Controles de segurança
Informações de Segurança
O nosso sistema abrangente de gestão da segurança da informação (ISMS) e controles de segurança robustos são cruciais para salvaguardar os dados profissional e dos pacientes. Também garantimos que os nossos subcontratantes, terceiros e subprocessadores são cuidadosamente controlados para manter elevados padrões de segurança.
*A Physitrack está registrada no Gabinete do Comissário de Informação do Reino Unido com o número ZA396165.
* Abaixo , encontra-se um resumo de alto nível de alguns dos controles de segurança que temos em vigor. Uma vez que a nossa filosofia é a de melhorar continuamente, estes controles são revistos e - sempre que possível - melhorados anualmente.
Procedimentos de Controle que protegem a confidencialidade
Pedimos e armazenamos o mínimo possível e concebemos a nossa plataforma e operações em conformidade com os princípios rigorosos do RGPD da UE. Os subprocessadores de fora da UE têm cláusulas contratuais-tipo em vigor.
Todos os dados enviados de e para a nossa plataforma são criptografados em trânsito e criptografados em repouso. Ver a pontuação dos nossos Laboratórios SSL.
Para a Physitrack Telessaúde, todo o tráfego entre clientes e a Dolby® também é criptografado. Todos as mídias utilizadas entre o cliente e o servidor se baseiam em protocolos padrão (DTLS/SRTP) criptografados com AES de 128 bit.
A encriptação TLS é utilizada para o e-mail de entrada e de saída.
Além de todos os controles que protegem a confidencialidade, a integridade e a disponibilidade da PHI, temos BAAs em vigor com terceiros e subcontratados que têm acesso à PHI.
O acesso aos dados do paciente é severamente restrito e qualquer pessoa ou parte que (potencialmente) tenha acesso aos dados do paciente está vinculada legalmente aos acordos de confidencialidade.
A Physitrack executa plataformas fisicamente isoladas em diferentes centros de dados em todo o mundo para evitar a fuga de dados para fora das jurisdições, tanto quanto razoavelmente possível.
- Todos os anos, contratamos um terceiro acreditado para fazer testes de penetração de caixa cinzenta na nossa plataforma. Isto inclui testes de vulnerabilidades contra ameaças OWASP
- Todas as semanas, uma empresa terceirizada e independente examina a nossa plataforma em busca de vulnerabilidades conhecidas.
Qualquer vulnerabilidade descoberta é considerada prioritária, resolvida e implantada o mais rapidamente possível após a sua descoberta.
Certificação ISO 27001 & ISO 27018
A ISO 27001 (formalmente conhecida como ISO/IEC 27001:2013) é uma norma para os Sistemas de Gestão da Segurança da Informação (SGSI).
Um SGSI é um quadro de políticas e procedimentos que inclui todos os controles legais, físicos e técnicos envolvidos nos processos de gestão do risco da informação de uma organização, com o objetivo de manter a informação segura.
Os dados são alojados e processados no AWS. A AWS possui certificação SOC e ISO 27001.
*A Physitrack tem um ISMS implementado, com funções de Gestor de Segurança da Informação e Responsável proteção de Dados nomeados. A nossa adesão aos requisitos ISO foi confirmada pelas auditorias independentes e é apoiada pelos certificados ISO27001 (Segurança da Informação) e ISO27018 (proteção de dados na Cloud).
A nossa arquitetura de segurança de rede consiste em várias zonas de segurança. Monitorizamos e protegemos a nossa rede, para garantir que não é feito nenhum acesso não autorizado, utilizando:
- uma nuvem privada virtual (VPC);
- um host de base ou VPN com listas de controle de acesso à rede (ACL) e sem endereços IP públicos;
- uma firewall que monitoriza e controla o tráfego de rede de entrada e saída;
- filtragem de endereços IP.
A nossa infraestrutura está alojada dentro da AWS. Os controles relacionados com a segurança física e ambiental dos nossos servidores, que incluem edifícios, fechaduras ou chaves utilizadas nas portas, são administrados pela AWS:
"O acesso físico é estritamente controlado por pessoal de segurança profissional, tanto no perímetro como nos pontos de entrada dos edifícios. O pessoal autorizado deve passar a autenticação de dois fatores no mínimo por duas vezes para ter acesso aos andares dos centros de dados".
A sua privacidade é da maior importância para nós. Como parte do nosso compromisso de salvaguardar os seus dados, não armazenamos quaisquer informações bancárias ou de cartões de crédito nos nossos servidores. Em vez disso, confiamos em serviços de pagamento de terceiros certificados pelo PCI-DSS para tratar de todas as transações. Eles são líderes do setor de segurança e conformidade de pagamentos, garantindo que as suas informações de pagamento sejam processadas de forma segura e eficiente.
Para o processamento de pagamentos, utilizamos os seguintes serviços de confiança:
- A Adyen é um serviço de pagamento líder conhecido pela sua tecnologia avançada e pela conformidade com as normas PCI-DSS. Você pode consultar as normas de privacidade na página da política de privacidade.
- A Stripe é uma plataforma de pagamento reconhecida mundialmente, conhecida pelas suas medidas de segurança robustas e pela conformidade com as normas PCI-DSS. Você pode saber mais sobre os procedimentos de privacidade visitando a página da política de privacidade.
- A GoCardless é especializada em pagamentos por débito direto e cumpre as mais elevadas normas de segurança. Informações pormenorizadas sobre os dados proteção e as políticas de privacidade podem ser encontradas na página da política de privacidade.
- O Chargebee oferece uma plataforma abrangente de faturamento das assinaturas com protocolos de segurança robustos. Consulte a política de privacidade para obter mais informações sobre a forma como o Chargebee trata os seus dados.
O nosso compromisso com a segurança dos seus dados é ainda reforçado pelas nossas parcerias com estes serviços de confiança de renome. Em conjunto, implementamos um abrangente programa de medidas de segurança, assegurando que as suas informações financeiras são geridas com o máximo cuidado e segurança.
Controles que protegem a integridade
Utilizamos processos de desenvolvimento de boas práticas, tanto para os nossos aplicativos como para as nossas infraestruturas.
Os códigos estão sob o controle de versão (Git), e as características/reparos são desenvolvidos em ramos separados.
Antes de ser revisto por um par, o código tem de passar por milhares de testes automatizados e é verificado em busca de problemas de segurança conhecidos. As características/reparos são depois testadas manualmente (QA) e fundidas ao ramo do código principal.
Temos ambientes de teste, simulação e produção separados.
Controles que protegem a disponibilidade
Bancos de dados de alta disponibilidade
Os nossos dados são processados em bases de dados AWS RDS (Postgresql) e replicados numa configuração de alta disponibilidade.
Backups diários
Todos os dias, nossos bancos de dados são armazenados em backup e criptografados. Os backups são verificados regularmente.
Monitoramento 24 horas 7 dias por semana
O nosso NOC virtual monitoriza as nossas infraestruturas 24/7/365 e tanto a nossa equipe de SRE como toda a nossa equipe de desenvolvimento são alertadas se as métricas das infraestruturas passarem certos limites críticos.
Janelas de manutenção
As atualizações que podem afetar a disponibilidade são feitas fora do horário comercial local, tanto quanto possível, para evitar perturbar você e seus pacientes.
Divulgação responsável
Se você acredita ter descoberto um bug na nossa segurança, por favor envie um e-mail para o support@physitrack.com e nós entraremos em contato dentro de 24 horas. Lhe pedimos para não divulgar publicamente a questão até que tenhamos tido a oportunidade de abordar e confirmar o problema .
