At beskytte persondata er af allerstørste vigtighed for os, og vi sikrer sikkerhed i alle trin af processen.

Datasikkerhed

Withings er forpligtet til at opretholde et sikkert miljø, der gør det muligt for dig at bruge vores produkter og tjenester. Vi beskytter dine personlige data ved at overholde flere standarder (ISO 27001:2022, ISO 27701:2019 og HDS).

Certificeringer og Standarder

For at integrere databeskyttelse i vores produkter og tjenester, stræber vi efter de højeste standarder for beskyttelse af personlige data.

Certificeringer

HDS

HDS Certification

Sundhedsdata Hosting — version 1.1 endelig - maj 2018 for aktiviteter 1 til 6 i overensstemmelse med certificeringsreferencessystemet leveret af ASIP Santé.

Omfatter alle systemer, personer og processer involveret i design, udvikling, drift, validering og support af applikationer og tjenester hostet af Withings, som inkluderer behandling eller videregivelse af personlige sundhedsdata.

Certificeringsreferencen omfatter: NF ISO/IEC 27001:2017, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011, samt yderligere krav.

Download

ISO 27001:2022

ISO_27001

Withings leverer tjenesten fra en hostingudbyder i overensstemmelse med kravene i International Organization for Standardization 27001:2022 standarder.

Det omfatter alle systemer, personer og processer, der er involveret i design, udvikling, drift, validering og support af applikationer og tjenester hostet af Withings og især behandling af personlige sundhedsdata.

Download

ISO 27701:2019

ISO_27701

Withings demonstrerer sin evne til at følge den nyeste teknologi inden for beskyttelse af privatlivets fred (såsom GDPR) på verdensplan. For at gøre dette bliver interne processer løbende revideret for at sikre, at beskyttelse af privatlivets fred tages i betragtning i hvert trin af aktiviteterne (interne eller eksterne), der udføres af Withings.

Download

Standarder

GDPR

GDPR

Generel forordning om databeskyttelse — Den Europæiske Union 2016/679 af Europa-Parlamentet og Rådet af 27. april 2016 om beskyttelse af enkeltpersoner i forbindelse med behandling af personoplysninger og om fri bevægelighed for sådanne oplysninger.

HIPAA

HIPAA

Lov om bærbarhed og ansvarlighed i sundhedsforsikring fra 1996. Standard, der regulerer hosting af personlige sundhedsdata.

Omfatter alle systemer, personer og processer involveret i design, udvikling, drift, validering og support af applikationer og tjenester, der hostes på Withings Medical Clouds, som omfatter behandling eller videregivelse af personlige sundhedsdata.

Download

Sikkerhed af tjenester og applikationer

Vi leverer, vedligeholder og administrerer databeskyttelse i vores applikationer, tjenester og produkter i alle faser af deres livscyklus.

Sikker udvikling

Sikkerhedskontroller for rammeværk

Withings benytter moderne sikkerhedskontrolteknikker for at begrænse eksponeringen for de 10 største OWASP-sikkerhedsrisici. Disse iboende kontroller reducerer vores eksponering for SQL-injektion (SQLi), Cross Site Scripting (XSS) og Cross Site Request Forgery (CSRF), blandt andre.

Agil organisation, kodegennemgang og testning

Alle udviklingsaktiviteter er organiseret ved hjælp af AGILE-metoden, med etablering af sprints og prioritering af opgaver med Produktstyringsteamet. Alle sprints er historiserede. Udviklere vil udføre enhedstest, funktionelle integrationstest og sikkerhedstest. Funktioner gennemgås af sikkerhedsteamet og evalueres gennem kollegiale anmeldelser før implementering.

Softwarekvalitetssikring

Afdelingen for softwarekvalitetssikring tester tjenester og applikationer, før de går i produktion (manuelle og automatiske tests).

Miljøadskillelser og testdata

Udviklings- og testmiljøerne er logisk adskilt fra produktionsmiljøet. Ingen personlige produktionsdata bruges i vores udviklings- eller testmiljøer.

Håndtering af sårbarheder

Kodegennemgang

Withings bruger tredjeparts sikkerhedsværktøjer til at analysere al kode mod større sikkerhedsrisici før produktion. Sårbarheder, der kan forårsage sikkerhedsbrud, korrigeres og/eller planlægges obligatorisk i en kontinuerlig forbedringscyklus.

Automatisk kodetestning

Koden testes automatisk med foruddefinerede testscenarier for at sikre, at ændringer ikke resulterer i noget tab eller forringelse af sikkerheden. Testene udføres på virtuelle maskiner med en begrænset levetid og er fuldstændig adskilt fra produktionen.

Tredjeparts penetrationstest

Ud over håndtering af sårbarheder, herunder analyse og testning, ansætter Withings tredjepartssikkerhedseksperter til at udføre penetrationstest på forskellige applikationer i vores produktsortiment. Derudover har Withings åbnet bug bounty-programmer med en partner for at lade etiske hackere kontinuerligt teste vores systemer og rapportere sårbarheder.

Autentificeringssikkerhed

Adgangskodepolitik

Withings kræver brug af en stærk adgangskode og overholder internationale anbefalinger med hensyn til robusthed. Denne politik gælder for alle brugere af Withings-applikationen.

To-faktor-godkendelse

Du kan aktivere To-Faktor Godkendelse for at styrke sikkerheden på din konto. (iOS/Android)

Lagring af autentificeringsdata

Withings viser aldrig godkendelsesdata i klartekst i sine applikationer eller tjenester.

API – godkendelse af tredjepartsapplikationer

Withings API bruger OAuth 2.0-metoden til at godkende tredjepartsapplikationer. Hver applikation har en unik og robust klient-id samt en hemmelighed. Forbindelsesdataene sikres derefter med udløbende tokens, som klienten skal regenerere fra Withings.

Rollebaserede adgangskontroller

De fleste Withings-applikationer og -tjenester er underlagt adgangskontroller baseret på roller med foruddefinerede privilegier, hvilket muliggør kontrolleret brug og adgang til data.

Sikring af data under overførsel

Al kommunikation over det offentlige netværk er krypteret med HTTPS/TLS industristandarder (TLS 1.2 eller højere).

Forandringsledelse

Kategorisering af ændringer

Withings har defineret forandringskategorier, hvilket muliggør opfølgning tilpasset typologien af forandringen. Dette tillader stærk reaktivitet, samtidig med at det sikres, at implikationerne vurderes korrekt.

Ændringsprocedure

Withings har defineret en forandringsstyringsprocedure afhængig af kategori, som kan omfatte: en ændringsanmodning, udnævnelse af en ændringskomité, sikkerhedsrisikoanalyse, planlægning, implementering af ændringen eller ændring af kontinuitets- eller genopretningsplanen.

Infrastruktur beskyttelse

Da databeskyttelse er en del af, hvordan vi tager os af vores brugere, anvender vi de bedste sikkerhedsløsninger til at beskytte personoplysninger.

Fysisk datasikkerhed i datacenteret

Fysiske faciliteter

For B2C-aktiviteter og B2B-aktiviteter i Europa hoster Withings sine servere takket være BSO i datacentre beliggende i Frankrig. For at sikre drift 24/7 og konstant tilgængelighed af tjenester er BSO-datacentre udstyret med redundante strømsystemer og er underlagt miljøkontroller.

Til B2B-aktiviteter i USA hoster Withings sine servere takket være GCP i datacentre beliggende i USA. For at sikre 24/7 drift og konstant tilgængelighed af tjenester er Googles datacentre udstyret med redundante strømsystemer og er underlagt miljøkontroller.

Sikkerhed på stedet

BSO's og GCP's datacentre er designet med en flerlags sikkerhedsmodel, der inkluderer skræddersyede elektroniske adgangskort, alarmer, køretøjs adgangskontrolbarrierer, sikkerhedshegn, metaldetektorer og biometriske teknologier. Hvert datacenter er også udstyret med et laserstråle-indbrudsdetekteringssystem. Datacentrene overvåges 24 timer i døgnet, 7 dage om ugen ved hjælp af højopløselige indendørs- og udendørskameraer, der kan registrere og spore indbrudstyve.

Placering af datahosting

Efter anmodning kan kunden anmode om at regionalisere behandlingen af sine data til en tilgængelig placering af MED·PRO-tjenester. Withings respekterer kundens valg og informerer kunder, hvis en eller flere tjenester ikke kan regionaliseres.

Netværkssikkerhed

Beskyttelse

Med Withings-netværket beskyttes af flere sikkerhedstjenester (DMZ, Adgangskontrol liste, firewalls, anti-malware, TLS, IPSec VPN...).

Arkitektur

Vores netværkssikkerhedsarkitektur består af flere lag af sikkerhed, hver replikeret i flere tilgængelighedszoner. DMZ'er bruges til områder, der er udsat for det offentlige netværk. Hvert lag er beskyttet via firewalls.

Infrastruktur Sårbarhedsanalyse

Analysen af infrastrukturens sikkerhed via automatiserede scanninger giver dybdegående information til hurtig identifikation af ikke-kompatible eller potentielt sårbare systemer.

Logistisk adgang

Adgang til produktionsmiljøet er strengt begrænset til systemadministratorer. Al adgang kontrolleres og registreres i beskyttede logfiler. De analyseres og revideres automatisk af en sikkerhedsingeniør, der er uafhængig af systemadministratorerne. Systemadministratorer, der får adgang til produktionsplatformen, skal bruge flere personlige og robuste godkendelsesfaktorer.

Sikkerhedskopier

Withings har implementeret en backup-politik for alle produktionssystemer og -miljøer, inklusive databaser, GIT-kataloger, virtuelle maskindiske og dokumentdelingsservere. Backups udføres og testes regelmæssigt i henhold til deres kritikalitetsniveau. Backups krypteres derefter før overførsel til sikker opbevaring. Kun systemadministratorer har adgang til backups.

Hændelseslogning

Withings har oprettet en politik for hændelseslogning, herunder systemadministrationslogfiler, der ikke kan deaktiveres. Aktiviteter på alle Withings-systemer og applikationer logges også. Logfilerne analyseres derefter af automatiske algoritmer for at opdage mistænkelige eller skadelige aktiviteter.

Håndtering af sikkerhedshændelser

Et kontinuerligt varslingssystem muliggør konstant overvågning af sikkerhedshændelser og deres løsning af systemadministratorer på kortest mulig tid. Medarbejdere uddannes i sikkerhedshændelsesreaktionsprocesser, herunder styring af kommunikationskanaler og eskaleringsveje.

Kryptering

Kryptering af lagrede data

Withings bruger lavniveau-diskkryptering. Krypteringen vil have en robusthed på mindst AES-256 eller tilsvarende.

Kryptering af databaser

Oplysninger i databaser er krypteret i henhold til deres klassifikation i dataregistret.

Kommunikationskryptering

På offentlige netværk er al kommunikation med Withings brugergrænseflader og API'er krypteret ved hjælp af HTTPS / TLS-standarden (TLS 1.2 eller højere). Dette sikrer, at al trafik mellem klienten og Withings er sikret under transport.

SSH-forbindelser

Withings garanterer SSH-forbindelser ved kun at bruge SSH v2 og industrigodkendte krypteringscifre.

VPN-forbindelse

Withings garanterer VPN-forbindelser ved kun at bruge industri-anerkendte og robuste krypteringschiffer.

Sikkerhedskopier

Alle sikkerhedskopier er krypteret mindst én gang, før de overføres til et fjernlagerområde. Hvor det er muligt, er de også krypteret af selve lagringsløsningen.

Tilgængeligheds- og kontinuitetsplan

Oplysninger om tilgængelighed

Withings leverer et offentligt tilgængeligt system statusside der inkluderer systemtilgængelighedsdetaljer, planlagt vedligeholdelse, servicehændelseshistorik og relevante sikkerhedshændelser.

Redundans

Hele den fysiske og cloud-infrastruktur er redundant for at minimere risikoen for nedetid og datatab. Især er databaserne konfigureret med næsten øjeblikkelig replikering for at sikre, at under normale driftsforhold, vil det fuldstændige tab af hovednoden, som modtager skrivningerne, ikke resultere i datatab på mere end et par sekunder.

Genopretningspunktmål

Withings IT-backuppolitik sikrer en daglig backup af produktionsdatabaser.

Katastrofegendannelsesplan

Withings katastrofeberedskabsplan sikrer, at produktionsplatformen kan genskabes fuldstændigt i tilfælde af en total funktionsfejl i produktionsmiljøet. Al kode, konfigurationer og databaser opbevares på sikre steder og er uafhængige af produktionsmiljøet. Gendannelse af den komplette platform udføres regelmæssigt til testformål.

HR Sikkerhed

Det begrænsede personale, der håndterer data i Withings Cloud, er underlagt regelmæssig vurdering og løbende træning i, hvordan man mindsker risikoen ved behandling af personoplysninger.

Medarbejderstyring

Baggrunds- og kompetencekontroller

Withings udfører baggrundskontrol af alle nye medarbejdere i overensstemmelse med lokale love. Disse kontroller udføres også for entreprenører. Baggrundskontrol kan omfatte tekniske og generelle færdigheder, tidligere ansættelser og straffeattestkontroller, hvis det er nødvendigt.

Fortrolighedsaftale

Alle medarbejdere skal underskrive fortroligheds- og tavshedserklæringer. Denne fortrolighedsaftale forbliver gyldig efter ansættelseskontraktens ophør.

Definition af roller og ansvar

Withings sikrer, at alle roller og ansvarsområder er veldefinerede og forstået af de personer, de er tildelt.

Disciplinær procedure

Withings har indført disciplinære procedurer i tilfælde af brud på betroede ansvarsområder, baseret på en skala af sanktioner defineret i de interne regler.

Sikkerhedsbevidsthed

Sikkerhedspolitikker

Withings har udviklet et omfattende sæt sikkerhedspolitikker, der dækker en bred vifte af emner. Disse politikker deles og stilles til rådighed for alle medarbejdere og underleverandører med adgang til Withings informationssystemer.

Informationssikkerhedsbevidsthed

Alle medarbejdere gennemgår sikkerhedsbevidsthedstræning, der er inkluderet i ansættelsesproceduren og derefter gennemgås årligt. De grundlæggende regler og gode praksisser bliver også regelmæssigt mindet om på Withings' lokaler.

Sikkerhedstræning

Alle udviklere gøres opmærksomme på de 10 største OWASP-sikkerhedsrisici gennem træning og bedste praksis guider. Træningssessioner med eksterne eksperter arrangeres også for at sikre en dybdegående viden og udbredelse af den sikre kode. Sikkerhedsteamet giver også yderligere opdateringer om sikkerhedsbevidsthed via e-mail, blogindlæg og præsentationer ved interne arrangementer.

Kontinuerlig forbedring

Som et innovativt IoT-firma sikrer vi, at vi altid er et skridt foran de nuværende standarder for databeskyttelse. Dette understøttes af regelmæssige interne og eksterne revisioner.

Interne revisioner

Intern revisionsplan

Alle processer revideres af interne revisionsteams eller af eksterne tjenesteudbydere.

Ledelsesgennemgang

Ledelsens gennemgange sikrer, at ledelsen systematisk gennemgår ISMS, vurderer forbedringsmuligheder og beslutter om de nødvendige foranstaltninger for at sikre relevansen, egnetheden og effektiviteten af ISMS.

Eksterne revisioner

Tekniske revisioner

Udover sårbarhedshåndtering, inklusive analyse og testning, anvender Withings eksterne sikkerhedseksperter til at udføre detaljerede penetrationstest på forskellige applikationer i vores produktlinje. Eksterne tekniske revisioner er integreret i Withings årlige revisionsplan.

Overensstemmelsescertificeringsrevision

Withings har påbegyndt en certificeringsproces gennem et akkrediteret organ for at sikre, at deres ISMS overholder internationale standarder anerkendt af industrien. Den rette funktion af ISMS vurderes derfor årligt af en uafhængig, betroet tredjepart.

loader newco
loader newco