Der Schutz Ihrer Daten ist für uns von größter Bedeutung. Wir gewährleisten die Sicherheit in jeder Phase des Prozesses.

Datensicherheit

Withings ist verpflichtet, eine sichere Umgebung zu schaffen, die es Ihnen ermöglicht, unsere Produkte und Dienstleistungen zu nutzen. Wir schützen Ihre personenbezogenen Daten durch die Einhaltung mehrerer Normen bzw. Standards (ISO 27001:2017 & HDS).

Standards

Um den Datenschutz in unsere Produkte und Dienstleistungen einzubeziehen, streben wir nach den höchsten Standards für den Schutz personenbezogener Daten.

Zertifizierungen

HDS

HDS Certification

Gesundheitsdaten-Hosting — Version 1.1 final – Mai 2018 für die Aktivitäten 3 bis 6 gemäß dem Zertifizierungsreferenzsystem von ASIP Santé.

Umfasst alle Systeme, Personen und Prozesse, die an der Konzeption, Entwicklung, dem Betrieb, der Validierung und dem Support von Anwendungen und Diensten beteiligt sind, die in den Withings Medizinischen Clouds gehostet werden, einschließlich der Verarbeitung oder Offenlegung personenbezogener Gesundheitsdaten.

Die Zertifizierungsreferenz umfasst: NF ISO/IEC 27001:2017, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011 sowie weitere Anforderungen.

Download

ISO 27001:2017

ISO_27001

Withings erbringt den Service eines Hosting-Anbieters gemäß den Anforderungen der Standards der Internationalen Organisation für Normung 27001:2017.

Umfasst alle Systeme, Personen und Prozesse, die an der Konzeption, Entwicklung, dem Betrieb, der Validierung und dem Support von Anwendungen und Diensten beteiligt sind, die in den Withings Medizinischen Clouds gehostet werden, einschließlich der Verarbeitung oder Offenlegung personenbezogener Gesundheitsdaten.

Download

Standards

GDPR (DSGVO)

GDPR

Datenschutz-Grundverordnung — Europäische Union 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

HIPAA

HIPAA

Gesetz über die Übertragbarkeit und Nachweispflicht von Krankenversicherungen aus dem Jahr 1996. Standard für das Hosting personenbezogener Gesundheitsdaten.

Umfasst alle Systeme, Personen und Prozesse, die an der Konzeption, Entwicklung, dem Betrieb, der Validierung und dem Support von Anwendungen und Diensten beteiligt sind, die in den Withings Medizinischen Clouds gehostet werden, einschließlich der Verarbeitung oder Offenlegung personenbezogener Gesundheitsdaten.

Download

Dienste & Anwendungssicherheit

Wir liefern, pflegen und verwalten den Datenschutz für unsere Applikationen, Produkte und Dienste in allen Phasen ihres Lebenszyklus.

Sichere Entwicklung

Rahmensicherheitskontrollen

Withings setzt auf moderne Sicherheitskontrolltechniken, um die 10 größten OWASP-Sicherheitsrisiken zu begrenzen. Diese inhärenten Kontrollen reduzieren unter anderem die Anfälligkeit für SQL Injection (SQLi), Cross Site Scripting (XSS) und Cross Site Request Forgery (CSRF).

Agile Organisation, Code Review und Tests

Alle Entwicklungsaktivitäten werden nach der AGILE-Methode organisiert, mit der Festlegung von Sprints und der Priorisierung von Aufgaben mit dem Produktmanagerteam. Alle Sprints werden archiviert. Die Entwickler führen Einheitstests, funktionale Integrationstests und Sicherheitstests durch. Die Funktionen werden vom Sicherheitsteam überprüft und vor der Bereitstellung durch Peer Reviews bewertet.

Software-Qualitätssicherung

Die Abteilung für Software-Qualitätssicherung testet die Dienste und Anwendungen vor Produktionsstart (manuelle oder automatische Tests).

Trennung der Umgebungen und Testdaten

Die Entwicklungs- und Testumgebungen sind strikt von der Produktionsumgebung getrennt. In unseren Entwicklungs- und Testumgebungen werden keine personenbezogenen Produktionsdaten verwendet.

Schwachstellen- Management

Code-Audit

Withings verwendet Sicherheitstools von Drittanbietern, um den gesamten Code vor der Produktion zu analysieren und vor größeren Sicherheitsrisiken zu schützen. Schwachstellen, die zu Sicherheitslücken führen können, werden verbindlich behoben und/oder in einem kontinuierlichen Verbesserungszyklus geplant.

Automatische Codeprüfung

Der Code wird automatisch mit vordefinierten Testszenarien getestet, um sicherzustellen, dass Änderungen nicht zu einem Verlust oder einer Beeinträchtigung der Sicherheit führen. Die Tests werden auf virtuellen Maschinen mit einer begrenzten Lebensdauer durchgeführt und sind vollständig von der Produktion getrennt.

Penetrationstests von Drittanbietern

Zusätzlich zum Schwachstellen-Management, das Analysen und Tests umfasst, setzt Withings Sicherheitsexperten von Drittanbietern ein, um Penetrationstests für verschiedene Applikationen in unserer Produktpalette durchzuführen. Darüber hinaus hat Withings mit einem Partner ein Bug-Bounty-Programm gestartet, damit ethische Hacker unsere Systeme kontinuierlich testen und Schwachstellen melden können.

Authentifizierungs-Sicherheit

Passwort-Richtlinie

Withings verlangt die Verwendung eines starken und sicheren Passworts und hält sich dabei an die internationalen Empfehlungen in Bezug auf Robustheit. Diese Richtlinie gilt für alle Nutzer der Health Mate-Applikation.

Zwei-Faktor-Authentifizierung

Sie können die 2-Faktor-Authentifizierung aktivieren, um die Sicherheit Ihres Kontos zu erhöhen.

Speicherung von Authentifizierungsdaten

Withings zeigt in seinen Anwendungen oder Diensten niemals Klartext-Authentifizierungsdaten an.

API - Authentifizierung von Drittanwendungen

Withings API verwendet die OAuth 2.0-Methode zur Authentifizierung von Drittanwendungen. Jede Anwendung hat eine eindeutige und robuste Client-ID sowie ein Client-Secret. Die Verbindungsdaten werden dann mit ablaufenden Token gesichert, die der Kunde von Withings neu generieren muss.

Rollenbasierte Zugriffsrechte

Die meisten Withings-Anwendungen und -Dienste unterliegen einer Zugriffskontrolle basierend auf Rollen mit vordefinierten Berechtigungen. Dies ermöglicht eine kontrollierte Nutzung und einen kontrollierten Zugriff auf Daten.

Sicherung von Daten während der Übertragung

Die gesamte Kommunikation über das öffentliche Netz wird mit dem Industriestandard HTTPS/TLS (TLS 1.2 oder höher) verschlüsselt.

Änderungsmanagement

Kategorisierung von Änderungen

Withings hat Änderungskategorien definiert, die eine an die Typologie der Änderung angepasste Nachverfolgung ermöglichen. Dies gewährleistet eine starke Reaktivität und stellt gleichzeitig sicher, dass die Auswirkungen ordnungsgemäß bewertet werden.

Änderungsverfahren

Withings hat je nach Kategorie ein Änderungsmanagementverfahren definiert, das Folgendes umfassen kann: Änderungsantrag, Ernennung eines Änderungsausschusses, Sicherheitsrisikoanalyse, Planung, Umsetzung der Änderung oder Änderung des Kontinuitäts- oder Wiederherstellungsplans.

Schutz der Infrastrukturen

Da der Schutz der Daten ein Bestandteil der Betreuung unserer Nutzer ist, setzen wir die besten Sicherheitslösungen ein, um Ihre Daten zu schützen.

Sicherheit des physischen Rechenzentrums

Physische Einrichtungen

Für die B2C- und B2B-Aktivitäten in Europa hostet Withings seine Server dank BSO in Rechenzentren in Frankreich. Um einen 24/7-Betrieb und die konstante Verfügbarkeit der Dienste zu gewährleisten, sind die BSO-Rechenzentren mit redundanten Stromversorgungssystemen ausgestattet und unterliegen Umweltkontrollen.

Für B2B-Aktivitäten in den USA hostet Withings seine Server dank GCP in Rechenzentren in den USA. Um einen 24/7-Betrieb und die ständige Verfügbarkeit der Dienste zu gewährleisten, sind die Google-Rechenzentren mit redundanten Stromversorgungssystemen ausgestattet und unterliegen Umweltkontrollen.

Sicherheit vor Ort

Die BSO- und GCP-Rechenzentren sind mit einem mehrschichtigen Sicherheitsmodell ausgestattet, das kundenspezifische elektronische Zugangskarten, Alarmanlagen, Zugangskontrollschranken für Fahrzeuge, Sicherheitszäune, Metalldetektoren und biometrische Technologien umfasst. Jedes Rechenzentrum ist außerdem mit einem Laserstrahl-Einbruchserkennungs-System ausgestattet. Die Rechenzentren werden 24 Stunden am Tag, 7 Tage die Woche mit hochauflösenden Innen- und Außenkameras überwacht, die Eindringlinge erkennen und verfolgen können.

Ort des Datenhostings

Der Auftraggeber kann auf Anfrage verlangen, die Verarbeitung seiner Daten an einen zur Verfügung stehenden Ort von MED·PRO-Diensten zu regionalisieren. Withings respektiert die Wahl des Kunden und informiert den Kunden, wenn eine oder mehrere Dienstleistungen nicht regionalisierbar sind.

Netzwerksicherheit

Schutz

Das Withings-Netzwerk ist durch verschiedene Sicherheitsdienste geschützt (DMZ, Zugriffskontrollliste, Firewalls, Anti-Malware, TLS, IPSec VPN...).

Architektur

Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitsebenen, die jeweils in mehreren Verfügbarkeitszonen repliziert werden. DMZs werden für Bereiche verwendet, die dem öffentlichen Netz ausgesetzt sind. Jede Ebene wird über Firewalls geschützt.

Infrastruktur-Schwachstellenanalyse

Die Analyse der Infrastruktursicherheit über automatisierte Scans liefert detaillierte Informationen zur schnellen Identifizierung nicht konformer oder potenziell gefährdeter Systeme.

Logistikzugang

Der Zugang zur Produktionsumgebung ist streng auf die Systemadministratoren beschränkt.  Alle Zugriffe werden kontrolliert und in geschützten Protokollen aufgezeichnet. Sie werden automatisch von einem von den Systemadministratoren unabhängigen Sicherheitsingenieur analysiert und geprüft. Systemadministratoren, die auf die Produktionsplattform zugreifen, müssen mehrere persönliche und robuste Authentifizierungsfaktoren verwenden.

Backups

Withings hat eine Backup-Richtlinie für alle Produktionssysteme und -umgebungen implementiert, einschließlich Datenbanken, GIT-Verzeichnissen, Festplatten virtueller Maschinen und Dokumentenfreigabeservern. Backups werden regelmäßig entsprechend ihrer Kritikalität ausgeführt und getestet. Backups werden dann vor der verschlüsselten Übertragung zur sicheren Speicherung verschlüsselt. Nur Systemadministratoren haben Zugriff auf Backups.

Ereignisprotokollierung

Withings hat Ereignisprotokollierungsrichtlinie einschließlich Systemverwaltungsprotokollen eingerichtet, die nicht deaktiviert werden kann. Aktivitäten auf allen Withings-Systemen und -Anwendungen werden ebenfalls protokolliert. Die Protokolle werden dann durch automatische Algorithmen analysiert, um verdächtige oder schädliche Aktivitäten zu erkennen.

Management von Sicherheitsvorfällen

Ein kontinuierliches Warnsystem ermöglicht die ständige Überwachung von Sicherheitsvorfällen und deren Behebung durch Systemadministratoren in der kürzest möglichen Zeit. Die Mitarbeiter werden in Reaktionsprozessen für Sicherheitsvorfälle geschult, einschließlich der Verwaltung von Kommunikationskanälen und Eskalationspfaden.

Verschlüsselung

Verschlüsselung gespeicherter Daten

Withings verwendet eine Festplattenverschlüsselung auf niedriger Ebene. Die Verschlüsselung hat eine Robustheit von mindestens AES-256 oder gleichwertig.

Verschlüsselung von Datenbanken

Informationen in Datenbanken werden entsprechend ihrer Klassifizierung im Datenregister verschlüsselt.

Kommunikationsverschlüsselung

In öffentlichen Netzwerken wird die gesamte Kommunikation mit Withings Benutzeroberflächen und APIs über den HTTPS/TLS-Standard (TLS 1.2 oder höher) verschlüsselt. Dadurch wird sichergestellt, dass der gesamte Datenverkehr zwischen dem Kunden und Withings während der Übertragung gesichert ist.

SSH-Verbindungen

Withings garantiert SSH-Verbindungen nur unter Verwendung von SSH v2 und branchenweit anerkannten Verschlüsselungscodes.

VPN-Verbindung

Withings garantiert VPN-Verbindungen nur mit branchenweit anerkannten und robusten Verschlüsselungs-Chiffren.

Backups

Alle Backups werden mindestens einmal verschlüsselt, bevor sie an einen Remote-Speicherbereich übertragen werden. Sie werden nach Möglichkeit auch durch die Speicherlösung selbst verschlüsselt.

Verfügbarkeitsplan & Kontinuität

Informationen zur Verfügbarkeit

Withings bietet eine öffentlich zugängliche Webseite zum Systemstatus , die Details zur Systemverfügbarkeit, zu geplanten Wartungen, Servicevorfällen und relevanten Sicherheitsereignissen enthält.

Redundanz

Die gesamte physische Infrastruktur und Cloud-Infrastruktur ist redundant, um das Risiko von Ausfallzeiten und Datenverlust zu minimieren. Insbesondere sind die Datenbanken mit nahezu konstanter Replikation konfiguriert, um sicherzustellen, dass unter normalen Betriebsbedingungen der vollständige Verlust der Hauptinstanz, die die Aufzeichnungen empfängt, nicht zu einem Datenverlust von mehr als einigen Sekunden führt.

Recovery Point-Ziel

Die IT-Backup-Richtlinie von Withings gewährleistet eine tägliche Sicherung der Produktionsdatenbanken. 

Notfallwiederherstellungsplan

Der Notfallwiederherstellungsplan (Disaster recovery plan) von Withings stellt sicher, dass die Produktionsplattform im Falle eines Totalausfalls der Produktionsumgebung vollständig wiederhergestellt werden kann. Der gesamte Code, die Konfigurationen und die Datenbanken werden an sicheren Orten gespeichert und sind von der Produktionsumgebung unabhängig. Die Wiederherstellung der gesamten Plattform wird regelmäßig zu Testzwecken durchgeführt.

HR Security

Die wenigen Mitarbeiter, die in der Withings Cloud mit Daten arbeiten, unterliegen einer regelmäßigen Überprüfung und kontinuierlichen Schulung zur Minderung der Risiken bei der Verarbeitung personenbezogener Daten.

Mitarbeiterführung

Hintergrund- und Kompetenzüberprüfung

Withings führt bei allen neuen Mitarbeitern Hintergrundüberprüfungen in Übereinstimmung mit den örtlichen Gesetzen durch. Diese Überprüfungen werden auch bei Auftragnehmern durchgeführt. Die Hintergrundüberprüfungen können technische und allgemeine Fähigkeiten, frühere Beschäftigungsverhältnisse und ggf. Strafregisterauszüge umfassen.

Vertraulichkeitsvereinbarung

Alle Mitarbeiter müssen Geheimhaltungs- und Vertraulichkeitsvereinbarungen unterzeichnen. Diese Vertraulichkeitsvereinbarung bleibt auch nach Beendigung des Arbeitsverhältnisses gültig.

Definition von Rollen und Verantwortlichkeiten

Withings stellt sicher, dass alle Rollen und Verantwortlichkeiten klar definiert sind und von den Personen, denen sie zugewiesen sind, verstanden werden.

Disziplinarverfahren

Withings hat für den Fall eines Verstoßes gegen übertragene Verantwortlichkeiten ein Disziplinarverfahren eingeführt, das auf einer in der Geschäftsordnung festgelegten Sanktionsskala basiert.

Sicherheitsbewusstsein

Sicherheitsrichtlinien

Withings hat eine umfassende Reihe von Sicherheitsrichtlinien entwickelt, die ein breites Spektrum von Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Subunternehmern, die Zugang zu den Informationssystemen von Withings haben, mitgeteilt und zur Verfügung gestellt.

Informationssicherheits-Bewusstsein

Alle Mitarbeiter erhalten eine Sicherheitsschulung, die Teil des Einstellungsverfahrens ist und danach jährlich wiederholt wird. Die Grundregeln und bewährten Praktiken werden auch in den Räumlichkeiten von Withings regelmäßig besprochen.

Sicherheitstraining

Alle Entwickler werden durch Schulungen und Best-Practice-Leitfäden auf die 10 wichtigsten OWASP-Sicherheitsrisiken aufmerksam gemacht. Darüber hinaus werden Schulungen mit externen Experten organisiert, um eine umfassende Kenntnis und Verbreitung des sicheren Codes zu gewährleisten. Das Sicherheitsteam bietet auch zusätzliche Aktualisierungen zur Sensibilisierung für Sicherheitsfragen per E-Mail, durch Blogbeiträge und Präsentationen auf internen Veranstaltungen.

Kontinuierliche Verbesserung

Als innovatives IT-Unternehmen stellen wir sicher, dass wir den aktuellen Datenschutzstandards immer einen Schritt voraus sind. Dies wird durch regelmäßige interne und externe Audits unterstützt.

Interne Audits

Interner Auditplan

Alle Prozesse werden von internen Audit-Teams oder von externen Dienstleistern geprüft.

Managementbewertung

Managementprüfungen stellen sicher, dass das Management das ISMS systematisch überprüft, Verbesserungsmöglichkeiten bewertet und über die notwendigen Maßnahmen entscheidet, um die Relevanz, Angemessenheit und Wirksamkeit des ISMS zu gewährleisten.

Externe Audits

Technische Audits

Zusätzlich zum Schwachstellenmanagement, einschließlich Analysen und Tests, beauftragt Withings Sicherheitsexperten von Drittanbietern mit der Durchführung detaillierter Penetrationstests für verschiedene Anwendungen in unserer Produktlinie. Externe technische Audits sind in den jährlichen Audit-Plan von Withings integriert.

Compliance-Zertifizierungsaudit

Withings hat ein Zertifizierungsverfahren durch eine akkreditierte Stelle eingeleitet, um sicherzustellen, dass sein ISMS den von der Branche anerkannten internationalen Standards entspricht. Das ordnungsgemäße Funktionieren des ISMS wird daher jährlich von einer unabhängigen, vertrauenswürdigen Drittpartei bewertet.

loader newco