Informações de Segurança
Manter o paciente e o profissional em segurança é de importância primordial para a Physitrack. O nosso extenso sistema de gestão de segurança da informação (ISMS) e os controles de segurança, bem como a seleção cuidadosa dos subcontratantes, terceirizados e sub-processadores com os quais trabalhamos desempenham um papel fundamental na proteção dos dados dos profissionais de saúde e dos pacientes.
Abaixo, você encontrará um resumo de alto nível de alguns dos procedimentos de segurança que temos em vigor. Uma vez que a nossa filosofia é melhorar continuamente, estes controles são revistos e - sempre que possível - melhorados anualmente.
A Physitrack está registrada no Gabinete do Comissário de Informação do Reino Unido com o número ZA396165.
Procedimentos de Controle que protegem a confidencialidade
Privacidade primeiro
Solicitamos e armazenamos o mínimo possível de informações e criamos a nossa plataforma e nossas operações de acordo com princípios rigorosos do GDPR da UE. Os subprocessadores de fora da União Europeia têm em vigor rígidas cláusulas contratuais padrão.
Criptografia de dados em trânsito e em repouso
Todos os dados enviados de e para a nossa plataforma são criptografados em trânsito e criptografados em repouso. Ver a pontuação dos nossos Laboratórios SSL.
Para a Physitrack Telessaúde, todo o tráfego entre clientes e a Dolby® também é criptografado. Todos as mídias utilizadas entre o cliente e o servidor se baseiam em protocolos padrão (DTLS/SRTP) criptografados com AES de 128 bit.
A encriptação TLS é utilizada para o e-mail de entrada e de saída.
Compatível com HIPAA
Além de todos os controles que protegem a confidencialidade, a integridade e a disponibilidade da PHI, temos BAAs em vigor com terceiros e subcontratados que têm acesso à PHI.
Confidencialidade & a nossa equipe
O acesso aos dados do paciente é severamente restrito e qualquer pessoa ou parte que (potencialmente) tenha acesso aos dados do paciente está vinculada legalmente aos acordos de confidencialidade.
Armazenamento local em países / regiões
A Physitrack funciona em plataformas fisicamente isoladas em diferentes centros de dados em todo o mundo para evitar o vazamento de dados fora das jurisdições, tanto quanto possível.
Auditorias de segurança
- Todos os anos, contratamos uma empresa terceirizada acreditada para realizar testes de penetração de caixas cinzas na nossa plataforma. Isto inclui testes de vulnerabilidades contra ameaças de OWASP
- Todas as semanas, uma empresa terceirizada e independente examina a nossa plataforma em busca de vulnerabilidades conhecidas.
Qualquer vulnerabilidade descoberta é considerada prioritária, resolvida e implantada o mais rapidamente possível após a sua descoberta.
Certificação ISO 27001 & ISO 27018
A ISO 27001 (formalmente conhecida como ISO/IEC 27001:2013) é uma norma para os Sistemas de Gestão da Segurança da Informação (SGSI).
Um SGSI é um quadro de políticas e procedimentos que inclui todos os controles legais, físicos e técnicos envolvidos nos processos de gestão do risco da informação de uma organização, com o objetivo de manter a informação segura.
Os dados são alojados e processados no AWS. A AWS possui certificação SOC e ISO 27001.
A Physitrack tem um SGSI em vigor com funções de Gestor de Segurança da Informação e Responsável de Dados proteção nomeados. A nossa adesão aos requisitos ISO foi confirmada pelas auditorias independentes e é apoiada pelos certificados ISO27001 (Segurança da Informação) e ISO27018 (Dados proteção na Nuvem).
Faça o download do certificado da Physitrack ISO 27018
Download do certificado da Physitrack ISO 27001
Segurança de rede
A nossa arquitetura de segurança de rede consiste em múltiplas zonas de segurança.
Monitorizamos e protegemos toda a nossa rede, para nos certificarmos de que nenhum acesso não autorizado é efetuado utilizando:
- uma nuvem privada virtual (VPC);
- um host de bastião ou VPN com listas de controle de acesso à rede (ACL's) e sem endereços IP públicos;
- uma firewall que monitoriza e controla o tráfego de entrada e saída da rede;
- filtragem de endereços IP.
Segurança física
A nossa infraestrutura está alojada dentro da AWS. Os controles relacionados com a segurança física e ambiental dos nossos servidores, que incluem edifícios, fechaduras ou chaves utilizadas nas portas, são administrados pela AWS:
"O acesso físico é estritamente controlado por pessoal de segurança profissional, tanto no perímetro como nos pontos de entrada dos edifícios. O pessoal autorizado deve passar a autenticação de dois fatores no mínimo por duas vezes para ter acesso aos andares dos centros de dados".
Nenhuma informação de pagamento armazenada
A sua privacidade é da maior importância para nós. Como parte do nosso compromisso de salvaguardar os seus dados, não armazenamos quaisquer informações bancárias ou de cartões de crédito nos nossos servidores. Em vez disso, confiamos em serviços de pagamento de terceiros certificados pelo PCI-DSS para tratar de todas as transações. Eles são líderes do setor de segurança e conformidade de pagamentos, garantindo que as suas informações de pagamento sejam processadas de forma segura e eficiente.
Para o processamento de pagamentos, utilizamos os seguintes serviços de confiança:
- A Adyen é um serviço de pagamento líder conhecido pela sua tecnologia avançada e pela conformidade com as normas PCI-DSS. Você pode consultar as normas de privacidade na página da política de privacidade.
- A Stripe é uma plataforma de pagamento reconhecida mundialmente, conhecida pelas suas medidas de segurança robustas e pela conformidade com as normas PCI-DSS. Você pode saber mais sobre os procedimentos de privacidade visitando a página da política de privacidade.
- A GoCardless é especializada em pagamentos por débito direto e cumpre as mais elevadas normas de segurança. Informações pormenorizadas sobre os dados proteção e as políticas de privacidade podem ser encontradas na página da política de privacidade.
- O Chargebee oferece uma plataforma abrangente de faturamento das assinaturas com protocolos de segurança robustos. Consulte a política de privacidade para obter mais informações sobre a forma como o Chargebee trata os seus dados.
O nosso compromisso com a segurança dos seus dados é ainda reforçado pelas nossas parcerias com estes serviços de confiança de renome. Em conjunto, implementamos um abrangente programa de medidas de segurança, assegurando que as suas informações financeiras são geridas com o máximo cuidado e segurança.
Controles que protegem a integridade
Ciclo de vida de desenvolvimento seguro
Utilizamos processos de desenvolvimento de boas práticas, tanto para os nossos aplicativos como para as nossas infraestruturas.
Os códigos estão sob o controle de versão (Git), e as características/reparos são desenvolvidos em ramos separados.
Antes de ser revisto por um par, o código tem de passar por milhares de testes automatizados e é verificado em busca de problemas de segurança conhecidos. As características/reparos são depois testadas manualmente (QA) e fundidas ao ramo do código principal.
Temos ambientes de teste, simulação e produção separados.
Controles que protegem a disponibilidade
Bancos de dados de alta disponibilidade
Os nossos dados são processados em bases de dados AWS RDS (Postgresql) e replicados numa configuração de alta disponibilidade.
Backups diários
Todos os dias, nossos bancos de dados são armazenados em backup e criptografados. Os backups são verificados regularmente.
Monitoramento 24 horas 7 dias por semana
O nosso NOC virtual monitoriza as nossas infraestruturas 24/7/365 e tanto a nossa equipe de SRE como toda a nossa equipe de desenvolvimento são alertadas se as métricas das infraestruturas passarem certos limites críticos.
Janelas de manutenção
As atualizações que podem afetar a disponibilidade são feitas fora do horário comercial local, tanto quanto possível, para evitar perturbar você e seus pacientes.
Divulgação responsável
Se você acredita ter descoberto um bug na nossa segurança, por favor envie um e-mail para o support@physitrack.com e nós entraremos em contato dentro de 24 horas. Lhe pedimos para não divulgar publicamente a questão até que tenhamos tido a oportunidade de abordar e confirmar o problema .