Schutz der medizinischen Cloud und Sicherheitsversicherung

Die Daten professioneller Lösungen zu sichern, hat oberste Priorität bei Withings. Erfahren Sie hier, wie wir dabei agieren.

Übersicht

Der Withings Versicherungsplan bezieht sich ausschließlich auf Withings Aktivitäten mit Fachleuten. Informationen zu Sicherheitsmaßnahmen zum Schutz individueller Benutzerdaten finden Sie in unserer Datenschutzerklärung.

Daten -sicherheit

Standards

Verträge & Projekt -absicherungen

Plan zur Sicherheits -versicherung

Subunternehmer-Management

Dienste & Anwendungs -sicherheit

Sichere Entwicklung

Schwachstellen -management

Authentifizierungs-Sicherheit

Rollenbasierte Zugriffsrechte

Sicherung von Daten während der Übertragung

Änderungs -management

Schutz der medizinischen Cloud & Infrastruktur

Sicherheit des physischen Rechenzentrums

Netzwerksicherheit

Verschlüsselung

Verfügbarkeitsplan & Kontinuität

HR-Sicherheit

Mitarbeiterführung

Sicherheits -bewusstsein

Kontinuierliche Verbesserung

Interne Audits

Externe Audits

Menü schließen

Datensicherheit

Withings setzt sich für die Schaffung einer zertifizierten Umgebung ein, die es medizinischen Fachkräften ermöglicht, medizinisches Wissen von mehreren Plattformen aus nach einem einheitlichen und sicheren Protokoll zu erweitern. Immer mehr Anwendungsfälle werden in dieser Umgebung unterstützt.

Erfahren Sie, wie wir durch die Einhaltung mehrerer Standards (ISO 27001:2013, HDS und HIPAA) personenbezogene Gesundheitsdaten schützen.

Standards

Um den Datenschutz in unseren Produkten und Dienstleistungen zu berücksichtigen, streben wir die höchsten Standards des Gesundheitsdatenschutzes an.

Zertifizierungen

HDS

Gesundheitsdaten-Hosting — Version 1.1 final – Mai 2018 für die Aktivitäten 3 bis 6 gemäß dem Zertifizierungsreferenzsystem von ASIP Santé.

Umfasst alle Systeme, Personen und Prozesse, die an der Konzeption, Entwicklung, dem Betrieb, der Validierung und dem Support von Anwendungen und Diensten beteiligt sind, die in den Withings Medizinischen Clouds gehostet werden, einschließlich der Verarbeitung oder Offenlegung personenbezogener Gesundheitsdaten.

Die Zertifizierungsreferenz umfasst: NF ISO/IEC 27001:2013, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011 sowie weitere Anforderungen.

Download

ISO 27001:2013

Withings erbringt den Service eines Hosting-Anbieters gemäß den Anforderungen der Standards der Internationalen Organisation für Normung 27001:2013.

Download

Standards

GDPR

Datenschutz-Grundverordnung — Europäische Union 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

HIPAA

Gesetz über die Übertragbarkeit und Nachweispflicht von Krankenversicherungen aus dem Jahr 1996. Standard für das Hosting personenbezogener Gesundheitsdaten.

Download

Verträge & Projekt -absicherungen

Um den Datenschutz in unseren Produkten und Dienstleistungen zu berücksichtigen, streben wir die höchsten Standards des Gesundheitsdatenschutzes an.

Plan zur Sicherheits -versicherung

In den folgenden Abschnitten beschreibt der Withings Security Versicherungsplan die Methoden, Organisation und Qualitätssicherungs- und Qualitätskontrollaktivitäten, die speziell für Anwendungen gelten, die von der Withings Medizinische Cloud gehostet werden, um:

Eine gemeinsame Referenz für alle Mitarbeiter zur Standardisierung der Arbeitsmethoden darzustellen;
Die Qualität der Produkte und Dienstleistungen durch die Festlegung messbarer Kriterien zu gewährleisten;
Die zu befolgenden Verfahren, die zu verwendenden Instrumente, die einzuhaltenden Standards, die Methodik und die für jede Aktivität zu planenden Kontrollen, auf die im Informationssicherheits-Management-System (ISMS) Bezug genommen wird, festzulegen.

Die Erstellung und Aktualisierung des Security Versicherungsplans (SIP) sowie die Überwachung seiner Anwendung liegen in der Verantwortung des Security- oder Informationssicherheitsmanagers (ISM). Insbesondere ist er oder sie dafür verantwortlich, die Maßnahmen zu überwachen, die für die ordnungsgemäße Umsetzung des SIP zu ergreifen sind.

Subunternehmer-Management

Withings nutzt einen oder mehrere Subunternehmer zur Erbringung von Hosting-Dienstleistungen für die Erbringung physischer Hosting-Räumlichkeiten und physischer Infrastruktur (für die Aktivitäten 1 bis 2 gemäß dem von ASIP Santé bereitgestellten Zertifizierungsreferenzrahmen).

Die Auswahl der Subunternehmer erfolgt nach dem Subunternehmerverwaltungsverfahren, einschließlich Kontrollen der Informationssicherheit gemäß den Anforderungen der Normen ISO 27001:2013 und HDS – Version 1.1 final – Mai 2018.

Dienste & Anwendungssicherheit

Für Dienste, die in der Withings Medizinischen Cloud gehostet werden, bieten, pflegen und verwalten wir den Datenschutz in unseren Anwendungen und Diensten in allen Phasen ihres Lebenszyklus und in unterschiedlichen regulatorischen Umgebungen.

Sichere Entwicklung

Trainings für sicheren Code

Mindestens einmal im Jahr nehmen Entwickler an Schulungen für sicheren Code teil, die die Top 10 OWASP oder gleichwertige Sicherheitsrisiken, gängige Angriffsvektoren und Withings-Sicherheitskontrollen abdecken.

Rahmensicherheitskontrollen

Withings setzt auf moderne Techniken mit Sicherheitskontrollen, um die Exposition gegenüber den 10 größten OWASP-Sicherheitsrisiken zu begrenzen. Diese inhärenten Kontrollen reduzieren unsere Exposition unter anderem gegenüber SQL-Einschleusung (SQLi), Websiteübergreifendes Scripting (XSS) und Website-übergreifende Anfragenfälschung (CSRF).

Agile Organisation, Code Review und Tests

Alle Entwicklungsaktivitäten sind in AGILEN Methoden mit der Einrichtung von Sprints und der Priorisierung von Aufgaben mit dem Produktmanagerteam organisiert. Alle Sprints werden archiviert. Entwickler müssen Unit-Tests, Funktionsintegrationstests und Sicherheitstests durchführen. Code und Tests werden vor der Bereitstellung durch Peer-Reviews überprüft und bewertet.

Software Quality Assurance

Die Abteilung für Software-Qualitätssicherung testet die Dienste und Anwendungen vor Produktionsstart (manuelle oder automatische Tests).

Trennung der Umgebungen und Testdaten

Die Entwicklungs- und Testumgebungen sind selbstverständlich von der Produktionsumgebung getrennt. In unseren Entwicklungs- oder Testumgebungen werden keine personenbezogenen Produktionsdaten verwendet.

Schwachstellen -management

Code-Audit

Withings verwendet Sicherheitstools von Drittanbietern, um den gesamten Code vor der Produktion auf große Sicherheitsrisiken zu überprüfen. Schwachstellen, die zu Sicherheitslücken führen können, werden verpflichtend in einem kontinuierlichen Verbesserungszyklus behoben und/oder geplant.

Automatische Codeprüfung

Der Code wird automatisch mit vordefinierten Testszenarien getestet, um sicherzustellen, dass Änderungen nicht zu einem Verlust oder einer Verschlechterung der Sicherheit führen. Tests werden auf virtuellen Maschinen mit begrenzter Lebensdauer und völlig getrennt von der Produktion durchgeführt.

Penetrationstests von Drittanbietern

Zusätzlich zum Schwachstellenmanagement, einschließlich Analyse und Test, setzt Withings Sicherheitsexperten von Drittanbietern ein, um Penetrationstests für verschiedene Anwendungen in unserem Sortiment durchzuführen.

Authentifizierungs-Sicherheit

Passwort-Richtlinie

Withings verlangt die Verwendung eines starken Passworts und entspricht internationalen Empfehlungen in Bezug auf Robustheit. Diese Richtlinie gilt für alle Nutzer der Withings MED·PRO Lösung.

Zwei-Faktor-Authentifizierung

Withings setzt die Verwendung der Zwei-Faktor-Authentifizierung für alle Benutzer der Withings MED·PRO CARE voraus.

Speicherung von Authentifizierungsdaten

Withings zeigt in seinen Anwendungen oder Diensten niemals Klartext-Authentifizierungsdaten an.

API – Partneranwendungsauthentifizierung

Die Withings API verwendet die OAuth 2.0-Methode, um Partneranwendungen zu authentifizieren. Jede Anwendung verfügt über eine einzigartige und robuste Client-ID und ein Client-Secret.

API – Erfassung der individuellen Einwilligung und Authentifizierung

Withings API verwendet die OAuth 2.0-Methode, um die Zustimmung des Endnutzers einzuholen. Die Verbindungsdaten werden dann mit ablaufenden Token gesichert, die der Client von Withings regenerieren muss.

Rollenbasierte Zugriffsrechte

Die meisten Withings-Anwendungen und -Dienste unterliegen Zugriffskontrollen basierend auf Rollen mit vordefinierten Berechtigungen, die eine kontrollierte Nutzung und kontrollierten Zugriff auf Daten ermöglichen.

Securing data in transit

All communications over the public network are encrypted with HTTPS/TLS industry standards (TLS 1.2 or higher).

Änderungs -management

Kategorisierung von Änderungen

Withings hat Änderungskategorien definiert, die ein Follow-up ermöglichen, das an die Typologie der Änderung angepasst ist, um eine starke Reaktivität beizubehalten und gleichzeitig sicherzustellen, dass die Auswirkungen ordnungsgemäß bewertet werden.

Änderungsverfahren

Withings hat je nach Kategorie ein Änderungsmanagementverfahren definiert, das Folgendes umfassen kann: Änderungsanforderung, Ernennung eines Änderungsausschusses, Sicherheitsrisikoanalyse, Planung, Umsetzung der Änderung oder Änderung des Kontinuitäts- oder Wiederherstellungsplans.

Schutz der medizinischen Cloud & Infrastruktur

Da die Art und Weise, wie wir Daten schützen, Teil der Wertschöpfung für unsere Gesundheitspartner ist, greifen wir auf die besten Firewall-, Verbindungs-, Verschlüsselungs- und Backup-Lösungen in Hochsicherheitseinrichtungen zurück, um Withings Medizinische Cloud zu schützen.

Sicherheit des physischen Rechenzentrums

Physische Einrichtungen

Withings hostet seine medizinische Infrastruktur auf der Google Cloud Platform (GCP) in Rechenzentren in den USA. Alle Rechenzentren sind nach ISO 27001, ISO 27017, ISO 27018, PCI DSS, SOC I/II/III zertifiziert.

Erfahren Sie mehr über GCP-Compliance.

Um einen Betrieb rund um die Uhr und eine ständige Verfügbarkeit der Dienste zu gewährleisten, sind Google-Rechenzentren mit redundanten Stromversorgungssystemen ausgestattet und unterliegen Umweltkontrollen. Jede kritische Komponente verfügt über eine Hauptstromquelle sowie eine alternative Stromquelle gleicher Leistung.

Sicherheit vor Ort

Die Rechenzentren von Google sind mit einem mehrschichtigen Sicherheitsmodell ausgestattet, das maßgeschneiderte elektronische Zugangskarten, Alarme, Zugangskontrollbarrieren für Fahrzeuge, Sicherheitszäune, Metalldetektoren und biometrische Technologien umfasst. Jedes Rechenzentrum ist außerdem mit einem Laserstrahl-Einbrucherkennungssystem ausgestattet. Die Rechenzentren werden 24 Stunden am Tag, 7 Tage die Woche mit hochauflösenden Innen- und Außenkameras überwacht, die Eindringlinge erkennen und verfolgen können.

Hier finden Sie weitere Informationen zur GCP-Rechenzentrumssicherheit.

Withings hostet seine medizinische Infrastruktur auf der Google Cloud Platform (GCP) in Rechenzentren in den USA.

Ort des Datenhostings

Der Auftraggeber kann auf Anfrage verlangen, die Verarbeitung seiner Daten an einen zur Verfügung stehenden Ort von MED·PRO-Diensten zu regionalisieren. Withings respektiert die Wahl des Kunden und informiert den Kunden, wenn eine oder mehrere Dienstleistungen nicht regionalisierbar sind.

Netzwerksicherheit

Schutz

Das Withings Netzwerk wird durch den Einsatz von GCP-Sicherheitsdiensten (DMZ, Access Control List (ACL) Firewall, Anti-Malware, Sicherung von Daten im Transit über TLS, IPSec VPN...) geschützt.

Architektur

Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitsebenen, die jeweils in mehreren Verfügbarkeitszonen repliziert werden. DMZs werden für Bereiche verwendet, die dem öffentlichen Netz ausgesetzt sind. Jede Schicht wird über Firewalls geschützt.

Infrastruktur-Schwachstellenanalyse

Die Analyse der Infrastruktursicherheit über automatisierte Scans liefert detaillierte Informationen zur schnellen Identifizierung nicht konformer oder potenziell gefährdeter Systeme.

Penetrationstests Dritter

Zusätzlich zum Schwachstellenmanagement, einschließlich Analyse und Tests, setzt Withings Sicherheitsexperten von Drittanbietern ein, um Penetrationstests für seine medizinische Infrastruktur durchzuführen.

Logistikzugang

Der Zugriff auf die Produktionsplattform ist auf Systemadministratoren beschränkt. Alle Zugriffe werden in geschützten Protokollen kontrolliert und protokolliert und automatisch durch einen von Systemadministratoren unabhängigen Sicherheitstechniker analysiert und auditiert. Systemadministratoren, die auf die Produktionsplattform zugreifen, müssen mehrere persönliche und robuste Authentifizierungsfaktoren verwenden.

Backups

Withings hat eine Backup-Richtlinie für alle Produktionssysteme und -umgebungen implementiert, einschließlich Datenbanken, GIT-Verzeichnissen, Festplatten virtueller Maschinen und Dokumentenfreigabeservern. Backups werden regelmäßig entsprechend ihrer Kritikalität ausgeführt und getestet. Backups werden dann vor der verschlüsselten Übertragung zur sicheren Speicherung verschlüsselt. Nur Systemadministratoren haben Zugriff auf Backups.

Ereignisprotokollierung

Withings hat eine Ereignisprotokollierungsrichtlinie einschließlich Systemverwaltungsprotokollen eingerichtet, die nicht deaktiviert werden kann. Aktivitäten auf allen Withings-Systemen und -Anwendungen werden ebenfalls protokolliert. Die Protokolle werden dann durch automatische Algorithmen analysiert, um verdächtige oder schädliche Aktivitäten zu erkennen.

Management von Sicherheitsvorfällen

Ein kontinuierliches Alarmsystem ermöglicht eine kontinuierliche Überwachung von Sicherheitsvorfällen und deren Lösung durch Systemadministratoren in der kürzest möglichen Zeit (zwischen 24 und 96 Stunden). Mitarbeiter werden in Reaktionsprozessen für Sicherheitsvorfälle geschult, einschließlich der Verwaltung von Kommunikationskanälen und Eskalationspfaden.

Verschlüsselung

Verschlüsselung gespeicherter Daten

Withings verwendet eine Festplattenverschlüsselung auf niedriger Ebene. Die Verschlüsselung muss eine Robustheit von mindestens AES-256 oder gleichwertig aufweisen.

Verschlüsselung von Datenbanken

Informationen in Datenbanken werden entsprechend ihrer Klassifizierung im Datenregister verschlüsselt.

Kommunikationsverschlüsselung

In öffentlichen Netzwerken werden alle Kommunikationen mit Withings Benutzeroberflächen und APIs mit dem HTTPS/TLS-Standard (TLS 1.2 oder höher) verschlüsselt. Dadurch wird sichergestellt, dass der gesamte Datenverkehr zwischen dem Kunden und Withings während der Übertragung sicher ist.

SSH-Verbindungen

Withings garantiert SSH-Verbindungen nur unter Verwendung von SSH v2 und branchenweit anerkannten Verschlüsselungs-Chiffren.

VPN-Verbindung

Withings garantiert VPN-Verbindungen nur mit branchenweit anerkannten und robusten Verschlüsselungs-Chiffren.

Backups

Alle Backups werden mindestens einmal verschlüsselt, bevor sie an einen Remote-Speicherbereich übertragen werden. Sie werden nach Möglichkeit auch durch die Speicherlösung selbst verschlüsselt.

Verfügbarkeitsplan & Kontinuität

Informationen zur Verfügbarkeit

Withings bietet eine öffentlich zugängliche Webseite zum Systemstatus, die Details zur Systemverfügbarkeit, zu geplanten Wartungen, Servicevorfällen und relevanten Sicherheitsereignissen enthält.

Erfahren Sie mehr auf der öffentlichen Withings Status-Seite

Redundanz

Die gesamte physische Infrastruktur und Cloud-Infrastruktur ist redundant, um das Risiko von Ausfallzeiten und Datenverlust zu minimieren. Insbesondere sind die Datenbanken mit nahezu konstanter Replikation konfiguriert, um sicherzustellen, dass unter normalen Betriebsbedingungen der vollständige Verlust der Hauptinstanz, die die Aufzeichnungen empfängt, nicht zu einem Datenverlust von mehr als einigen Sekunden führt.

Recovery Point-Ziel

Die Withings IT-Backup-Richtlinie sorgt für eine tägliche Sicherung von Produktionsdatenbanken. Withings stellt daher sicher, dass das Ziel des Recovery Point Objectives (RPO) für den Fall, dass die Withings-Aktivität aufrechterhalten wird, einen Tag nicht überschreitet.

Notfallwiederherstellungsplan

Withings disaster recovery plan ensures that the production platform can be fully recreated in the event of a total malfunction of the production environment. All code, configurations, and databases are stored in secure locations and are independent of the production environment. Restoration of the complete platform is automatically regularly. Withings therefore commits to ensure that the maximum tolerable period of disruption (MTPD) is no longer than one week for the resumption of a degraded service, or even operational in the majority of disasters, in the event that Withings activity is maintained.

HR Security

Das begrenzte Personal, das mit Daten in der Withings Medizinischen Cloud zu tun hat, unterliegt einer regelmäßigen Überprüfung und kontinuierlichen Schulung zur Minderung der Risiken bei der Verarbeitung personenbezogener Daten.

Mitarbeiterführung

Hintergrund- und Kompetenzüberprüfung

Withings führt Hintergrundprüfungen aller neuen Mitarbeiter in Übereinstimmung mit den lokalen Gesetzen durch. Diese Prüfungen werden auch für Auftragnehmer durchgeführt. Die Hintergrundüberprüfungen können technische und allgemeine Fähigkeiten, frühere Beschäftigungen und gegebenenfalls Strafregisterprüfungen umfassen.

Vertraulichkeitsvereinbarung

Alle Mitarbeiter müssen Geheimhaltungs- und Vertraulichkeitsvereinbarungen unterzeichnen. Diese Vertraulichkeitsvereinbarung bleibt auch nach Beendigung des Anstellungsvertrages gültig.

Definition von Rollen und Verantwortlichkeiten

Withings stellt sicher, dass alle Rollen und Verantwortlichkeiten, die in seinem ISMS involviert sind, klar definiert sind und an Einzelpersonen zugewiesen sowie von diesen verstanden werden.

Disziplinarverfahren

Withings hat Disziplinarverfahren im Falle einer Verletzung anvertrauter Verantwortlichkeiten auf der Grundlage einer in den internen Vorschriften festgelegten Sanktionsskala festgesetzt.

Sicherheits -bewusstsein

Hintergrund- und Kompetenzüberprüfung

Sicherheitsrichtlinien

Withings hat eine umfassende Reihe von Sicherheitsrichtlinien entwickelt, die eine breite Palette von Themen abdecken. Diese Richtlinien werden gemeinsam genutzt und allen Mitarbeitern und Subunternehmern zur Verfügung gestellt, die Zugang zu den Informationssystemen von Withings haben.

Informationssicherheits-Bewusstsein

Alle Mitarbeiter werden einer Schulung zum Sicherheitsbewusstsein unterzogen, die in das Einstellungsverfahren integriert ist und danach jährlich überprüft wird. Die grundlegenden Regeln und bewährten Verfahren werden auch in den Räumlichkeiten von Withings in Erinnerung gerufen.

Sicherheitstraining

Alle Entwickler werden durch Schulungen und Best Practice-Leitfäden auf die Top 10 OWASP- Sicherheitsrisiken hingewiesen. Darüber hinaus werden Schulungen mit externen Experten organisiert, um eine vertiefte Kenntnis und Verbreitung des sicheren Codes zu gewährleisten. Das Sicherheitsteam stellt auch zusätzliche Updates für das Sicherheitsbewusstsein per E-Mail, durch Blogbeiträge und Präsentationen bei internen Veranstaltungen bereit.

Kontinuierliche Verbesserung

Als innovatives IOT-Unternehmen stellen wir sicher, dass wir aktuellen Datenschutzstandards immer einen Schritt voraus sind. Ermöglicht wird dies durch einen regelmäßigen internen und externen Auditplan.

Interne Audits

Interner Auditplan

Alle ISMS-Prozesse werden von internen Auditteams oder externen Dienstleistern auditiert.

Managementbewertung

Management-Reviews stellen sicher, dass das Management ISMS systematisch überprüft, Verbesserungsmöglichkeiten bewertet und über die Maßnahmen entscheidet, die erforderlich sind, um die Relevanz, Angemessenheit und Wirksamkeit von ISMS sicherzustellen.

Sicherheitsausschuss

Das Sicherheitskomitee sorgt auch für die vom Sicherheitstechniker durchgeführte Sicherheitsüberwachung, die Überprüfung von Sicherheitsvorfällen und Maßnahmenplänen. Das Sicherheitskomitee überprüft auch die technischen Indikatoren, die zur Bewertung der Wirksamkeit des ISMS eingerichtet wurden, und erstellt den Bericht für den Vorstand.

Externe Audits

Technische Audits

Zusätzlich zum Schwachstellenmanagement, einschließlich Analyse und Tests, setzt Withings Sicherheitsexperten von Drittanbietern ein, um detaillierte Penetrationstests für verschiedene Anwendungen in unserer Produktlinie durchzuführen. Externe technische Audits sind in den jährlichen Qualitätsplan von Withings integriert.

Conformity assessment audit

Withings may use independent conformity assessment audits to ensure the compliance of its ISMS with standards such as HIPAA.

Compliance-Zertifizierungsaudit

Withings hat ein Zertifizierungsverfahren durch eine akkreditierte Stelle eingeleitet, um sicherzustellen, dass sein ISMS den von der Branche anerkannten internationalen Standards entspricht. Das ordnungsgemäße Funktionieren des ISMS wird daher jährlich von einem unabhängigen vertrauenswürdigen Dritten bewertet. Alle Zertifizierungen sowie die Auditberichte sind auf Anfrage des Kunden erhältlich.

Konformitätsbewertungsprüfung

Withings stellt seinen Kunden auf Anfrage Konformitätsbescheinigungen sowie die Auditberichte der Zertifizierungsstelle zur Verfügung. Withings bewilligt jede Anfrage seines Kunden nach Prüfung der Maßnahmen zum Schutz personenbezogener Daten. Wenn Withings objektive Gründe dafür rechtfertigt, dass die Prüfung keine ausreichenden Bedingungen für Unabhängigkeit und Unparteilichkeit gewährleistet, hat Withings das Recht, die Prüfung abzulehnen. In allen Fällen betrifft die Prüfung nur die Einhaltung der vertraglichen Verpflichtungen von Withings in Bezug auf den Schutz personenbezogener Daten.