWS RDS (Postgresql) dan direplikasi dalam konfigurasi ketersediaan tinggi.
Backup harian
Setiap hari, basis data kami diback-up dan disimpan dengan terenkripsi. Cadangan basis data tersebut diverifikasi secara teratur.
Pemantauan selama 24/7
NOC virtual kami memantau infrastruktur kami 24/7/365 dan tim SRE kami serta seluruh tim pengembangan kami diberi tahu jika metrik infrastruktur melewati ambang kritis tertentu.
Jendela pemeliharaan
Pembaruan yang dapat mempengaruhi ketersediaan dilakukan sebisa mungkin di luar jam kerja lokal untuk menghindari gangguan bagi Anda dan pasien Anda.
Pengungkapan yang bertanggung jawab
Jika Anda yakin telah menemukan bug dalam keamanan kami, silakan kirim email ke support@physitrack.com dan kami akan menghubungi Anda kembali dalam waktu 24 jam. Kami meminta Anda untuk tidak mengungkapkan masalah ini secara publik sampai kami memiliki kesempatan untuk mengatasinya.