Informazioni di sicurezza
Per Physitrack è di fondamentale importanza mantenere la sicurezza dei pazienti e degli operatori. Il nostro ampio sistema di gestione della sicurezza delle informazioni (ISMS) e i controlli di sicurezza, nonché l'attenta selezione dei subappaltatori, delle terze parti e dei subprocessori con cui lavoriamo, svolgono un ruolo fondamentale nella protezione dei dati degli operatori e dei pazienti.
Di seguito è riportato un riepilogo di alto livello di alcuni dei controlli di sicurezza da noi attuati. Poiché la nostra filosofia è quella di migliorare continuamente, questi controlli vengono rivisti e, ove possibile, migliorati ogni anno.
Physitrack è registrato presso l'Information Commissioner's Office del Regno Unito con il numero ZA396165.
Controlli che proteggono la riservatezza
La privacy al primo posto
Chiediamo e memorizziamo il meno possibile e abbiamo progettato la nostra piattaforma e le nostre operazioni in linea con i rigorosi principi del GDPR dell'UE. I subprocessori non appartenenti all'UE dispongono di clausole contrattuali standard.
Crittografia dei dati in transito e inattivi
Tutti i dati inviati da e verso la nostra piattaforma sono crittografati in transito e a riposo. Vedere il nostro punteggio SSL Labs.
Per Physitrack Telesanità , tutto il traffico tra i clienti e Dolby® è crittografato. Tutti i media tra il client e il server utilizzano protocolli standard (DTLS/SRTP) crittografati con AES a 128 bit.
La crittografia TLS viene utilizzata per le e-mail in entrata e in uscita.
Conformità alle norme HIPAA
Oltre a tutti i controlli che proteggono la riservatezza, l'integrità e la disponibilità di PHI, disponiamo di BAAs con terze parti e subappaltatori che hanno accesso a PHI.
Riservatezza e il nostro team
L'accesso ai dati dei pazienti è severamente limitato e qualsiasi persona o parte che (potenzialmente) abbia accesso ai dati dei pazienti è vincolata da accordi di riservatezza.
Archiviazione locale in paesi / regioni
Physitrack gestisce piattaforme fisicamente isolate in diversi data center in tutto il mondo per evitare il più possibile la fuga di dati al di fuori delle giurisdizioni.
Audit di sicurezza
- Ogni anno incarichiamo una terza parte accreditata di eseguire test di penetrazione grey box sulla nostra piattaforma. Ciò include la verifica delle vulnerabilità rispetto alle minacce OWASP
- Ogni settimana, una terza parte indipendente analizza la nostra piattaforma alla ricerca di vulnerabilità note.
Ogni vulnerabilità scoperta viene classificata come prioritaria, risolta e distribuita il prima possibile dopo la scoperta.
Certificazione ISO 27001 e ISO 27018
ISO 27001 (formalmente noto come ISO/IEC 27001:2013) è uno standard per i sistemi di gestione della sicurezza delle informazioni (ISMS).
Un ISMS è un quadro di politiche e procedure che comprende tutti i controlli legali, fisici e tecnici coinvolti nei processi di gestione del rischio delle informazioni di un'organizzazione con l'obiettivo di mantenere le informazioni sicure.
I dati sono ospitati ed elaborati all'interno di AWS. AWS possiede la certificazione SOC e ISO 27001.
Physitrack ha un ISMS in atto, con i ruoli di Information Security Manager e Data Protection Officer nominati. La nostra adesione ai requisiti ISO è stata confermata da audit indipendenti ed è supportata dai certificati ISO27001 (sicurezza delle informazioni) e ISO27018 (protezione dei dati nel cloud).
Scarica il certificato Physitrack ISO 27018
Scarica il certificato Physitrack ISO 27001
Sicurezza della rete
La nostra architettura di sicurezza della rete è costituita da più zone di sicurezza.
Monitoriamo e proteggiamo la nostra rete, per assicurarci che non vengano effettuati accessi non autorizzati:
- un cloud privato virtuale (VPC);
- un host bastione o una VPN con liste di controllo degli accessi alla rete (ACL) e nessun indirizzo IP pubblico;
- un firewall che monitora e controlla il traffico di rete in entrata e in uscita;
- filtraggio degli indirizzi IP.
Sicurezza fisica
La nostra infrastruttura è ospitata all'interno di AWS. I controlli relativi alla sicurezza fisica e ambientale dei nostri server, che includono edifici, serrature o chiavi usate sulle porte, sono gestiti da AWS:
"L'accesso fisico è strettamente controllato sia al perimetro che ai punti di ingresso degli edifici da personale di sicurezza professionale. Il personale autorizzato deve superare l'autenticazione a due fattori un minimo di due volte per accedere ai piani del data center."
Nessuna informazione di pagamento memorizzata
La vostra privacy è di estrema importanza per noi. Come parte del nostro impegno a salvaguardare i vostri dati, non memorizziamo alcuna informazione bancaria o relativa alla carta di credito sui nostri server. Per la gestione di tutte le transazioni ci affidiamo invece a servizi di pagamento di terzi certificati PCI-DSS. Si tratta di aziende leader nel settore della sicurezza e della conformità dei pagamenti, che garantiscono un'elaborazione sicura ed efficiente delle informazioni di pagamento.
Per l'elaborazione dei pagamenti, utilizziamo i seguenti servizi di fiducia:
- Adyen è un servizio di pagamento leader noto per la sua tecnologia avanzata e la conformità agli standard PCI-DSS. È possibile esaminare le sue pratiche in materia di privacy nella pagina dedicata all'informativa sulla privacy.
- Stripe è una piattaforma di pagamento riconosciuta a livello mondiale, nota per le sue solide misure di sicurezza e la conformità agli standard PCI-DSS. Per saperne di più sulle sue pratiche in materia di privacy, visitate la pagina della sua informativa sulla privacy.
- GoCardless è specializzata in pagamenti con addebito diretto e rispetta i più elevati standard di sicurezza. Informazioni dettagliate sulle politiche di protezione dei dati e della privacy sono disponibili nella pagina dedicata.
- Chargebee offre una piattaforma completa per la fatturazione degli abbonamenti con solidi protocolli di sicurezza. Per maggiori dettagli sul trattamento dei dati da parte di Chargebee, consultare l'informativa sulla privacy.
Il nostro impegno per la sicurezza dei vostri dati è ulteriormente rafforzato dalla collaborazione con questi rinomati servizi di fiducia. Insieme, implementiamo una serie completa di misure di sicurezza, assicurando che le vostre informazioni finanziarie siano gestite con la massima cura e sicurezza.
Controlli che proteggono l'integrità
Ciclo di vita dello sviluppo sicuro
Utilizziamo i migliori processi di sviluppo del settore sia per le nostre applicazioni che per la nostra infrastruttura.
Il codice è sottoposto a controllo di versione (Git) e le funzionalità/funzioni vengono sviluppate in rami separati.
Prima di essere revisionato da un collega, il codice deve superare migliaia di test automatici e viene analizzato per individuare eventuali problemi di sicurezza. La correzione/caratteristica viene poi testata manualmente (QA) e unita al ramo master del codice.
Abbiamo ambienti di test, staging e produzione separati.
Controlli che proteggono la disponibilità
Database ad alta disponibilità
I nostri dati vengono elaborati su database AWS RDS (Postgresql) e replicati in una configurazione ad alta disponibilità.
Backup giornalieri
Ogni giorno, i nostri database vengono sottoposti a backup e archiviati crittografati. I backup vengono verificati regolarmente.
Monitoraggio 24 ore su 24, 7 giorni su 7
Il nostro NOC virtuale monitora la nostra infrastruttura 24 ore su 24, 7 giorni su 7, 365 giorni su 365 e sia il nostro team SRE che l'intero team di sviluppo vengono avvisati se le metriche dell'infrastruttura superano determinate soglie critiche.
Finestre di manutenzione
Gli aggiornamenti che potrebbero influire sulla disponibilità vengono effettuati al di fuori dell'orario lavorativo locale il più possibile per evitare di disturbare te e i tuoi pazienti.
Divulgazione responsabile
Se ritenete di aver scoperto un bug nella nostra sicurezza, inviate un'e-mail a support@physitrack.com e vi risponderemo entro 24 ore. Vi chiediamo di non divulgare pubblicamente il problema finché non avremo avuto la possibilità di risolverlo.