Security
Het beschermen van uw gegevens is onze prioriteit en we zorgen voor veiligheid en beveiliging op elk niveau
Lees meer over de voortdurende reis van CORSANO met de cloud en ons innovatieve gebruik van beveiligingsaanbiedingen om risico's te verminderen en de privacy van informatie te verbeteren. Hier is een overzicht van hoe we de beveiliging bij Corsano hebben opgebouwd:
Gegevensbeveiliging
De gegevens van CORSANO-klanten – en de veiligheid van die gegevens – zijn van het grootste belang voor ons, daarom geven we onze klanten volledige controle over hun gegevens. Gegevensbeveiliging en privacy is een prioriteit en we streven ernaar een platform te creëren waar gegevens veilig kunnen worden gedeeld tussen gebruikers en gezondheidswerkers.
CORSANO beschermt persoonlijke gegevens door middel van best practices op het gebied van softwareontwikkeling en cloudarchitectuur, waarbij wordt voldaan aan verschillende beveiligings- en privacynormen (GDPR, HIPAA, ISO 27001).
Veilige cloudinfrastructuur
De beste cloudinfrastructuur is cruciaal voor de beveiliging van data. Daarom selecteren we de beste partners en gebruiken we de beste technologieën en praktijken om veiligheid, privacy en het hoogste serviceniveau voor onze gebruikers en klanten te garanderen.
CORSANO slaat alle productiegegevens op in fysiek beveiligde datacenters. We gebruiken Amazon Web Services (AWS)-oplossingen, pionier in het ondersteunen van gezondheidsgegevens, om alle aspecten van de beveiliging van gegevens onder de knie te krijgen. Als AWS Business Associate kunnen we inderdaad de naleving van de hoogste gegevensbeveiliging en privacy garanderen.
https://aws.amazon.com/ru/health/healthcare-compliance/
Gegevenscentra
Veilig ontwerp
Beveiliging wordt gegarandeerd door het ontwerp, te beginnen bij een zorgvuldige selectie van locaties, gebaseerd op een initiële geografische beoordeling, waarbij milieurisico's worden voorkomen.
Redundantie van datacenters en automatisch verkeersbeheer maken het mogelijk om het hoogste serviceniveau te behouden.
Fysieke toegang
Toegang wordt alleen verleend aan goedgekeurde medewerkers, volgens het principe van minste privilege. Elke toegang is beperkt in tijd en ruimte tot het noodzakelijke minimum en wordt regelmatig opnieuw geëvalueerd.
Surveillance en detectie
Onze datacenters hebben gemeenschappelijke beveiligingspraktijken, waaronder videobewaking in een gesloten circuit en 24/7 bemande bewakers, en vereisen het gebruik van biometrische toegangscontroles tot onze afgesloten kooien.
Operationele ondersteuningssystemen
Stroom, klimaat en temperatuur worden 24/7 geregeld en bewaakt. Datacenters zijn uitgerust met branddetectie- en blusapparatuur om het hoogste niveau van veiligheid te garanderen.
Lees meer informatie over AWS-datacenterbesturingen:
https://aws.amazon.com/compliance/data-center/controls/
Netwerkbeveiliging
Bescherming
Het CORSANO-netwerk wordt beschermd door het gebruik van AWS-beveiligingsdiensten (Toegangscontrolelijst, firewall, anti-malware, beveiliging van gegevens in transit via TLS, VPN...).
Architectuur
Onze cloudarchitectuur bestaat uit meerdere beveiligingslagen, gescheiden dataclusters, gerepliceerd in meerdere beschikbaarheidszones. Elke laag wordt gecontroleerd door load balancers en beschermd via firewalls.
Infrastructuuranalyse
De infrastructuurbeveiliging wordt geanalyseerd door AWS-tools om ervoor te zorgen dat deze voldoet aan de meest rigoureuze praktijken op het gebied van operationele uitmuntendheid, beveiliging, betrouwbaarheid en prestaties.
Backups
CORSANO heeft geautomatiseerde back-upmechanismen geïmplementeerd voor gegevens, software en tools. Back-ups worden regelmatig uitgevoerd, getest en overgebracht naar beveiligde opslag.
Evenementen loggen
CORSANO monitort continu 24/7 alle gebeurtenissen en onderneemt tijdige en passende acties op basis van het ernstniveau. Het ISO 13485-kwaliteitsbeheersysteem definieert duidelijk de procedure voor incidentbeheer.
Encryptie
CORSANO gebruikt een hoog coderingsniveau in alle lagen en op alle communicatieniveaus, met behulp van robuuste authenticatietechnologieën (OAuth, JWT) en de nieuwste standaarden van gecodeerde protocollen (HTTPS, TLS).
Gegevens worden verwijderd wanneer het gebruik ervan niet strikt noodzakelijk is voor het beoogde gebruik van het product. Opgeslagen gegevens moeten AES-256 of meer gebruiken.
Diensten en toepassingen Beveiliging
Voor services en applicaties leveren, onderhouden en beheren we gegevensbescherming en beveiliging in alle stadia van hun levenscyclus.
Beveiligde ontwikkeling
Best practices voor codeontwikkeling
Onze ontwikkelaars gebruiken de best practices voor programmeren (OWASP top 10 beveiligingsrisico's) en houden een API Security Checklist bij.
Agile organisatie, code review en testen
Alle ontwikkelactiviteiten zijn georganiseerd in AGILE-methode met sprints en duidelijke prioritering van taken. Het ontwikkelproces omvat codereviews, unittests, functionele integratietests en securitytests.
Software Kwaliteit Zekerheid
De softwarelevenscyclus, inclusief ontwikkeling, testen, configuratie en releases, is volledig in overeenstemming met de IEC 62304-standaard voor medische software.
Beheer van kwetsbaarheden
Geautomatiseerde beveiligingstests
Geautomatiseerde beveiligingstests worden uitgevoerd op elk blok van de cloudinfrastructuur om potentiële kwetsbaarheden te verhogen.
Penetratietests van derden
Er worden regelmatig harde penetratietesten uitgevoerd door deskundige bedrijven, hypergespecialiseerd in penetratietesten en ethisch hacken.
authenticatie beveiliging
Wachtwoord beleid
CORSANO vereist het gebruik van een sterk wachtwoord en voldoet aan de internationale aanbevelingen op het gebied van robuustheid.
Multi-factor authenticatie
MFA wordt gebruikt voor alle toegang tot kritieke gegevens en bronnen.
APIs
CORSANO API's gebruiken de OAuth 2.0- en JWT-methoden om applicaties te authenticeren. Complexe sleutels, het verlopen van tokens en andere best practices worden gebruikt om te beschermen tegen brute forcing en andere beveiligingsaanvallen.
Op rollen gebaseerde toegangscontrole
Op rollen gebaseerde toegangscontroles worden gebruikt met een benadering met de minste bevoegdheden om de privacy te waarborgen en de risico's te beperken.
Gegevens onderweg beveiligen
Alle communicatie via het openbare netwerk is versleuteld met de beste industriestandaarden van HTTPS/TLS (TLS 1.2 of hoger).
Certificeringen en normen
Om de gegevensprivacy en de beveiliging van onze producten en diensten te waarborgen, voldoen we aan de hoogste normen voor de bescherming van gezondheidsgegevens.
Alle benodigde certificeringen
Onze datacenters zijn gecertificeerd voor informatiebeveiliging.
AWS is gecertificeerd voor naleving van ISO/IEC 27001:2013, 27017:2015, 27018:2019, 27701:2019, 9001:2015 en CSA STAR CCM v3.0.1.
Lees meer over AWS-certificering:
https://aws.amazon.com/compliance/iso-certified/
Normen
Algemene verordening gegevensbescherming — Europese Unie 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
Health Insurance Portability and Accountability Act (HIPAA) van 1996. Norm voor het hosten van persoonlijke gezondheidsgegevens.
Continue verbetering
Als ISO 13485-gecertificeerd bedrijf heeft CORSANO een kwaliteitsmanagementsysteem (QMS) opgezet voor de ontwikkeling en productie van medische hulpmiddelen. Het bedrijf streeft naar continue verbetering om de beste producten aan haar klanten te leveren.
Interne audits
Intern auditplan
Jaarlijks wordt een auditplan opgesteld. Regelmatig worden audits met externe en interne experts uitgevoerd. De QMS en productcompliance worden geverifieerd in driemaandelijkse beoordelingssessies.
Managementbeoordeling
Managementreviews zorgen ervoor dat het management jaarlijks systematisch de naleving van de processen, de producten en het bedrijf beoordeelt. Dit maakt het mogelijk om kansen voor verbetering te beoordelen en te beslissen over de strategische acties om de kwaliteit van de producten op de lange termijn te verbeteren.
Externe audits
Audits van kwaliteitsmanagementsystemen
CORSANO wordt jaarlijks door de aangemelde instantie Kiwa-Dare gecontroleerd op naleving van de ISO 13485-norm voor kwaliteitsmanagementsysteem voor medische hulpmiddelen.
Beveiligingsaudit
Deskundige bedrijven voeren regelmatig beveiligingsaudits en penetratietests uit om ervoor te zorgen dat het bedrijf up-to-date blijft en de hoogste normen voor gegevensbeveiliging en privacy hanteert.
Conformiteitsbeoordelingsaudits
Conformiteitsbeoordelingsaudits worden uitgevoerd door geaccrediteerde en onafhankelijke externe deskundigen. Dit zorgt ervoor dat de procedures en technologie van het bedrijf voldoen aan de regelgeving (GDPR, HIPAA).
Beleid, contracten en projectwaarborgen
Om gegevensprivacy in onze producten en diensten te waarborgen, gebruiken we de hoogste normen voor de bescherming van gezondheidsgegevens.
Beheer van onderaannemers
CORSANO werkt met verschillende onderaannemers die zorgvuldig zijn geselecteerd en regelmatig worden geëvalueerd volgens de leveranciersbeheerprocedure van ons gecertificeerde QMS.
CORSANO heeft speciale DPA's (Data Protection Agreements) met de kritieke leveranciers wanneer het gaat om gegevensverwerking, om ervoor te zorgen dat het privacy- en beveiligingsbeleid van het bedrijf wordt gehandhaafd in alle stadia van de creatie en levering van producten en diensten.
Geheimhoudingsovereenkomst werknemer
Alle medewerkers moeten geheimhoudings- en vertrouwelijkheidsovereenkomsten ondertekenen. Deze geheimhoudingsverklaring blijft geldig na het einde van de arbeidsovereenkomst.
Veiligheidsbewustzijn
Beveiligingsbeleid
CORSANO en haar partners hebben een uitgebreide reeks beleidsregels en procedures ontwikkeld om de vertrouwelijkheidsplicht van werknemers, best practices op het gebied van beveiliging, klant- en interne privacy, incidentbeheer te dekken. CORSANO heeft een DPO (Data Privacy Officer) aangesteld die verantwoordelijk is voor de privacy en beveiliging van gegevens binnen het bedrijf en die rapporteert aan de regelgevende instanties.
Bewustzijn van informatiebeveiliging
Gegevensbeveiliging en privacy worden als een prioriteit beschouwd en alle leden van de CORSANO HEALTH worden aangemoedigd om hun kennis te ontwikkelen in trainingen en evenementen, zodat de gegevensbeveiliging deel uitmaakt van de bedrijfscultuur.
Naleving van de Algemene Verordening Gegevensbescherming (AVG)
CORSANO streeft ernaar om ervoor te zorgen dat onze klanten kunnen voldoen aan de regelgeving inzake gegevensprivacy, waaronder de AVG van de Europese Unie, die in mei 2018 van kracht wordt. gegevens ondergebracht in Corsano Health Cloud. Zoals vereist door de AVG, staat CORSANO klanten toe om persoonlijke informatie te corrigeren, exporteren of permanent te verwijderen. We verwijderen ook persoonlijke gegevens uit interne verwerkingssystemen om de gegevens die we bewaren te minimaliseren op grond van artikel 5 van de AVG. Bezoek onze: GDPR pagina om meer te weten te komen over hoe CORSANO de lat legt voor de bescherming van persoonlijke gegevens van klanten.
Stuur een e-mail om een incident, bezorgdheid of algemene beveiligingsvragen te melden privacy@corsano.com