Kontrola bezpieczeństwa
Bezpieczeństwo informacji
Nasz kompleksowy system zarządzania bezpieczeństwem informacji (ISMS) i solidne kontrole bezpieczeństwa mają kluczowe znaczenie dla ochrony danych lekarzy i pacjentów. Zapewniamy również, że nasi podwykonawcy, strony trzecie i podmioty przetwarzające dane są starannie weryfikowane w celu utrzymania wysokich standardów bezpieczeństwa.
*Physitrack jest zarejestrowany w brytyjskim urzędzie ds. informacji pod numerem ZA396165.
* Poniżej znajduje się ogólne podsumowanie niektórych stosowanych przez nas środków kontroli bezpieczeństwa. Ponieważ naszą filozofią jest ciągłe doskonalenie, kontrole te są corocznie weryfikowane i - w miarę możliwości - ulepszane.
Kontrole, które chronią dane poufne
Pytamy i przechowujemy jak najmniej i zaprojektowaliśmy naszą platformę i operacje zgodnie z surowymi zasadami RODO UE. Podprzetwarzający spoza UE mają standardowe klauzule umowne.
Wszystkie dane przesyłane do i z naszej platformy są szyfrowane w tranzycie i szyfrowane w spoczynku. Zobacz nasz wynik SSL Labs.
Dla Physitrack Telehealth, cały ruch pomiędzy klientami a Dolby® jest szyfrowany. Wszystkie media pomiędzy klientem a serwerem używają standardowych protokołów (DTLS/SRTP) zaszyfrowanych 128 bitowym AES.
Szyfrowanie TLS jest używane dla przychodzącej i wychodzącej poczty elektronicznej.
Oprócz wszystkich kontroli, które chronią poufność, integralność i dostępność PHI, mamy zawarte umowy BAA ze stronami trzecimi i podwykonawcami, którzy mają dostęp do PHI.
Dostęp do danych pacjentów jest poważnie ograniczony, a każda osoba lub strona, która (potencjalnie) ma dostęp do danych pacjentów, jest związana umowami o zachowaniu poufności.
Physitrack uruchamia fizycznie odizolowane platformy w różnych centrach danych na całym świecie, aby uniknąć wycieku danych poza jurysdykcje w rozsądnym zakresie.
- Każdego roku zatrudniamy akredytowaną firmę zewnętrzną do przeprowadzania testów penetracyjnych naszej platformy. Obejmuje to testowanie luk w zabezpieczeniach przed zagrożeniami OWASP
- Co tydzień niezależna strona trzecia skanuje naszą platformę w poszukiwaniu znanych luk.
Każda wykryta luka jest traktowana priorytetowo, usuwana i wdrażana jak najszybciej po jej wykryciu.
Certyfikacja ISO 27001 i ISO 27018
ISO 27001 (formalnie znana jako ISO/IEC 27001:2013) to norma dotycząca systemów zarządzania bezpieczeństwem informacji (ISMS).
ISMS to ramy polityk i procedur, które obejmują wszystkie prawne, fizyczne i techniczne kontrole związane z procesami zarządzania ryzykiem informacyjnym organizacji w celu zapewnienia bezpieczeństwa informacji.
Dane są hostowane i przetwarzane w AWS. AWS posiada certyfikaty SOC i ISO 27001.
*Physitrack posiada wdrożony SZBI, w ramach którego wyznaczono stanowiska kierownika ds. bezpieczeństwa informacji i inspektora ochrony danych. Przestrzeganie przez nas wymogów ISO zostało potwierdzone przez niezależne audyty i jest poparte certyfikatami ISO27001 (bezpieczeństwo informacji) i ISO27018 (ochrona danych w chmurze).
Nasza architektura bezpieczeństwa sieci składa się z wielu stref bezpieczeństwa. Monitorujemy i chronimy naszą sieć, aby upewnić się, że żaden nieautoryzowany dostęp nie jest wykonywany przy użyciu:
- wirtualnej chmury prywatnej (VPC);
- hosta bastionowego lub VPN z listami kontroli dostępu do sieci (ACL) i bez publicznych adresów IP;
- zapory ogniowej, która monitoruje i kontroluje przychodzący i wychodzący ruch sieciowy;
- filtrowanie adresów IP.
Nasza infrastruktura jest hostowana w AWS. Kontrole związane z bezpieczeństwem fizycznym i środowiskowym naszych serwerów, które obejmują budynki, zamki lub klucze używane w drzwiach, są zarządzane przez AWS:
"Dostęp fizyczny jest ściśle kontrolowany zarówno na obwodzie, jak i w punktach wejścia do budynku przez profesjonalnych pracowników ochrony. Upoważniony personel musi przejść uwierzytelnianie dwuskładnikowe minimum dwa razy, aby uzyskać dostęp do pięter centrum danych."
Prywatność użytkowników ma dla nas ogromne znaczenie. W ramach naszego zobowiązania do ochrony danych użytkowników nie przechowujemy na naszych serwerach żadnych informacji bankowych ani informacji o kartach kredytowych. Zamiast tego polegamy na usługach płatniczych stron trzecich z certyfikatem PCI-DSS do obsługi wszystkich transakcji. Są to liderzy branży w zakresie bezpieczeństwa płatności i zgodności z przepisami, zapewniający bezpieczne i wydajne przetwarzanie informacji o płatnościach.
Do przetwarzania płatności wykorzystujemy następujące zaufane usługi:
- Adyen to wiodąca usługa płatnicza znana z zaawansowanej technologii i zgodności ze standardami PCI-DSS. Możesz zapoznać się z ich praktykami dotyczącymi prywatności na stronie polityki prywatności.
- Stripe to uznana na całym świecie platforma płatnicza znana z solidnych środków bezpieczeństwa i zgodności ze standardami PCI-DSS. Możesz dowiedzieć się więcej o ich praktykach dotyczących prywatności, odwiedzając ich stronę polityki prywatności.
- GoCardless specjalizuje się w płatnościach za pomocą polecenia zapłaty i przestrzega najwyższych standardów bezpieczeństwa. Szczegółowe informacje na temat ochrony danych i polityki prywatności można znaleźć na stronie polityki prywatności.
- Chargebee oferuje kompleksową platformę do rozliczania subskrypcji z solidnymi protokołami bezpieczeństwa. Więcej informacji na temat sposobu przetwarzania danych przez Chargebee można znaleźć w ich polityce prywatności.
Nasze zaangażowanie w bezpieczeństwo danych jest dodatkowo wzmacniane przez współpracę z tymi renomowanymi, zaufanymi usługami. Wspólnie wdrażamy kompleksową gamę środków bezpieczeństwa, zapewniając, że informacje finansowe są zarządzane z najwyższą starannością i bezpieczeństwem.
Elementy sterujące chroniące integralność
Stosujemy najlepsze w branży procesy rozwoju zarówno dla naszych aplikacji, jak i infrastruktury.
Kod jest pod kontrolą wersji (Git), a funkcje/poprawki są rozwijane w oddzielnych gałęziach.
Zanim kod zostanie zrecenzowany przez współpracownika, musi przejść tysiące automatycznych testów i jest skanowany pod kątem znanych problemów bezpieczeństwa. Następnie poprawka/funkcja jest testowana ręcznie (QA) i łączona z główną gałęzią kodu.
Mamy oddzielne środowiska testowe, inscenizacyjne i produkcyjne.
Kontrole, które zapewniają dostępność
Bazy danych o wysokiej dostępności
Nasze dane są przetwarzane na bazach danych AWS RDS (Postgresql) i replikowane w konfiguracji wysokiej dostępności.
Codzienne kopie zapasowe
Każdego dnia nasze bazy danych są archiwizowane i przechowywane w postaci zaszyfrowanej.
Kopie zapasowe są regularnie weryfikowane.
Monitoring 24/7
Nasz wirtualny NOC monitoruje naszą infrastrukturę 24/7/365 i zarówno nasz zespół SRE, jak i cały zespół programistów są ostrzegani, jeśli wskaźniki infrastruktury przekroczą pewne krytyczne progi.
Okna konserwacyjne
Aktualizacje, które mogą mieć wpływ na dostępność, są dokonywane poza lokalnymi godzinami pracy, w miarę możliwości, aby uniknąć zakłócania Twojej pracy i Twoich pacjentów.
Odpowiedzialne ujawnianie
Jeśli uważasz, że odkryłeś błąd w naszych zabezpieczeniach, napisz na adres support@physitrack.com, a my skontaktujemy się z Tobą w ciągu 24 godzin. Prosimy o nieujawnianie publicznie problemu, dopóki nie będziemy mieli możliwości zajęcia się nim.
