Säkerhetskontroller
Informationssäkerhet
Vårt omfattande ledningssystem för informationssäkerhet (ISMS) och robusta säkerhetskontroller är avgörande för att skydda läkar- och patientdata. Vi ser också till att våra underleverantörer, tredje parter och underprocessorer är noggrant kontrollerade för att upprätthålla höga säkerhetsstandarder.
*Physitrack är registrerat hos United Kingdom Information Commissioner's Office under nummer ZA396165.
* Nedan finns en sammanfattning på hög nivå av några av de säkerhetskontroller som vi har infört. Eftersom vår filosofi är att ständigt förbättra oss, granskas dessa kontroller och - där så är möjligt - förbättras årligen.
Kontroller som skyddar konfidentialitet
Vi frågar och lagrar så lite som möjligt och har utformat vår plattform och verksamhet i linje med EU: s strikta GDPR-principer. Underbiträden utanför EU har standardavtalsklausuler på plats.
Alla data som skickas till och från vår plattform krypteras under överföringen och krypteras i vila. Se vårt SSL Labs-resultat.
På Physitrack Telemedicin är all trafik mellan kunder och Dolby® krypterad. Alla medier mellan klienten och servern använder standardprotokoll (DTLS/SRTP) som krypteras med 128 bitars AES.
TLS-kryptering används för inkommande och utgående e-post.
Utöver alla kontroller som skyddar sekretess, integritet och tillgänglighet för PHI har vi BAA på plats med tredje part och underleverantörer som har tillgång till PHI.
Åtkomst till patientdata är kraftigt begränsad och varje person eller part som (potentiellt) har tillgång till patientdata är bunden oh reglerade av våra sekretessavtal och PUB (Personuppgiftsbiträdesavtal).
Physitrack kör fysiskt isolerade plattformar i olika datacenter runt om i världen för att undvika att läcka data utanför jurisdiktioner så mycket som rimligen är möjligt.
- Varje år anlitar vi en ackrediterad tredje part för att utföra grå box-penetrationstester på vår plattform. Detta inkluderar testning av sårbarheter mot OWASP-hot
- Varje vecka genomsöker en oberoende tredje part vår plattform för kända sårbarheter.
Eventuell upptäkt sårbarhet prioriteras, löses och distribueras så snart som möjligt efter upptäckten.
ISO 27001- och ISO 27018-certifiering
ISO 27001 (formellt känd som ISO/IEC 27001:2013) är en standard för ledningssystem för informationssäkerhet (ISMS).
Ett ISMS är ett ramverk av policyer och procedurer som omfattar alla juridiska, fysiska och tekniska kontroller som ingår i en organisations informationsriskhanteringsprocesser med målet att hålla informationen säker.
Data hostas och behandlas inom AWS. AWS har SOC- och ISO 27001-certifiering.
*Physitrack har ett ISMS på plats, med roller som informationssäkerhetschef och dataskyddsombud utsedda. Vår efterlevnad av ISO-kraven har bekräftats av oberoende revisioner och stöds av certifikaten ISO27001 (informationssäkerhet) och ISO27018 (dataskydd i molnet).
Vår nätverkssäkerhetsarkitektur består av flera säkerhetszoner. Vi övervakar och skyddar vårt nätverk för att säkerställa att ingen obehörig åtkomst sker med hjälp av:
- ett virtuellt privat moln (VPC);
- en bastionsvärd eller VPN med kontrollistor för nätverksåtkomst (ACL:er) och inga offentliga IP-adresser;
- en brandvägg som övervakar och kontrollerar inkommande och utgående nätverkstrafik;
- IP-adressfiltrering.
Vår infrastruktur finns i AWS. Fysiska och miljösäkerhetsrelaterade kontroller för våra servrar, som inkluderar byggnader, lås eller nycklar som används på dörrar, hanteras av AWS:
"Fysisk åtkomst kontrolleras strikt både vid omkretsen och vid byggnadens ingångspunkter av professionell säkerhetspersonal. Behörig personal måste klara tvåfaktorsautentisering minst två gånger för att komma åt datacentervåningar."
Din integritet är av yttersta vikt för oss. Som en del av vårt åtagande att skydda dina uppgifter lagrar vi inte någon bank- eller kreditkortsinformation på våra servrar. Istället förlitar vi oss på PCI-DSS-certifierade tredjepartsbetaltjänster för att hantera alla transaktioner. De är branschledande inom betalningssäkerhet och efterlevnad, vilket säkerställer att din betalningsinformation behandlas säkert och effektivt.
För betalningshantering använder vi följande betrodda tjänster:
- Adyen är en ledande betaltjänst som är känd för sin avancerade teknik och efterlevnad av PCI-DSS-standarder. Du kan granska deras sekretesspraxis på deras sekretesspolicy-sida.
- Stripe är en globalt erkänd betalningsplattform som är känd för sina robusta säkerhetsåtgärder och efterlevnad av PCI-DSS-standarder. Du kan lära dig mer om deras sekretesspraxis genom att besöka deras sekretesspolicysida.
- GoCardless är specialiserat på autogirobetalningar och följer de högsta säkerhetsstandarderna. Detaljerad information om deras dataskydds- och sekretesspolicy finns på deras sekretesspolicy-sida.
- Chargebee erbjuder en omfattande plattform för abonnemangsfakturering med robusta säkerhetsprotokoll. Se deras sekretesspolicy för mer information om hur Chargebee hanterar dina uppgifter.
Vårt engagemang för din datasäkerhet stärks ytterligare av våra partnerskap med dessa välrenommerade och betrodda tjänster. Tillsammans implementerar vi ett omfattande utbud av säkerhetsåtgärder som säkerställer att din finansiella information hanteras med största omsorg och säkerhet.
Kontroller som skyddar integritet
Vi använder branschens bästa utvecklingsprocesser både för våra applikationer och vår infrastruktur.
Programkoden är under versionskontroll (Git), och funktioner / korrigeringar utvecklas i separata grenar.
Innan koden granskas av en person, måste koden klara tusentals automatiserade tester och skannas efter kända säkerhetsproblem. Fix / funktionen testas sedan manuellt (QA) och slås samman till huvudkodgrenen.
Vi har separata test-, staging- och produktionsmiljöer.
Kontroller som skyddar tillgänglighet
Databaser med hög tillgänglighet
Våra data bearbetas på AWS RDS-databaser (Postgresql) och replikeras i en konfiguration med hög tillgänglighet.
Dagliga säkerhetskopior
Varje dag säkerhetskopieras våra databaser och lagras krypterade. Säkerhetskopior verifieras regelbundet.
24/7 övervakning
Vår virtuella NOC övervakar vår infrastruktur 24/7/365, och både vårt SRE-team och hela vårt utvecklingsteam larmas om infrastrukturmått överskrider vissa kritiska trösklar.
Underhållsfönster
Uppdateringar som kan påverka tillgängligheten görs så långt som möjligt utanför ordinarie arbetstider för att undvika att du och dina patienter störs.
Vid upptäckt av fel
Om du tror att du har upptäckt ett fel i vår säkerhet kan du skicka ett e-postmeddelande till support@physitrack.com så återkommer vi till dig inom 24 timmar. Vi ber dig att inte offentliggöra problemet förrän vi har haft möjlighet att åtgärda det.
