Informatiebeveiliging
De beveiliging van patiënten en zorgverlener is van het allergrootste belang voor Physitrack. Ons uitgebreide beheersysteem voor informatiebeveiliging (ISMS) en beveiligingscontroles, alsmede de zorgvuldige selectie van de onderaannemers, derden en subverwerkers waarmee wij samenwerken, spelen een sleutelrol bij de bescherming van zorgverlener en patiëntengegevens.
Hieronder vindt u een samenvatting op hoog niveau van enkele van de beveiligingsmaatregelen die wij hebben genomen. Omdat het onze filosofie is om voortdurend te verbeteren, worden deze controles jaarlijks geëvalueerd en - waar mogelijk - verbeterd.
Physitrack is geregistreerd bij het Information Commissioner's Office van het Verenigd Koninkrijk onder nummer ZA396165.
Checks om privacy te beschermen
Privacy staat bovenaan
We vragen en slaan zo weinig mogelijk gegevens op en hebben ons platform en onze activiteiten ontworpen volgens de strikte GDPR-principes van de EU. Voor subverwerkers van buiten de EU gelden standaard contractuele clausules.
Gegevensversleuteling ‘in transit’ en ‘at rest’
Alle gegevens die van en naar ons platform worden verzonden, zijn onderweg versleuteld en in rust versleuteld. Zie onze SSL Labs score.
Voor Physitrack Telehealth, is al het verkeer tussen klanten en Dolby® versleuteld. Alle media tussen de client en server maken gebruik van standaard protocollen (DTLS / SRTP) versleuteld met 128 bit AES.
TLS-encryptie wordt gebruikt voor inkomende en uitgaande e-mail.
Voldoet aan HIPAA
Naast alle controles die de vertrouwelijkheid, integriteit en beschikbaarheid van PHI beschermen, hebben we BAA's met derden en toeleveranciers die toegang hebben tot PHI.
Vertrouwelijkheid en ons team
De toegang tot patiëntgegevens is sterk beperkt en elke persoon of partij die (mogelijk) toegang heeft tot patiëntgegevens is gebonden aan strenge geheimhoudingsovereenkomsten.
Lokale opslag in landen/regio's
Physitrack draait fysiek geïsoleerde platforms in verschillende datacentra over de hele wereld om te voorkomen dat gegevens uitlekken naar jurisdicties, voor zover dat redelijkerwijs mogelijk is.
Beveiligingsaudits
- Elk jaar huren we een geaccrediteerde derde partij in om grey box penetratietests op ons platform uit te voeren. Dit omvat het testen op kwetsbaarheden tegen OWASP-bedreigingen
- Wekelijks scant een onafhankelijke derde partij ons platform op bekende kwetsbaarheden.
Elke ontdekte kwetsbaarheid krijgt prioriteit, wordt verholpen en zo snel mogelijk na ontdekking geïmplementeerd.
ISO 27001 & ISO 27018 certificering
ISO 27001 (formeel bekend als ISO/IEC 27001:2013) is een norm voor Information Security Management Systems (ISMS).
Een ISMS is een raamwerk van beleid en procedures dat alle juridische, fysieke en technische controles omvat die betrokken zijn bij de processen voor het beheer van informatierisico's van een organisatie met als doel informatie veilig te houden.
Gegevens worden gehost en verwerkt binnen AWS. AWS is SOC- en ISO 27001-gecertificeerd.
Physitrack heeft een ISMS ingevoerd, met de functies van Information Security Manager en Data Protection Officer. Onze naleving van de ISO-vereisten is bevestigd door de onafhankelijke audits en wordt ondersteund door de ISO27001 (Information Security) en ISO27018 (Data Protection in Cloud) certificaten.
Download het Physitrack ISO 27018-certificaat
Download het Physitrack ISO 27001-certificaat
Beveiliging van het netwerk
Onze netwerkbeveiligingsarchitectuur bestaat uit meerdere beveiligingszones.
Wij bewaken en beveiligen ons netwerk, om ervoor te zorgen dat er geen ongeoorloofde toegang wordt uitgevoerd met behulp van:
- een virtuele privécloud (VPC);
- een bastionhost of VPN met netwerktoegangscontrolelijsten (ACL's) en zonder openbare IP-adressen;
- een firewall die het inkomende en uitgaande netwerkverkeer controleert en bewaakt;
- IP-adresfiltering.
Fysieke beveiliging
Onze infrastructuur wordt gehost binnen AWS. Fysieke en omgevingsgerelateerde beveiligingscontroles voor onze servers, waaronder gebouwen, sloten of sleutels die op deuren worden gebruikt, worden beheerd door AWS:
"Fysieke toegang wordt zowel aan de perimeter als bij de ingangspunten van het gebouw streng gecontroleerd door professioneel beveiligingspersoneel. Geautoriseerd personeel moet minimaal twee keer langs twee-factor authenticatie om toegang te krijgen tot datacenterverdiepingen."
Geen betalingsinformatie opgeslagen
Wij slaan geen bank- of creditcardgegevens op onze servers op en gebruiken PCI-DSS gecertificeerde derde partijen (Adyen en Chargebee) om betalingen te verwerken.
Controles die de integriteit beschermen
Veilige ‘Development Lifecycle’
We gebruiken de beste ontwikkelprocessen in de industrie, zowel voor onze applicaties als voor onze infrastructuur.
De code staat onder versiebeheer (Git), en functies/fixes worden in afzonderlijke takken ontwikkeld.
Voordat de code door een peer wordt beoordeeld, moet hij duizenden geautomatiseerde tests doorstaan en wordt hij gescand op bekende beveiligingsproblemen. De fix/feature wordt dan handmatig getest (QA) en samengevoegd in de master code branch.
We hebben aparte test-, staging- en productieomgevingen.
Controles die de beschikbaarheid beschermen
Databases met hoge beschikbaarheid
Onze gegevens worden verwerkt op AWS RDS-databases (Postgresql) en gerepliceerd in een configuratie met hoge beschikbaarheid.
Dagelijkse back-ups
Elke dag wordt er een back-up gemaakt van onze databases en deze worden versleuteld opgeslagen. De back-ups worden regelmatig geverifieerd.
24/7 monitoring
Ons virtuele NOC bewaakt onze infrastructuur 24/7/365 en zowel ons SRE-team als ons hele ontwikkelingsteam worden gewaarschuwd als infrastructuurmetriek bepaalde kritieke drempelwaarden overschrijdt.
Onderhoudsvensters
Updates die de beschikbaarheid kunnen beïnvloeden, worden zoveel mogelijk buiten de lokale kantooruren uitgevoerd om u en uw patiënten niet te storen.
Verantwoordelijk delen van bugs of beveiligingsproblemen
Als u denkt dat u een bug in onze beveiliging hebt ontdekt, stuur dan een e-mail naar support@physitrack.com en wij nemen binnen 24 uur contact met u op. Wij verzoeken u het probleem niet publiekelijk bekend te maken totdat wij de kans hebben gehad het probleem op te lossen.
