Tietoturva
Asiakkaan ja terveydenhuollon ammattilaisen turvallisuuden varmistaminen on Physitrackille ensiarvoisen tärkeää. Laaja tietoturvan hallintajärjestelmämme (ISMS) ja turvavalvontamme sekä kanssamme työskentelevien alihankkijoiden, kolmansien osapuolten ja alikäsittelijöiden huolellinen valinta ovat avainasemassa terveydenhuollon ammattilaisen tietojen ja asiakastietojen suojaamisessa.
Alla on korkean tason yhteenveto joistakin käytössämme olevista turvatarkastuksista. Koska filosofiamme on kehittyä jatkuvasti, näitä tarkastusprosesseja tarkistetaan ja mahdollisuuksien mukaan parannetaan vuosittain.
Physitrack on rekisteröity Yhdistyneen kuningaskunnan tietosuojavaltuutetun toimistoon numerolla ZA396165.
Salassapitoa suojaavat tarkistukset
Tietosuoja edellä
Kysymme ja tallennamme mahdollisimman vähän ja olemme suunnitelleet alustamme ja toimintamme EU:n tiukkojen GDPR-periaatteiden mukaisesti. EU:n ulkopuolisilla alikäsittelijöillä on voimassa vakiosopimuslausekkeet.
Tietojen salaus siirron aikana ja levossa
Kaikki alustallemme ja alustaltamme lähetetyt tiedot salataan sekä kuljetuksen aikana että levossa.Katso SSL Labs -tuloksemme.
Physitrack Telehealth -palvelussa kaikki asiakkaiden ja Dolby®-laitteiden välinen liikenne on salattu. Kaikki asiakkaan ja palvelimen väliset mediat käyttävät vakioprotokollia (DTLS/SRTP), jotka on salattu 128-bittisellä AES:llä.
TLS-salausta käytetään saapuvaan ja lähtevään sähköpostiin.
HIPAA-yhteensopiva
Kaikkien suojattujen terveystietojen luottamuksellisuutta, eheyttä ja saavutettavuutta suojaavien kontrollien lisäksi meillä on liikekumppanisopimus (BAA) sellaisten kolmansien osapuolten ja alihankkijoiden kanssa, joilla on pääsy suojatuihin terveystietoihin.
Salassapito ja tiimimme
Pääsy potilastietoihin on tiukasti rajoitettu, ja kaikkia henkilöitä tai osapuolia, joilla (mahdollisesti) on pääsy potilastietoihin, sitoo salassapitosopimus.
Paikallinen varastointi eri maissa/alueilla
Physitrack käyttää fyysisesti eristettyjä alustoja eri datakeskuksissa eri puolilla maailmaa, jotta vältetään tietojen vuotaminen lainkäyttöalueiden ulkopuolelle niin pitkälti kuin se on kohtuudella mahdollista.
Tietoturvatarkastukset
- Vuosittain palkkaamme akkreditoidun kolmannen osapuolen suorittamaan harmaan laatikon tunkeutumistestejä alustallamme. Tähän sisältyy haavoittuvuuksien testaaminen OWASP-uhkia vastaan.
- Viikoittain riippumaton kolmas osapuoli tarkistaa alustamme tunnettujen haavoittuvuuksien varalta.
Löydetyt haavoittuvuudet priorisoidaan, ratkaistaan ja korjataan mahdollisimman pian havaitsemisen jälkeen.
ISO 27001 ja ISO 27018 -sertifiointi
ISO 27001 (formally known as ISO/IEC 27001:2013) is a standard for Information Security Management Systems (ISMS).
An ISMS is a framework of policies and procedures that includes all legal, physical and technical controls involved in an organisation's information risk management processes with the aim of keeping information secure.
Data is hosted and processed inside AWS. AWS holds SOC and ISO 27001 certification.
Physitrack has an ISMS in place, with roles of Information Security Manager and Data Protection Officer appointed. Our adherence to the ISO requirements has been confirmed by the independent audits and is supported with the ISO27001 (Information Security) and ISO27018 (Data Protection in Cloud) certificates.
Download the Physitrack ISO 27018 Certificate
Download the Physitrack ISO 27001 Certificate
Verkkoturvallisuus
Verkkoturvallisuusarkkitehtuurimme koostuu useista turvavyöhykkeistä.
Valvomme ja suojaamme verkkoamme varmistaaksemme, että luvaton käyttö ei ole mahdollista; käytämme:
- yksityisiä virtuaaliverkkoja pilvipalvelussa (VPC);
- linnoituspalvelinta (bastion host) tai VPN:ää eli virtuaalista erillisverkkoa, jolla on pääsynvalvontaluettelot (ACL: t) eikä julkisia IP-osoitteita;
- palomuuria, joka valvoo ja ohjaa saapuvaa ja lähtevää verkkoliikennettä;
- IP-osoitteen suodatusta.
Fyysinen turvallisuus
Infrastruktuurimme isännöidään AWS:n sisällä. Palvelimiemme fyysisiä ja ympäristöön liittyviä valvontalaitteita, joihin kuuluvat rakennukset, lukot tai avaimet, hallinnoi AWS:
"Ammattitaitoinen turvahenkilöstö valvoo tiukasti fyysistä pääsyä sekä kehällä että rakennuksen sisääntulopisteillä. Päästäkseen datakeskuksen kerroksiin valtuutetun henkilöstön on läpäistävä kaksivaiheinen todennus vähintään kaksi kertaa."
Maksutietoja ei tallenneta
Emme tallenna pankki- tai luottokorttitietoja palvelimillemme ja maksujen käsittelyyn käytämiemme kolmansien osapuolten maksuratkaisut ovat PCI-DSS-sertifioituja (Adyen ja Chargebee) .
Tarkistukset, jotka suojaavat eheyttä
Turvallisen ohjelmistokehityksen elinkaari (SDL)
Käytämme alan parhaita käytäntöjä noudattavia kehitysprosesseja sekä sovelluksissamme että infrastruktuurissamme.
Koodin versionhallinta tapahtuu Git-versionhallintajärjestelmän avulla, ja ominaisuuksia/korjauksia kehitetään erillisissä haaroissa.
Ennen kuin vertaiskäyttäjä tarkistaa koodin, koodin on läpäistävä tuhansia automaattisia testejä ja se tarkistetaan tunnettujen tietoturvaongelmien varalta. Korjaus/ominaisuus testataan sitten manuaalisesti (QA) ja yhdistetään päälinjaan.
Meillä on erilliset testaus-, staging- ja tuotantoympäristöt.
Tarkistukset, jotka suojaavat saatavuutta
Korkean käytettävyyden tietokannat
Tietojamme käsitellään AWS RDS -tietokannoissa (Postgresql) ja kopioidaan korkean käytettävyyden kokoonpanossa.
Päivittäiset varmuuskopiot
Joka päivä tietokantamme varmuuskopioidaan ja tallennetaan salattuina. Varmuuskopiot tarkistetaan säännöllisesti.
24/7 seuranta
Virtuaalinen NOC valvoo infrastruktuuriamme 24/7/365, ja sekä SRE-tiimimme että koko kehitystiimimme saavat hälytyksen, jos infrastruktuurin mittarit ylittävät tietyt kriittiset kynnysarvot.
Huolto-ikkunat
Päivitykset, jotka saattavat vaikuttaa palvelun saatavuuteen, tehdään mahdollisuuksien mukaan paikallisten aukioloaikojen ulkopuolella, jotta voidaan välttää häiritsemästä sinua ja asiakkaitasi.
Vastuullinen paljastaminen
Jos uskot havainneesi virheen tietoturvassamme, lähetä meille sähköpostia osoitteeseen support@physitrack.fi, niin otamme sinuun yhteyttä 24 tunnin kuluessa. Pyydämme, että et paljasta ongelmaa julkisesti ennen kuin meillä on ollut mahdollisuus käsitellä sitä.