Bezpieczeństwo
Ochrona Twoich danych jest dla nas priorytetem i zapewniamy bezpieczeństwo na każdym poziomie
Dowiedz się więcej o nieustannej drodze CORSANO do chmury i naszym innowacyjnym wykorzystaniu ofert bezpieczeństwa w celu zmniejszenia ryzyka i poprawy prywatności informacji. Oto przegląd tego, jak zbudowaliśmy zabezpieczenia w Corsano:
Bezpieczeństwo danych
Dane klientów CORSANO – i bezpieczeństwo tych danych – mają dla nas ogromne znaczenie, dlatego zapewniamy naszym klientom pełną kontrolę nad ich danymi. Bezpieczeństwo i prywatność danych są priorytetem, a naszym celem jest stworzenie platformy, na której dane mogą być bezpiecznie udostępniane między użytkownikami i pracownikami służby zdrowia.
CORSANO chroni dane osobowe dzięki najlepszym praktykom w zakresie tworzenia oprogramowania i architekturze chmury, zgodnie z różnymi standardami bezpieczeństwa i prywatności (RODO, HIPAA, ISO 27001).
Bezpieczna infrastruktura chmury
Najlepsza infrastruktura chmurowa ma kluczowe znaczenie dla bezpieczeństwa danych. Dlatego wybieramy najlepszych partnerów i wykorzystujemy najlepsze technologie i praktyki, aby zapewnić bezpieczeństwo, prywatność i najwyższy poziom usług dla naszych użytkowników i klientów.
CORSANO przechowuje wszystkie dane produkcyjne w fizycznie zabezpieczonych centrach danych. Korzystamy z rozwiązań Amazon Web Services (AWS), pionierów we wspieraniu danych zdrowotnych, w celu opanowania wszystkich aspektów bezpieczeństwa danych. Rzeczywiście, jako Partner Biznesowy AWS, możemy zagwarantować zgodność z najwyższym bezpieczeństwem danych i prywatnością.
https://aws.amazon.com/ru/health/healthcare-compliance/
Centra danych
Bezpieczny projekt
Bezpieczeństwo zapewnia projekt, począwszy od starannego wyboru lokalizacji, w oparciu o wstępną ocenę geograficzną, zapobiegając zagrożeniom środowiskowym.
Redundancja centrum danych i automatyczne zarządzanie ruchem pozwalają na utrzymanie najwyższego poziomu usług.
Dostęp fizyczny
Dostęp mają tylko upoważnieni pracownicy, na zasadzie najmniejszych uprawnień. Każdy dostęp jest ograniczony czasowo i obszarowo do niezbędnego minimum i regularnie poddawany ponownej ocenie.
Nadzór i wykrywanie
Nasze centra danych mają wspólne praktyki bezpieczeństwa, w tym monitoring wideo w obwodzie zamkniętym i ochronę całodobową, i wymagają stosowania biometrycznych kontroli dostępu do naszych zamkniętych klatek.
Systemy wsparcia operacyjnego
Zasilanie, klimat i temperatura są kontrolowane i monitorowane 24/7. Centra danych wyposażone są w sprzęt do wykrywania i gaszenia pożarów, aby zapewnić najwyższy poziom bezpieczeństwa.
Przeczytaj więcej informacji na temat kontroli centrów danych AWS:
https://aws.amazon.com/compliance/data-center/controls/
Bezpieczeństwo sieci
ochrona
Sieć CORSANO jest chroniona za pomocą usług bezpieczeństwa AWS (lista kontroli dostępu, firewall, oprogramowanie anty-malware, zabezpieczenie danych przesyłanych przez TLS, VPN…).
Architektura
Nasza architektura chmurowa składa się z wielu warstw zabezpieczeń, oddzielnych klastrów danych, replikowanych w wielu strefach dostępności. Każda warstwa jest kontrolowana przez systemy równoważenia obciążenia i chroniona przez zapory ogniowe.
Analiza infrastruktury
Bezpieczeństwo infrastruktury jest analizowane przez narzędzia AWS, aby zapewnić zgodność z najbardziej rygorystycznymi praktykami w zakresie doskonałości operacyjnej, bezpieczeństwa, niezawodności i wydajności.
Kopie zapasowe
CORSANO wdrożyło zautomatyzowane mechanizmy tworzenia kopii zapasowych danych, oprogramowania i narzędzi. Kopie zapasowe są regularnie wykonywane, testowane i przenoszone do bezpiecznego magazynu.
Rejestrowanie zdarzeń
CORSANO stale monitoruje wszystkie zdarzenia 24 godziny na dobę, 7 dni w tygodniu i podejmuje na czas odpowiednie działania w zależności od poziomu istotności. System Zarządzania Jakością ISO 13485 jasno określa procedurę zarządzania incydentami.
Szyfrowanie
CORSANO wykorzystuje wysoki poziom szyfrowania we wszystkich warstwach i na wszystkich poziomach komunikacji, wykorzystując solidne technologie uwierzytelniania (OAuth, JWT) i najnowsze standardy protokołów szyfrowanych (HTTPS, TLS).
Dane są usuwane, gdy ich użycie nie jest bezwzględnie konieczne do zamierzonego użycia produktu. Przechowywane dane powinny używać AES-256 lub więcej.
Bezpieczeństwo usług i aplikacji
W przypadku usług i aplikacji dostarczamy, utrzymujemy i zarządzamy ochroną i bezpieczeństwem danych na wszystkich etapach ich cyklu życia.
Bezpieczny rozwój
Najlepsze praktyki tworzenia kodu
Nasi programiści stosują najlepsze praktyki programistyczne (10 największych zagrożeń bezpieczeństwa dla OWASP) i aktualizują listę kontrolną bezpieczeństwa API.
Zwinna organizacja, przegląd kodu i testowanie
Wszystkie działania programistyczne zorganizowane są w metodzie AGILE ze sprintami i jasnym priorytetyzacją zadań. Proces rozwoju obejmuje przeglądy kodu, testy jednostkowe, testy integracji funkcjonalnej oraz testy bezpieczeństwa.
Certyfikat Jakości Oprogramowania
Cykl życia oprogramowania, w tym rozwój, testowanie, konfiguracja i wydania, jest w pełni zgodny ze standardem IEC 62304 dotyczącym oprogramowania medycznego.
Zarządzanie podatnościami
Zautomatyzowane testy bezpieczeństwa
Zautomatyzowane testy bezpieczeństwa są przeprowadzane na każdym bloku infrastruktury chmury w celu wykrycia potencjalnych luk w zabezpieczeniach.
Testy penetracyjne stron trzecich
Surowe testy penetracyjne są regularnie przeprowadzane przez firmy eksperckie, wysoce wyspecjalizowane w testach penetracyjnych i etycznym hakowaniu.
Bezpieczeństwo uwierzytelniania
Zasady dotyczące haseł
CORSANO wymaga użycia silnego hasła i jest zgodny z międzynarodowymi zaleceniami w zakresie odporności.
Uwierzytelnianie wieloskładnikowe
MFA służy do pełnego dostępu do krytycznych danych i zasobów.
Pszczoła
Interfejsy API CORSANO wykorzystują metody OAuth 2.0 i JWT do uwierzytelniania aplikacji. Złożone klucze, wygasanie tokenów i inne najlepsze praktyki służą do ochrony przed siłami brute force i innymi atakami bezpieczeństwa.
Kontrola dostępu oparta na rolach
Kontrole dostępu oparte na rolach są używane z podejściem najmniejszych uprawnień, aby zapewnić prywatność i ograniczyć ryzyko.
Zabezpieczanie danych w tranzycie
Cała komunikacja w sieci publicznej jest szyfrowana przy użyciu najlepszych standardów branżowych HTTPS/TLS (TLS 1.2 lub nowszy).
Certyfikaty i standardy
Aby zapewnić prywatność danych i bezpieczeństwo naszych produktów i usług, przestrzegamy najwyższych standardów ochrony danych zdrowotnych.
Certyfikaty
Nasze centra danych posiadają certyfikat bezpieczeństwa informacji.
AWS posiada certyfikat zgodności z ISO/IEC 27001:2013, 27017:2015, 27018:2019, 27701:2019, 9001:2015 oraz CSA STAR CCM v3.0.1.
Przeczytaj więcej o certyfikacji AWS:
https://aws.amazon.com/compliance/iso-certified/
Wzorce
Ogólne rozporządzenie o ochronie danych — Unia Europejska 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) z 1996 r. Norma regulująca hosting danych osobowych dotyczących zdrowia.
Ciągłe doskonalenie
Jako firma posiadająca certyfikat ISO 13485, CORSANO ustanowiło System Zarządzania Jakością (QMS) dla rozwoju i produkcji wyrobów medycznych. Firma dąży do ciągłego doskonalenia, aby dostarczać swoim klientom najlepsze produkty.
Audyty wewnętrzne
Plan audytu wewnętrznego
Plan audytu jest ustalany corocznie. Regularnie przeprowadzane są audyty z udziałem ekspertów zewnętrznych i wewnętrznych. Zgodność SZJ i Produktu jest weryfikowana podczas kwartalnych sesji przeglądowych.
Przegląd zarządzania
Przeglądy kierownictwa zapewniają, że kierownictwo corocznie dokonuje systematycznych przeglądów zgodności procesów, produktów i firmy. Pozwala to ocenić możliwości doskonalenia i decydować o strategicznych działaniach poprawiających długoterminową jakość produktów.
Audyty zewnętrzne
Audyty Systemu Zarządzania Jakością
CORSANO jest corocznie audytowany przez jednostkę notyfikowaną Kiwa-Dare pod kątem zgodności z normą ISO 13485 dotyczącą Systemu Zarządzania Jakością dla Wyrobów Medycznych.
Audyt bezpieczeństwa
Firmy eksperckie regularnie przeprowadzają audyty bezpieczeństwa i testy penetracyjne, aby upewnić się, że firma jest na bieżąco i stosuje najwyższe standardy bezpieczeństwa danych i prywatności.
Audyty oceny zgodności
Audyty oceny zgodności przeprowadzane są przez akredytowanych i niezależnych ekspertów zewnętrznych. Zapewnia to zgodność procedur i technologii firmy z przepisami (RODO, HIPAA).
Polityka, umowy i zabezpieczenia projektu
Aby zapewnić prywatność danych w naszych produktach i usługach, stosujemy najwyższe standardy ochrony danych zdrowotnych.
Zarządzanie podwykonawcami
CORSANO współpracuje z kilkoma podwykonawcami, którzy zostali starannie wybrani i są regularnie oceniani zgodnie z procedurą zarządzania dostawcami naszego certyfikowanego systemu zarządzania jakością.
CORSANO posiada specjalne DPA (Umowy o Ochronie Danych) z kluczowymi dostawcami w przypadku przetwarzania danych, aby zapewnić przestrzeganie polityki prywatności i bezpieczeństwa firmy na wszystkich etapach tworzenia i dostarczania produktów i usług.
Umowa o zachowaniu poufności pracownika
Wszyscy pracownicy muszą podpisać umowy o zachowaniu poufności i poufności. Niniejsza umowa o zachowaniu poufności zachowuje ważność po zakończeniu umowy o pracę.
Świadomość bezpieczeństwa
Polityki bezpieczeństwa
Firma CORSANO i jej partnerzy opracowali kompleksowy zestaw zasad i procedur obejmujących obowiązek zachowania poufności pracowników, najlepsze praktyki w zakresie bezpieczeństwa, prywatność klientów i wewnętrzną oraz zarządzanie incydentami. CORSANO wyznaczył inspektora ochrony danych (ang. Data Privacy Officer), który jest odpowiedzialny za prywatność i bezpieczeństwo danych w firmie oraz raportuje do organów regulacyjnych.
Świadomość bezpieczeństwa informacji
Bezpieczeństwo danych i prywatność są traktowane priorytetowo i wszyscy członkowie CORSANO HEALTH są zachęcani do rozwijania swojej wiedzy podczas szkoleń i wydarzeń, tak aby bezpieczeństwo danych było częścią kultury firmy.
Zgodność z ogólnym rozporządzeniem o ochronie danych (RODO)
CORSANO z pasją zapewnia, że nasi klienci są w stanie przestrzegać przepisów dotyczących prywatności danych, w tym RODO Unii Europejskiej, które wejdzie w życie w maju 2018 r. Zapewniamy naszym klientom kontrole klasy korporacyjnej w celu zarządzania, zarządzania dostępem i zapewniania bezpieczeństwa dane przechowywane w Corsano Health Cloud. Zgodnie z wymogami RODO CORSANO umożliwia klientom poprawianie, eksportowanie lub trwałe usuwanie danych osobowych. Usuwamy również dane osobowe z wewnętrznych systemów przetwarzania, aby zminimalizować ilość danych, które przechowujemy zgodnie z artykułem 5 RODO. Odwiedź nasz `RODO Aby dowiedzieć się więcej, jak CORSANO wyznacza poprzeczkę w zakresie ochrony danych osobowych klientów.
Aby zgłosić incydent, problem lub ogólne pytania dotyczące bezpieczeństwa, wyślij e-mail prywatność@corsano.com