Bezpieczeństwo informacji
Utrzymanie bezpieczeństwa pacjentów i lekarzy jest niezwykle ważne dla Physitrack. Nasz rozbudowany system zarządzania bezpieczeństwem informacji (ISMS) i kontrole bezpieczeństwa, a także staranny dobór podwykonawców, stron trzecich i podwykonawców przetwarzania, z którymi współpracujemy, odgrywają kluczową rolę w ochronie danych lekarzy i pacjentów.
Poniżej znajduje się ogólne podsumowanie niektórych środków kontroli bezpieczeństwa, które stosujemy. Ponieważ naszą filozofią jest ciągłe doskonalenie, kontrole te są corocznie przeglądane i - tam, gdzie to możliwe - ulepszane.
Physitrack jest zarejestrowana w brytyjskim Biurze Komisarza ds. Informacji pod numerem ZA396165.
Kontrole, które chronią dane poufne
Prywatność przede wszystkim
Pytamy i przechowujemy tak mało, jak to możliwe, a naszą platformę i operacje zaprojektowaliśmy zgodnie z surowymi zasadami GDPR UE. Podprocesorzy spoza UE mają wdrożone Standardowe Klauzule Umowne.
Szyfrowanie danych podczas przesyłania i spoczynku
Wszystkie dane przesyłane do i z naszej platformy są szyfrowane w tranzycie i szyfrowane w spoczynku. Zobacz nasz wynik SSL Labs.
Dla Physitrack Telehealth, cały ruch pomiędzy klientami a Dolby® jest szyfrowany. Wszystkie media pomiędzy klientem a serwerem używają standardowych protokołów (DTLS/SRTP) zaszyfrowanych 128 bitowym AES.
Szyfrowanie TLS jest używane dla przychodzącej i wychodzącej poczty elektronicznej.
Zgodność z HIPAA
Oprócz wszystkich kontroli, które chronią poufność, integralność i dostępność PHI, mamy zawarte umowy BAA ze stronami trzecimi i podwykonawcami, którzy mają dostęp do PHI.
Poufność i nasz zespół
Dostęp do danych pacjentów jest poważnie ograniczony, a każda osoba lub strona, która (potencjalnie) ma dostęp do danych pacjentów, jest związana umowami o zachowaniu poufności.
Lokalne przechowywanie w krajach/regionach
Physitrack posiada serwery w różnych centrach danych na całym świecie, aby uniknąć wycieku danych poza granice jurysdykcji, na tyle, na ile jest to możliwe.
Audyty bezpieczeństwa
- Co roku zatrudniamy akredytowaną firmę zewnętrzną, która przeprowadza na naszej platformie testy penetracyjne typu grey box. Obejmuje to testowanie podatności na zagrożenia OWASP
- Co tydzień niezależna strona trzecia skanuje naszą platformę w poszukiwaniu znanych luk.
Każda wykryta luka jest traktowana priorytetowo, usuwana i wdrażana jak najszybciej po jej wykryciu.
Certyfikacja ISO 27001 i ISO 27018
ISO 27001 (formalnie znana jako ISO/IEC 27001:2013) to norma dotycząca systemów zarządzania bezpieczeństwem informacji (ISMS).
ISMS to ramy polityk i procedur, które obejmują wszystkie prawne, fizyczne i techniczne kontrole związane z procesami zarządzania ryzykiem informacyjnym organizacji w celu zapewnienia bezpieczeństwa informacji.
Dane są hostowane i przetwarzane w AWS. AWS posiada certyfikaty SOC i ISO 27001.
Physitrack posiada wdrożony system ISMS, w ramach którego wyznaczono role kierownika ds. bezpieczeństwa informacji i inspektora ochrony danych. Nasza zgodność z wymogami ISO została potwierdzona przez niezależne audyty i jest poparta certyfikatami ISO27001 (bezpieczeństwo informacji) i ISO27018 (ochrona danych w chmurze).
Pobierz certyfikat Physitrack ISO 27018
Pobierz certyfikat ISO 27001 ze strony Physitrack
Bezpieczeństwo sieci
Nasza architektura bezpieczeństwa sieci składa się z wielu stref bezpieczeństwa.
Monitorujemy i chronimy naszą sieć, aby upewnić się, że żaden nieautoryzowany dostęp nie jest wykonywany przy użyciu:
- wirtualna chmura prywatna (VPC);
- host bastionowy lub VPN z listami kontroli dostępu do sieci (ACL) i bez publicznych adresów IP;
- zapora ogniowa, która monitoruje i kontroluje przychodzący i wychodzący ruch sieciowy;
- filtrowanie adresów IP.
Bezpieczeństwo fizyczne
Nasza infrastruktura jest hostowana w AWS. Kontrole związane z bezpieczeństwem fizycznym i środowiskowym naszych serwerów, które obejmują budynki, zamki lub klucze używane w drzwiach, są zarządzane przez AWS:
"Dostęp fizyczny jest ściśle kontrolowany zarówno na obwodzie, jak i w punktach wejścia do budynku przez profesjonalnych pracowników ochrony. Upoważniony personel musi przejść uwierzytelnianie dwuskładnikowe minimum dwa razy, aby uzyskać dostęp do pięter centrum danych."
Żadne informacje dotyczące płatności nie są przechowywane
Prywatność użytkowników ma dla nas ogromne znaczenie. W ramach naszego zobowiązania do ochrony danych użytkowników nie przechowujemy na naszych serwerach żadnych informacji bankowych ani informacji o kartach kredytowych. Zamiast tego polegamy na usługach płatniczych stron trzecich z certyfikatem PCI-DSS do obsługi wszystkich transakcji. Są to liderzy branży w zakresie bezpieczeństwa płatności i zgodności z przepisami, zapewniający bezpieczne i wydajne przetwarzanie informacji o płatnościach.
Do przetwarzania płatności wykorzystujemy następujące zaufane usługi:
- Adyen to wiodąca usługa płatnicza znana z zaawansowanej technologii i zgodności ze standardami PCI-DSS. Możesz zapoznać się z ich praktykami dotyczącymi prywatności na stronie polityki prywatności.
- Stripe to uznana na całym świecie platforma płatnicza znana z solidnych środków bezpieczeństwa i zgodności ze standardami PCI-DSS. Możesz dowiedzieć się więcej o ich praktykach dotyczących prywatności, odwiedzając ich stronę polityki prywatności.
- GoCardless specjalizuje się w płatnościach za pomocą polecenia zapłaty i przestrzega najwyższych standardów bezpieczeństwa. Szczegółowe informacje na temat ochrony danych i polityki prywatności można znaleźć na stronie polityki prywatności.
- Chargebee oferuje kompleksową platformę do rozliczania subskrypcji z solidnymi protokołami bezpieczeństwa. Więcej informacji na temat sposobu przetwarzania danych przez Chargebee można znaleźć w ich polityce prywatności.
Nasze zaangażowanie w bezpieczeństwo danych jest dodatkowo wzmacniane przez współpracę z tymi renomowanymi, zaufanymi usługami. Wspólnie wdrażamy kompleksową gamę środków bezpieczeństwa, zapewniając, że informacje finansowe są zarządzane z najwyższą starannością i bezpieczeństwem.
Elementy sterujące chroniące integralność
Bezpieczny Cykl Rozwoju
Stosujemy najlepsze w branży procesy rozwoju zarówno dla naszych aplikacji, jak i infrastruktury.
Kod jest pod kontrolą wersji (Git), a funkcje/poprawki są rozwijane w oddzielnych gałęziach.
Zanim kod zostanie zrecenzowany przez współpracownika, musi przejść tysiące automatycznych testów i jest skanowany pod kątem znanych problemów bezpieczeństwa. Następnie poprawka/funkcja jest testowana ręcznie (QA) i łączona z główną gałęzią kodu.
Mamy oddzielne środowiska testowe, inscenizacyjne i produkcyjne.
Kontrole, które zapewniają dostępność
Bazy danych o wysokiej dostępności
Nasze dane są przetwarzane na bazach danych AWS RDS (Postgresql) i replikowane w konfiguracji wysokiej dostępności.
Codzienne kopie zapasowe
Każdego dnia nasze bazy danych są archiwizowane i przechowywane w postaci zaszyfrowanej.
Kopie zapasowe są regularnie weryfikowane.
Monitoring 24/7
Nasz wirtualny NOC monitoruje naszą infrastrukturę 24/7/365 i zarówno nasz zespół SRE, jak i cały zespół programistów są ostrzegani, jeśli wskaźniki infrastruktury przekroczą pewne krytyczne progi.
Okna konserwacyjne
Aktualizacje, które mogą mieć wpływ na dostępność, są dokonywane poza lokalnymi godzinami pracy, w miarę możliwości, aby uniknąć zakłócania Twojej pracy i Twoich pacjentów.
Odpowiedzialne ujawnianie
Jeśli uważasz, że odkryłeś błąd w naszych zabezpieczeniach, napisz na adres support@physitrack.com, a my skontaktujemy się z Tobą w ciągu 24 godzin. Prosimy o nieujawnianie publicznie problemu, dopóki nie będziemy mieli możliwości zajęcia się nim.