Informationssäkerhet
Att skydda patienter och vårdgivare är av största vikt för Physitrack. Vårt omfattande ledningssystem för informationssäkerhet (ISMS) och våra säkerhetskontroller, liksom vårt noggranna urval av underleverantörer, tredje parter och underbiträden som vi samarbetar med, spelar en viktig roll för att skydda uppgifter om behandlare och patienter.
Nedan finns en sammanfattning på hög nivå av några av de säkerhetskontroller som vi har infört. Eftersom vår filosofi är att ständigt förbättra oss, ses dessa kontroller över och förbättras - om möjligt - årligen.
Physitrack är registrerad hos Storbritanniens informationskommissionärsbyrå under nummer ZA396165.
Kontroller som skyddar konfidentialitet
Sekretess - vår högsta prioritet
Vi efterfrågar och lagrar så lite information som möjligt och har utformat vår plattform och verksamhet i linje med EU:s strikta GDPR-principer. Underbiträden utanför EU har standardkontraktsklausuler på plats.
Datakryptering under transaktioner och i lagring
Alla data som skickas till och från vår plattform krypteras under överföringen och krypteras i vila. Se vårt SSL Labs-resultat.
På Physitrack Telemedicin är all trafik mellan kunder och Dolby® krypterad. Alla medier mellan klienten och servern använder standardprotokoll (DTLS/SRTP) som krypteras med 128 bitars AES.
TLS-kryptering används för inkommande och utgående e-post.
HIPAA-kompatibel
Utöver alla kontroller som skyddar sekretess, integritet och tillgänglighet för PHI har vi BAA på plats med tredje part och underleverantörer som har tillgång till PHI.
Konfidentialitet & vårt team
Åtkomst till patientdata är kraftigt begränsad och varje person eller part som (potentiellt) har tillgång till patientdata är bunden oh reglerade av våra sekretessavtal och PUB (Personuppgiftsbiträdesavtal).
Lokal lagring i länder / regioner
Physitrack kör fysiskt isolerade plattformar i olika datacenter runt om i världen för att undvika att läcka data utanför jurisdiktioner så mycket som rimligen möjligt.
Säkerhetsgranskningar
- Varje år anställer vi en ackrediterad tredje part för att utföra penetrationstester (grey box penetration tests ) på vår plattform. Detta inkluderar testning av sårbarheter mot OWASP-hot.
- Varje vecka genomsöker en oberoende tredje part vår plattform för kända sårbarheter.
Eventuell upptäkt sårbarhet prioriteras, löses och distribueras så snart som möjligt efter upptäckten.
ISO 27001- och ISO 27018-certifiering
ISO 27001 (formellt känd som ISO/IEC 27001:2013) är en standard för ledningssystem för informationssäkerhet (ISMS).
Ett ISMS är ett ramverk av policyer och procedurer som omfattar alla juridiska, fysiska och tekniska kontroller som ingår i en organisations informationsriskhanteringsprocesser med målet att hålla informationen säker.
Data hostas och behandlas inom AWS. AWS har SOC- och ISO 27001-certifiering.
Physitrack har ett ISMS på plats, med roller som informationssäkerhetschef och dataskyddsombud utsedda. Vår efterlevnad av ISO-kraven har bekräftats av oberoende revisioner och stöds av certifikaten ISO27001 (informationssäkerhet) och ISO27018 (dataskydd i molnet).
Ladda ner Physitrack ISO 27018-certifikat
Ladda ner Physitrack ISO 27001-certifikat
Nätverkssäkerhet
Vår nätverksarkitektur består av flera säkerhetszoner.
För att säkerställa att ingen obehörig åtkomst utförs, övervakar och skyddar vi vårt nätverk med:
- Ett virtuellt privat moln (VPC);
- En bastionsvärd eller VPN med kontrolllistor för nätverksåtkomst (ACL, Network Access Control List) och inga offentliga IP-adresser;
- En brandvägg som övervakar och kontrollerar inkommande och utgående nätverkstrafik;
- Filtrering av IP-adresser.
Fysisk säkerhet
Vår infrastruktur finns i AWS. Fysiska och miljösäkerhetsrelaterade kontroller för våra servrar, som inkluderar byggnader, lås eller nycklar som används på dörrar, hanteras av AWS:
"Fysisk åtkomst kontrolleras strikt både vid omkretsen och vid byggnadens ingångspunkter av professionell säkerhetspersonal. Behörig personal måste klara tvåfaktorsautentisering minst två gånger för att komma åt datacentervåningar."
Ingen betalningsinformation lagras
Din integritet är av yttersta vikt för oss. Som en del av vårt åtagande att skydda dina uppgifter lagrar vi inte någon bank- eller kreditkortsinformation på våra servrar. Istället förlitar vi oss på PCI-DSS-certifierade tredjepartsbetaltjänster för att hantera alla transaktioner. De är branschledande inom betalningssäkerhet och efterlevnad, vilket säkerställer att din betalningsinformation behandlas säkert och effektivt.
För betalningshantering använder vi följande betrodda tjänster:
- Adyen är en ledande betaltjänst som är känd för sin avancerade teknik och efterlevnad av PCI-DSS-standarder. Du kan granska deras sekretesspraxis på deras sekretesspolicy-sida.
- Stripe är en globalt erkänd betalningsplattform som är känd för sina robusta säkerhetsåtgärder och efterlevnad av PCI-DSS-standarder. Du kan lära dig mer om deras sekretesspraxis genom att besöka deras sekretesspolicysida.
- GoCardless är specialiserat på autogirobetalningar och följer de högsta säkerhetsstandarderna. Detaljerad information om deras dataskydds- och sekretesspolicy finns på deras sekretesspolicy-sida.
- Chargebee erbjuder en omfattande plattform för abonnemangsfakturering med robusta säkerhetsprotokoll. Se deras sekretesspolicy för mer information om hur Chargebee hanterar dina uppgifter.
Vårt engagemang för din datasäkerhet stärks ytterligare av våra partnerskap med dessa välrenommerade och betrodda tjänster. Tillsammans implementerar vi ett omfattande utbud av säkerhetsåtgärder som säkerställer att din finansiella information hanteras med största omsorg och säkerhet.
Kontroller som skyddar integritet
Secure Development Lifecycle
Vi använder branschens bästa utvecklingsprocesser både för våra applikationer och vår infrastruktur.
Programkoden är under versionskontroll (Git), och funktioner / korrigeringar utvecklas i separata grenar.
Innan koden granskas av en person, måste koden klara tusentals automatiserade tester och skannas efter kända säkerhetsproblem. Fix / funktionen testas sedan manuellt (QA) och slås samman till huvudkodgrenen.
Vi har separata test-, staging- och produktionsmiljöer.
Kontroller som skyddar tillgänglighet
Databaser med hög tillgänglighet
Våra data bearbetas på AWS RDS-databaser (Postgresql) och replikeras i en konfiguration med hög tillgänglighet.
Dagliga säkerhetskopior
Varje dag säkerhetskopieras våra databaser och lagras krypterade. Säkerhetskopior verifieras regelbundet.
24/7 övervakning
Vår virtuella NOC övervakar vår infrastruktur 24/7/365, och både vårt SRE-team och hela vårt utvecklingsteam larmas om infrastrukturmått överskrider vissa kritiska trösklar.
Underhållsfönster
Uppdateringar som kan påverka tillgängligheten görs så långt som möjligt utanför ordinarie arbetstider för att undvika att du och dina patienter störs.
Vid upptäckt av fel
Om du tror att du har upptäckt ett fel i vår säkerhet kan du skicka ett e-postmeddelande till support@physitrack.com så återkommer vi till dig inom 24 timmar. Vi ber dig att inte offentliggöra problemet förrän vi har haft möjlighet att åtgärda det.