Sécurité

La protection de vos données est notre priorité et nous assurons la sûreté et la sécurité à tous les niveaux

Apprenez-en davantage sur le parcours continu de CORSANO avec le cloud et sur notre utilisation innovante d'offres de sécurité pour réduire les risques et améliorer la confidentialité des informations. Voici un aperçu de la façon dont nous avons construit la sécurité chez Corsano :

Sécurité des données

Les données des clients de CORSANO - et la sécurité de ces données - sont de la plus haute importance pour nous, c'est pourquoi nous offrons à nos clients un contrôle total sur leurs données. La sécurité et la confidentialité des données sont une priorité et nous visons à créer une plate-forme où les données peuvent être partagées en toute sécurité entre les utilisateurs et les professionnels de la santé.

CORSANO protège les données personnelles grâce aux meilleures pratiques en matière de développement de logiciels et d'architecture cloud, conformément aux différentes normes de sécurité et de confidentialité (GDPR, HIPAA, ISO 27001).

Infrastructure cloud sécurisée

La meilleure infrastructure cloud est cruciale pour la sécurité des données. C'est pourquoi nous sélectionnons les meilleurs partenaires et utilisons les meilleures technologies et pratiques pour assurer la sécurité, la confidentialité et le plus haut niveau de service pour nos utilisateurs et clients.

CORSANO stocke toutes les données de production dans des centres de données physiquement sécurisés. Nous utilisons les solutions Amazon Web Services (AWS), pionnières dans le support des données de santé, afin de maîtriser tous les aspects de la sécurité des données. En effet, en tant qu'AWS Business Associate, nous pouvons garantir la conformité avec la plus haute sécurité et confidentialité des données.

https://aws.amazon.com/ru/health/healthcare-compliance/

Les centres de données

Conception sécurisée

La sécurité est assurée dès la conception, à partir d'une sélection rigoureuse du site, basée sur une évaluation géographique initiale, en prévenant les risques environnementaux.

La redondance du centre de données et la gestion automatique du trafic permettent de maintenir le plus haut niveau de service.

Accès physique

L'accès n'est accordé qu'aux employés autorisés, selon le principe du moindre privilège. Chaque accès est limité dans le temps et dans les zones au minimum nécessaire et régulièrement réévalué.

Surveillance et détection

Nos centres de données ont des pratiques de sécurité communes, y compris la surveillance vidéo en circuit fermé et des gardes 24h/7 et XNUMXj/XNUMX, et nécessitent l'utilisation de contrôles d'accès biométriques à nos cages verrouillées.

Systèmes de soutien opérationnel

L'alimentation, le climat et la température sont contrôlés et surveillés 24h/7 et XNUMXj/XNUMX. Les centres de données sont équipés d'équipements de détection et d'extinction d'incendie pour assurer le plus haut niveau de sécurité.

En savoir plus sur les contrôles des centres de données AWS :

https://aws.amazon.com/compliance/data-center/controls/

Sécurité des réseaux

Architecture

Notre architecture cloud se compose de plusieurs couches de sécurité, de clusters de données séparés, répliqués dans plusieurs zones de disponibilité. Chaque couche est contrôlée par des équilibreurs de charge et protégée par des pare-feux.

Analyse des infrastructures

La sécurité de l'infrastructure est analysée par les outils AWS pour s'assurer qu'elle est conforme aux pratiques les plus rigoureuses en termes d'excellence opérationnelle, de sécurité, de fiabilité et de performance.

sauvegardes

CORSANO a mis en place des mécanismes de sauvegarde automatisés des données, logiciels et outils. Les sauvegardes sont régulièrement exécutées, testées et transférées vers un stockage sécurisé.

Journalisation des événements

CORSANO surveille en permanence 24 heures sur 7 et 13485 jours sur XNUMX tous les événements et prend des mesures opportunes et appropriées en fonction du niveau de gravité. Le système de gestion de la qualité ISO XNUMX définit clairement la procédure de gestion des incidents.

Chiffrement

CORSANO utilise un haut niveau de cryptage dans toutes les couches et à tous les niveaux de communication, en utilisant des technologies d'authentification robustes (OAuth, JWT) et les dernières normes de protocoles cryptés (HTTPS, TLS).

Les données sont supprimées lorsque leur utilisation n'est pas strictement nécessaire à l'utilisation prévue du produit. Les données stockées doivent utiliser AES-256 ou plus.

Services et sécurité des applications

Pour les services et les applications, nous fournissons, maintenons et gérons la protection et la sécurité des données à toutes les étapes de leur cycle de vie.

Développement sécurisé

Bonnes pratiques de développement de code

Nos développeurs utilisent les meilleures pratiques de programmation (OWASP top 10 des risques de sécurité) et tiennent à jour une liste de contrôle de sécurité API.

Organisation agile, revue de code et tests

Toutes les activités de développement sont organisées en méthode AGILE avec des sprints et une hiérarchisation claire des tâches. Le processus de développement comprend des revues de code, des tests unitaires, des tests d'intégration fonctionnelle et des tests de sécurité.

Assurance qualité des logiciels

Le cycle de vie du logiciel, y compris le développement, les tests, la configuration et les versions, est entièrement conforme à la norme CEI 62304 pour les logiciels médicaux.

Gestion des vulnérabilités

Tests de sécurité automatisés

Des tests de sécurité automatisés sont effectués sur chaque bloc de l'infrastructure cloud pour relever les vulnérabilités potentielles.

Tests d'intrusion tiers

Des tests d'intrusion sévères sont régulièrement réalisés par des sociétés expertes, hyper-spécialisées dans les tests d'intrusion et le piratage éthique.

Sécurité d'authentification

Politique de mot

CORSANO nécessite l'utilisation d'un mot de passe fort et respecte les recommandations internationales en termes de robustesse.

Authentification multi-facteurs

MFA est utilisé pour tous les accès aux données et ressources critiques.

Apis

Les API CORSANO utilisent les méthodes OAuth 2.0 et JWT pour authentifier les applications. Les clés complexes, l'expiration des jetons et d'autres meilleures pratiques sont utilisées pour se protéger contre le forçage brutal et d'autres attaques de sécurité.

Contrôles d'accès basés sur les rôles

Les contrôles d'accès basés sur les rôles sont utilisés avec l'approche du moindre privilège pour garantir la confidentialité et limiter les risques.

Sécurisation des données en transit

Toutes les communications sur le réseau public sont cryptées avec les meilleures normes de l'industrie HTTPS/TLS (TLS 1.2 ou supérieur).

Certifications et normes

Pour garantir la confidentialité des données et la sécurité de nos produits et services, nous nous conformons aux normes les plus élevées en matière de protection des données de santé.

Certifications

Nos centres de données sont certifiés pour la sécurité de l'information.

AWS est certifié conforme aux normes ISO/IEC 27001:2013, 27017:2015, 27018:2019, 27701:2019, 9001:2015 et CSA STAR CCM v3.0.1.

En savoir plus sur la certification AWS :

https://aws.amazon.com/compliance/iso-certified/

Normes

Règlement général sur la protection des données — Union européenne 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Health Insurance Portability and Accountability Act (HIPAA) de 1996. Norme régissant l'hébergement des données personnelles de santé.

L'amélioration continue

En tant qu'entreprise certifiée ISO 13485, CORSANO a mis en place un système de gestion de la qualité (SMQ) pour le développement et la production de dispositifs médicaux. L'entreprise vise l'amélioration continue pour offrir les meilleurs produits à ses clients.

Audits internes

Plan d'audit interne

Un plan d'audit est défini annuellement. Des audits avec des experts externes et internes sont régulièrement réalisés. La conformité du système de gestion de la qualité et du produit est vérifiée lors de sessions d'examen trimestrielles.

Examen de la gestion

Les revues de direction assurent que la Direction revoit systématiquement annuellement la conformité des processus, des produits et de l'entreprise. Cela permet d'évaluer les opportunités d'amélioration et de décider des actions stratégiques pour améliorer la qualité à long terme des produits.

Audits externes

Audit du Système de Management de la Qualité

CORSANO est audité chaque année pour sa conformité à la norme ISO 13485 pour le système de gestion de la qualité des dispositifs médicaux, par l'organisme notifié Kiwa-Dare.

Audit de sécurité

Des sociétés expertes effectuent régulièrement des audits de sécurité et des tests de pénétration pour s'assurer que l'entreprise se tient à jour et utilise les normes de sécurité et de confidentialité des données les plus élevées.

Audits d'évaluation de la conformité

Les audits d'évaluation de la conformité sont effectués par des experts tiers accrédités et indépendants. Cela garantit la conformité des procédures et de la technologie de l'entreprise avec les réglementations (GDPR, HIPAA).

Politique, contrats et sauvegardes du projet

Pour garantir la confidentialité des données dans nos produits et services, nous utilisons les normes les plus élevées de protection des données de santé.

Gestion des sous-traitants

CORSANO travaille avec plusieurs sous-traitants soigneusement sélectionnés et régulièrement évalués selon la procédure de gestion des fournisseurs de notre SMQ certifié.

CORSANO a conclu des DPA (accords de protection des données) spéciaux avec les fournisseurs critiques lorsque le traitement des données est impliqué, afin de garantir que la politique de confidentialité et de sécurité de l'entreprise est maintenue à toutes les étapes de la création et de la fourniture du produit et du service.

Accord de confidentialité des employés

Tous les employés doivent signer des accords de non-divulgation et de confidentialité. Cet accord de confidentialité reste valable après la fin du contrat de travail.

Sensibilisation à la sécurité

Politiques de sécurité

CORSANO et ses partenaires ont développé un ensemble complet de politiques et de procédures pour couvrir le devoir de confidentialité des employés, les meilleures pratiques de sécurité, la confidentialité des clients et internes, la gestion des incidents. CORSANO a nommé un DPO (Data Privacy Officer) qui est responsable de la confidentialité et de la sécurité des données au sein de l'entreprise et rapporte aux Autorités de Régulation.

Sensibilisation à la sécurité de l'information

La sécurité et la confidentialité des données sont considérées comme une priorité et tous les membres de CORSANO HEALTH sont encouragés à développer leurs connaissances lors de formations et d'événements, afin que la sécurité des données fasse partie de la culture d'entreprise.

Conformité au règlement général sur la protection des données (RGPD)

CORSANO veille à ce que ses clients soient en mesure de se conformer aux réglementations sur la confidentialité des données, y compris le RGPD de l'Union européenne, qui entrera en vigueur en mai 2018. Nous fournissons à nos clients des contrôles de niveau entreprise pour gérer, régir l'accès et assurer la sécurité des données personnelles. données hébergées dans Corsano Health Cloud. Comme l'exige le GDPR, CORSANO permet aux clients de corriger, d'exporter ou de supprimer définitivement des informations personnelles. Nous supprimons également les données personnelles des systèmes de traitement internes afin de minimiser les données que nous conservons conformément à l'article 5 du RGPD. Veuillez visiter notre RGPD page pour en savoir plus sur la façon dont CORSANO place la barre en matière de protection des données personnelles des clients.

Pour signaler un incident, une préoccupation ou pour des questions de sécurité générales, veuillez envoyer un e-mail confidentialité@corsano.com