Informatiebeveiliging
De beveiliging van patiënten en zorgverlener is van het allergrootste belang voor Physitrack. Ons uitgebreide managementsysteem voor informatiebeveiliging (ISMS) en beveiligingscontroles, alsmede de zorgvuldige selectie van de subcontractors, derden en leveranciers waarmee wij samenwerken, spelen een sleutelrol bij de bescherming van zorgverlener en patiëntengegevens.
Hieronder vindt u een samenvatting van hoog niveau van enkele van de beveiligingsmaatregelen die wij hebben genomen. Omdat het onze filosofie is om voortdurend te verbeteren, worden deze controles jaarlijks geëvalueerd en - waar mogelijk - verbeterd.
Physitrack is geregistreerd bij het Information Commissioner's Office van het Verenigd Koninkrijk onder nummer ZA396165.
Controles om privacy te beschermen
Privacy staat bovenaan
We vragen en slaan zo weinig mogelijk gegevens op en hebben ons platform en onze activiteiten ontworpen volgens de strikte GDPR-principes van de EU. Voor subprocessors van buiten de EU gelden standaard contractuele clausules.
Gegevensversleuteling in-transit en at-rest
Alle gegevens die van en naar ons platform worden verzonden, zijn in-transit en at-rest versleuteld. Zie onze SSL Labs score.
Voor Physitrack Telehealth, is al het verkeer tussen klanten en Dolby® versleuteld. Alle media tussen de cliënt en server maken gebruik van standaard protocollen (DTLS / SRTP) versleuteld met 128 bit AES.
TLS-encryptie wordt gebruikt voor inkomende en uitgaande e-mail.
Voldoet aan HIPAA
Naast alle controles die de vertrouwelijkheid, integriteit en beschikbaarheid van PHI beschermen, hebben we BAA's met derden en leveranciers die toegang hebben tot PHI.
Vertrouwelijkheid en ons team
De toegang tot patiëntgegevens is sterk beperkt en elke persoon of partij die (mogelijk) toegang heeft tot patiëntgegevens is gebonden aan strenge geheimhoudingsplichten.
Lokale opslag in landen/regio's
Physitrack draait fysiek geïsoleerde platforms in verschillende datacentra over de hele wereld om te voorkomen dat gegevens uitlekken naar jurisdicties, voor zover dat redelijkerwijs mogelijk is.
Beveiligingsaudits
- Elk jaar huren we een geaccrediteerde derde partij in om grey-box-penetratietesten op ons platform uit te voeren. Dit omvat het testen op kwetsbaarheden tegen OWASP-bedreigingen.
- Wekelijks scant een onafhankelijke derde partij ons platform op bekende kwetsbaarheden.
Elke ontdekte kwetsbaarheid krijgt prioriteit, wordt verholpen en zo snel mogelijk na ontdekking geïmplementeerd.
ISO 27001 & ISO 27018 certificering
ISO 27001 (formeel bekend als ISO/IEC 27001:2013) is een norm voor Information Security Management Systems (ISMS).
Een ISMS is een raamwerk van beleid en procedures dat alle juridische, fysieke en technische controles omvat die betrokken zijn bij de processen voor het beheer van informatierisico's van een organisatie met als doel informatie veilig te houden.
Gegevens worden gehost en verwerkt binnen AWS. AWS is SOC- en ISO 27001-gecertificeerd.
Physitrack heeft een ISMS ingevoerd, met de functies van Information Security Manager en Data Protection Officer. Onze naleving van de ISO-vereisten is bevestigd door de onafhankelijke audits en wordt ondersteund door de ISO27001 (Information Security) en ISO27018 (Data Protection in Cloud) certificaten.
Download het Physitrack ISO 27018-certificaat
Download het Physitrack ISO 27001-certificaat
Beveiliging van het netwerk
Onze netwerkbeveiliging bestaat uit meerdere beveiligingszones.
Wij bewaken en beveiligen ons netwerk, om ervoor te zorgen dat er geen ongeautoriseerde toegang wordt verleend met behulp van:
- een virtuele privécloud (VPC);
- een bastionhost of VPN met netwerktoegangscontrolelijsten (ACL's) en zonder openbare IP-adressen;
- een firewall die het inkomende en uitgaande netwerkverkeer controleert en bewaakt;
- IP-adresfiltering.
Fysieke beveiliging
Onze infrastructuur wordt gehost binnen AWS. Fysieke en omgevingsgerelateerde beveiligingscontroles voor onze servers, waaronder gebouwen, sloten of sleutels die op deuren worden gebruikt, worden beheerd door AWS:
"Fysieke toegang wordt zowel aan de perimeter als bij de ingangspunten van het gebouw streng gecontroleerd door professioneel beveiligingspersoneel. Geautoriseerd personeel moet minimaal twee keer langs twee-factor authenticatie om toegang te krijgen tot datacenterverdiepingen."
Geen betalingsinformatie opgeslagen
Uw privacy is voor ons van het grootste belang. Als onderdeel van onze toewijding om je gegevens te beschermen, slaan we geen bank- of creditcardgegevens op onze servers op. In plaats daarvan vertrouwen we op PCI-DSS-gecertificeerde betalingsdiensten van derden om alle transacties af te handelen. Zij zijn marktleiders op het gebied van betalingsbeveiliging en naleving van betalingsregels en zorgen ervoor dat je betalingsgegevens veilig en efficiënt worden verwerkt.
Voor de verwerking van betalingen maken we gebruik van de volgende vertrouwde diensten:
- Adyen is een toonaangevende betaalservice die bekend staat om zijn geavanceerde technologie en naleving van de PCI-DSS normen. U kunt hun privacy werkzaamheden bekijken op hun privacybeleidspagina.
- Stripe is een wereldwijd erkend betalingsplatform dat bekend staat om zijn robuuste beveiligingsmaatregelen en naleving van de PCI-DSS-normen. Je kunt meer te weten komen over hun privacy werkzaamheden door naar hun privacybeleidspagina te gaan.
- GoCardless is gespecialiseerd in automatische incasso's en voldoet aan de hoogste veiligheidsnormen. Gedetailleerde informatie over hun gegevensbescherming en privacybeleid is te vinden op hun privacybeleidspagina.
- Chargebee biedt een uitgebreid factureringsplatform voor abonnementen met robuuste beveiligingsprotocollen. Raadpleeg hun privacybeleid voor meer informatie over hoe Chargebee met je gegevens omgaat.
Onze toewijding aan de beveiliging van uw gegevens wordt verder versterkt door onze partnerschappen met deze gerenommeerde vertrouwde services. Samen implementeren we een uitgebreide reeks beveiligingsmaatregelen om ervoor te zorgen dat uw financiële gegevens met de grootst mogelijke zorg en veiligheid worden beheerd.
Controles die de integriteit beschermen
Veilige Ontwikkelingslevenscyclus
We maken gebruik van de beste praktijk ontwikkelingsprocessen in de branche, zowel voor onze applicaties als voor onze infrastructuur.
De code staat onder versiebeheer (Git) en features/fixes worden in aparte branches ontwikkeld.
Voordat de code door een collega wordt beoordeeld, moet deze duizenden geautomatiseerde tests doorstaan en wordt deze gescand op bekende beveiligingsproblemen. De fix/feature wordt dan handmatig getest (QA) en samengevoegd naar de master code branch.
We hebben aparte test-, staging- en productieomgevingen.
Controles die de beschikbaarheid beschermen
Databases met hoge beschikbaarheid
Onze gegevens worden verwerkt op AWS RDS-databases (Postgresql) en gerepliceerd in een configuratie met hoge beschikbaarheid.
Dagelijkse back-ups
Elke dag wordt er een back-up gemaakt van onze databases en deze worden versleuteld opgeslagen. De back-ups worden regelmatig geverifieerd.
24/7 monitoring
Ons virtuele NOC bewaakt onze infrastructuur 24/7/365 en zowel ons SRE-team als ons hele ontwikkelingsteam worden gewaarschuwd als infrastructuurmetriek bepaalde kritieke drempelwaarden overschrijdt.
Onderhoudsvensters
Updates die de beschikbaarheid kunnen beïnvloeden, worden zoveel mogelijk buiten de lokale kantooruren uitgevoerd om u en uw patiënten niet te storen.
Verantwoordelijk delen van bugs of beveiligingsproblemen
Als u denkt dat u een bug in onze beveiliging hebt ontdekt, stuur dan een e-mail naar support@physitrack.com en wij nemen binnen 24 uur contact met u op. Wij verzoeken u het probleem niet publiekelijk bekend te maken totdat wij de kans hebben gehad het probleem op te lossen.