Informazioni di sicurezza
Per Physitrack è di fondamentale importanza mantenere la sicurezza dei pazienti e degli operatori. Il nostro ampio sistema di gestione della sicurezza delle informazioni (ISMS) e i controlli di sicurezza, nonché l'attenta selezione dei subappaltatori, delle terze parti e dei subprocessori con cui lavoriamo, svolgono un ruolo fondamentale nella protezione dei dati degli operatori e dei pazienti.
Di seguito è riportato un riepilogo di alto livello di alcuni dei controlli di sicurezza da noi attuati. Poiché la nostra filosofia è quella di migliorare continuamente, questi controlli vengono rivisti e, ove possibile, migliorati ogni anno.
Physitrack è registrato presso l'Information Commissioner's Office del Regno Unito con il numero ZA396165.
Controlli che proteggono la riservatezza
La privacy al primo posto
Chiediamo e memorizziamo il meno possibile e abbiamo progettato la nostra piattaforma e le nostre operazioni in linea con i rigorosi principi del GDPR dell'UE. I subprocessori non appartenenti all'UE dispongono di clausole contrattuali standard.
Crittografia dei dati in transito e inattivi
Tutti i dati inviati da e verso la nostra piattaforma sono crittografati in transito e a riposo. Vedere il nostro punteggio SSL Labs.
Per Physitrack Telesanità , tutto il traffico tra i clienti e Dolby® è crittografato. Tutti i media tra il client e il server utilizzano protocolli standard (DTLS/SRTP) crittografati con AES a 128 bit.
La crittografia TLS viene utilizzata per le e-mail in entrata e in uscita.
Conformità alle norme HIPAA
Oltre a tutti i controlli che proteggono la riservatezza, l'integrità e la disponibilità di PHI, disponiamo di BAAs con terze parti e subappaltatori che hanno accesso a PHI.
Riservatezza e il nostro team
L'accesso ai dati dei pazienti è severamente limitato e qualsiasi persona o parte che (potenzialmente) abbia accesso ai dati dei pazienti è vincolata da accordi di riservatezza.
Archiviazione locale in paesi / regioni
Physitrack gestisce piattaforme fisicamente isolate in diversi data center in tutto il mondo per evitare il più possibile la fuga di dati al di fuori delle giurisdizioni.
Audit di sicurezza
- Ogni anno incarichiamo una terza parte accreditata di eseguire test di penetrazione grey box sulla nostra piattaforma. Ciò include la verifica delle vulnerabilità rispetto alle minacce OWASP
- Ogni settimana, una terza parte indipendente analizza la nostra piattaforma alla ricerca di vulnerabilità note.
Ogni vulnerabilità scoperta viene classificata come prioritaria, risolta e distribuita il prima possibile dopo la scoperta.
Certificazione ISO 27001 e ISO 27018
ISO 27001 (formalmente noto come ISO/IEC 27001:2013) è uno standard per i sistemi di gestione della sicurezza delle informazioni (ISMS).
Un ISMS è un quadro di politiche e procedure che comprende tutti i controlli legali, fisici e tecnici coinvolti nei processi di gestione del rischio delle informazioni di un'organizzazione con l'obiettivo di mantenere le informazioni sicure.
I dati sono ospitati ed elaborati all'interno di AWS. AWS possiede la certificazione SOC e ISO 27001.
Physitrack ha un ISMS in atto, con i ruoli di Information Security Manager e Data Protection Officer nominati. La nostra adesione ai requisiti ISO è stata confermata da audit indipendenti ed è supportata dai certificati ISO27001 (sicurezza delle informazioni) e ISO27018 (protezione dei dati nel cloud).
Scarica il certificato Physitrack ISO 27018
Scarica il certificato Physitrack ISO 27001
Sicurezza della rete
La nostra architettura di sicurezza della rete è costituita da più zone di sicurezza.
Monitoriamo e proteggiamo la nostra rete, per assicurarci che non vengano effettuati accessi non autorizzati:
- un cloud privato virtuale (VPC);
- un host bastione o una VPN con liste di controllo degli accessi alla rete (ACL) e nessun indirizzo IP pubblico;
- un firewall che monitora e controlla il traffico di rete in entrata e in uscita;
- filtraggio degli indirizzi IP.
Sicurezza fisica
La nostra infrastruttura è ospitata all'interno di AWS. I controlli relativi alla sicurezza fisica e ambientale dei nostri server, che includono edifici, serrature o chiavi usate sulle porte, sono gestiti da AWS:
"L'accesso fisico è strettamente controllato sia al perimetro che ai punti di ingresso degli edifici da personale di sicurezza professionale. Il personale autorizzato deve superare l'autenticazione a due fattori un minimo di due volte per accedere ai piani del data center."
Nessuna informazione di pagamento memorizzata
Non memorizziamo i dati bancari o della carta di credito sui nostri server e utilizziamo terze parti certificate PCI-DSS (Adyen e Chargebee) per elaborare i pagamenti.
Controlli che proteggono l'integrità
Ciclo di vita dello sviluppo sicuro
Utilizziamo i migliori processi di sviluppo del settore sia per le nostre applicazioni che per la nostra infrastruttura.
Il codice è sottoposto a controllo di versione (Git) e le funzionalità/funzioni vengono sviluppate in rami separati.
Prima di essere revisionato da un collega, il codice deve superare migliaia di test automatici e viene analizzato per individuare eventuali problemi di sicurezza. La correzione/caratteristica viene poi testata manualmente (QA) e unita al ramo master del codice.
Abbiamo ambienti di test, staging e produzione separati.
Controlli che proteggono la disponibilità
Database ad alta disponibilità
I nostri dati vengono elaborati su database AWS RDS (Postgresql) e replicati in una configurazione ad alta disponibilità.
Backup giornalieri
Ogni giorno, i nostri database vengono sottoposti a backup e archiviati crittografati. I backup vengono verificati regolarmente.
Monitoraggio 24 ore su 24, 7 giorni su 7
Il nostro NOC virtuale monitora la nostra infrastruttura 24 ore su 24, 7 giorni su 7, 365 giorni su 365 e sia il nostro team SRE che l'intero team di sviluppo vengono avvisati se le metriche dell'infrastruttura superano determinate soglie critiche.
Finestre di manutenzione
Gli aggiornamenti che potrebbero influire sulla disponibilità vengono effettuati al di fuori dell'orario lavorativo locale il più possibile per evitare di disturbare te e i tuoi pazienti.
Divulgazione responsabile
Se ritenete di aver scoperto un bug nella nostra sicurezza, inviate un'e-mail a support@physitrack.com e vi risponderemo entro 24 ore. Vi chiediamo di non divulgare pubblicamente il problema finché non avremo avuto la possibilità di risolverlo.