Wir verwenden Cookies, um die Qualität der Nutzung unserer Webseite durch Einbindung personalisierter Inhalte für Sie zu verbessern. Ihre Einstellungen können jederzeit geändert werden. Durch Klicken auf "Alle akzeptieren & schließen" stimmen Sie der Verwendung aller Cookies zu. Indem Sie auf "Ausgewählte akzeptieren" klicken, stimmen Sie nur den unten ausgewählten Kategorien zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.
Technisch erforderliche Cookies
Sie ermöglichen es Ihnen, sich auf der Website richtig zu bewegen. Sie speichern keine persönlich identifizierbaren Informationen und ermöglichen Funktionen wie den Zugriff auf sichere Bereiche der Website oder die Erinnerung an den Inhalt Ihres Warenkorbs. Sie sind für den Betrieb von withings.com zwingend erforderlich.
Analytische Cookies
Sie erlauben uns, Informationen darüber zu sammeln, wie Besucher unsere Website nutzen. Zum Beispiel können wir die Gesamtzahl der Besuche sehen, oder welche Seiten die Besucher am häufigsten besuchen. Wir verwenden diese Informationen, um sicherzustellen, dass unsere Benutzer die Informationen finden, nach denen sie suchen, um die Leistungsindikatoren der Website zu überwachen und um mögliche Fehler zu beheben.
Cookies für soziale Medien
Diese Cookies werden durch soziale Netzwerkdienste eingesetzt, um die Nutzung der dort eingebundenen Funktionen nachzuverfolgen. Diese Cookies ermöglichen es Ihnen zum Beispiel, Seiten dieser Website mit sozialen Netzwerken zu teilen oder YouTube-Videos auf withings.com zu streamen.
Marketing Cookies
Diese Cookies können durch unsere Werbepartner über unsere Webseite gesetzt werden. Sie identifizieren Ihren eindeutigen Browser und Ihr Internetgerät und können verwendet werden, um anonymisierte demografische Daten zu liefern, ein Profil Ihrer Interessen zu erstellen und Werbung anzuzeigen, die für diese Interessen relevant ist.
Der Schutz personenbezogener Daten ist für uns von größter Bedeutung. Wir gewährleisten die Sicherheit in jeder Phase des Prozesses.
Übersicht
Der Withings Versicherungsplan bezieht sich ausschließlich auf Withings Aktivitäten mit Fachleuten. Informationen zu Sicherheitsmaßnahmen zum Schutz individueller Benutzerdaten finden Sie in unserer Datenschutzerklärung.
Withings ist verpflichtet, eine sichere Umgebung zu schaffen, die es Ihnen ermöglicht, unsere Produkte und Dienstleistungen zu nutzen. Wir schützen personenbezogene Daten durch die Einhaltung mehrerer Normen bzw. Standards (ISO 27001:2017, ISO 27701:2019 & HDS).
Standards
Um den Datenschutz in unsere Produkte und Dienstleistungen einzubeziehen, streben wir nach den höchsten Standards für den Schutz personenbezogener Daten.
Zertifizierungen
HDS
Gesundheitsdaten-Hosting — Version 1.1 final – Mai 2018 für die Aktivitäten 1 bis 6 gemäß dem Zertifizierungsreferenzsystem von ASIP Santé.
Umfasst alle Systeme, Personen und Prozesse, die an der Konzeption, Entwicklung, dem Betrieb, der Validierung und dem Support von Anwendungen und Diensten beteiligt sind, die bei Withings gehostet werden, einschließlich der Verarbeitung oder Offenlegung personenbezogener Gesundheitsdaten.
Die Zertifizierungsreferenz umfasst: NF ISO/IEC 27001:2017, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011 sowie weitere Anforderungen.
Withings erbringt den Service eines Hosting-Anbieters gemäß den Anforderungen der Standards der Internationalen Organisation für Normung 27001:2017.
Umfasst alle Systeme, Personen und Prozesse, die an der Konzeption, Entwicklung, dem Betrieb, der Validierung und dem Support von Anwendungen und Diensten beteiligt sind, die bei Withings gehostet werden, einschließlich der Verarbeitung oder Offenlegung personenbezogener Gesundheitsdaten.
Withings demonstriert seine Fähigkeit, die Standards zum Schutz personenbezogener Daten weltweit zu befolgen (z. B. DSGVO). Zu diesem Zweck werden die internen Prozesse kontinuierlich überprüft, um sicherzustellen, dass der Datenschutz bei jedem Schritt der von Withings durchgeführten Aktivitäten (intern sowie extern) berücksichtigt wird.
Datenschutz-Grundverordnung — Europäische Union 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
HIPAA
Gesetz über die Übertragbarkeit und Nachweispflicht von Krankenversicherungen aus dem Jahr 1996. Standard für das Hosting personenbezogener Gesundheitsdaten.
Umfasst alle Systeme, Personen und Prozesse, die an der Konzeption, Entwicklung, dem Betrieb, der Validierung und dem Support von Anwendungen und Diensten beteiligt sind, die in den Withings Medizinischen Clouds gehostet werden, einschließlich der Verarbeitung oder Offenlegung personenbezogener Gesundheitsdaten.
Wir liefern, pflegen und verwalten den Datenschutz für unsere Applikationen, Produkte und Dienste in allen Phasen ihres Lebenszyklus.
Sichere Entwicklung
Rahmensicherheitskontrollen
Withings setzt auf moderne Sicherheitskontrolltechniken, um die 10 größten OWASP-Sicherheitsrisiken zu begrenzen. Diese inhärenten Kontrollen reduzieren unter anderem die Anfälligkeit für SQL Injection (SQLi), Cross Site Scripting (XSS) und Cross Site Request Forgery (CSRF).
Agile Organisation, Code Review und Tests
Alle Entwicklungsaktivitäten werden nach der AGILE-Methode organisiert, mit der Festlegung von Sprints und der Priorisierung von Aufgaben mit dem Produktmanagerteam. Alle Sprints werden archiviert. Die Entwickler führen Einheitstests, funktionale Integrationstests und Sicherheitstests durch. Die Funktionen werden vom Sicherheitsteam überprüft und vor der Bereitstellung durch Peer Reviews bewertet.
Software-Qualitätssicherung
Die Abteilung für Software-Qualitätssicherung testet die Dienste und Anwendungen vor Produktionsstart (manuelle oder automatische Tests).
Trennung der Umgebungen und Testdaten
Die Entwicklungs- und Testumgebungen sind strikt von der Produktionsumgebung getrennt. In unseren Entwicklungs- und Testumgebungen werden keine personenbezogenen Produktionsdaten verwendet.
Schwachstellen- Management
Code-Audit
Withings verwendet Sicherheitstools von Drittanbietern, um den gesamten Code vor der Produktion zu analysieren und vor größeren Sicherheitsrisiken zu schützen. Schwachstellen, die zu Sicherheitslücken führen können, werden verbindlich behoben und/oder in einem kontinuierlichen Verbesserungszyklus geplant.
Automatische Codeprüfung
Der Code wird automatisch mit vordefinierten Testszenarien getestet, um sicherzustellen, dass Änderungen nicht zu einem Verlust oder einer Beeinträchtigung der Sicherheit führen. Die Tests werden auf virtuellen Maschinen mit einer begrenzten Lebensdauer durchgeführt und sind vollständig von der Produktion getrennt.
Penetrationstests von Drittanbietern
Zusätzlich zum Schwachstellen-Management, das Analysen und Tests umfasst, setzt Withings Sicherheitsexperten von Drittanbietern ein, um Penetrationstests für verschiedene Applikationen in unserer Produktpalette durchzuführen. Darüber hinaus hat Withings mit einem Partner ein Bug-Bounty-Programm gestartet, damit ethische Hacker unsere Systeme kontinuierlich testen und Schwachstellen melden können.
Authentifizierungs-Sicherheit
Passwort-Richtlinie
Withings verlangt die Verwendung eines starken und sicheren Passworts und hält sich dabei an die internationalen Empfehlungen in Bezug auf Robustheit. Diese Richtlinie gilt für alle Nutzer der Withings-Applikation.
Zwei-Faktor-Authentifizierung
Sie können die 2-Faktor-Authentifizierung aktivieren, um die Sicherheit Ihres Kontos zu erhöhen (iOS/Android)
Speicherung von Authentifizierungsdaten
Withings zeigt in seinen Anwendungen oder Diensten niemals Klartext-Authentifizierungsdaten an.
API - Authentifizierung von Drittanwendungen
Withings API verwendet die OAuth 2.0-Methode zur Authentifizierung von Drittanwendungen. Jede Anwendung hat eine eindeutige und robuste Client-ID sowie ein Client-Secret. Die Verbindungsdaten werden dann mit ablaufenden Token gesichert, die der Kunde von Withings neu generieren muss.
Rollenbasierte Zugriffsrechte
Die meisten Withings-Anwendungen und -Dienste unterliegen einer Zugriffskontrolle basierend auf Rollen mit vordefinierten Berechtigungen. Dies ermöglicht eine kontrollierte Nutzung und einen kontrollierten Zugriff auf Daten.
Sicherung von Daten während der Übertragung
Die gesamte Kommunikation über das öffentliche Netz wird mit dem Industriestandard HTTPS/TLS (TLS 1.2 oder höher) verschlüsselt.
Änderungsmanagement
Kategorisierung von Änderungen
Withings hat Änderungskategorien definiert, die eine an die Typologie der Änderung angepasste Nachverfolgung ermöglichen. Dies gewährleistet eine starke Reaktivität und stellt gleichzeitig sicher, dass die Auswirkungen ordnungsgemäß bewertet werden.
Änderungsverfahren
Withings hat je nach Kategorie ein Änderungsmanagementverfahren definiert, das Folgendes umfassen kann: Änderungsantrag, Ernennung eines Änderungsausschusses, Sicherheitsrisikoanalyse, Planung, Umsetzung der Änderung oder Änderung des Kontinuitäts- oder Wiederherstellungsplans.
Schutz der Infrastrukturen
Da der Schutz der Daten ein Bestandteil der Betreuung unserer Nutzer ist, setzen wir die besten Sicherheitslösungen ein, um personenbezogene Daten zu schützen.
Sicherheit des physischen Rechenzentrums
Physische Einrichtungen
Für die B2C- und B2B-Aktivitäten in Europa hostet Withings seine Server dank BSO in Rechenzentren in Frankreich. Um einen 24/7-Betrieb und die konstante Verfügbarkeit der Dienste zu gewährleisten, sind die BSO-Rechenzentren mit redundanten Stromversorgungssystemen ausgestattet und unterliegen Umweltkontrollen.
Für B2B-Aktivitäten in den USA hostet Withings seine Server dank GCP in Rechenzentren in den USA. Um einen 24/7-Betrieb und die ständige Verfügbarkeit der Dienste zu gewährleisten, sind die Google-Rechenzentren mit redundanten Stromversorgungssystemen ausgestattet und unterliegen Umweltkontrollen.
Sicherheit vor Ort
Die BSO- und GCP-Rechenzentren sind mit einem mehrschichtigen Sicherheitsmodell ausgestattet, das kundenspezifische elektronische Zugangskarten, Alarmanlagen, Zugangskontrollschranken für Fahrzeuge, Sicherheitszäune, Metalldetektoren und biometrische Technologien umfasst. Jedes Rechenzentrum ist außerdem mit einem Laserstrahl-Einbruchserkennungs-System ausgestattet. Die Rechenzentren werden 24 Stunden am Tag, 7 Tage die Woche mit hochauflösenden Innen- und Außenkameras überwacht, die Eindringlinge erkennen und verfolgen können.
Ort des Datenhostings
Der Auftraggeber kann auf Anfrage verlangen, die Verarbeitung seiner Daten an einen zur Verfügung stehenden Ort von MED·PRO-Diensten zu regionalisieren. Withings respektiert die Wahl des Kunden und informiert den Kunden, wenn eine oder mehrere Dienstleistungen nicht regionalisierbar sind.
Netzwerksicherheit
Schutz
Das Withings-Netzwerk ist durch verschiedene Sicherheitsdienste geschützt (DMZ, Zugriffskontrollliste, Firewalls, Anti-Malware, TLS, IPSec VPN...).
Architektur
Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitsebenen, die jeweils in mehreren Verfügbarkeitszonen repliziert werden. DMZs werden für Bereiche verwendet, die dem öffentlichen Netz ausgesetzt sind. Jede Ebene wird über Firewalls geschützt.
Infrastruktur-Schwachstellenanalyse
Die Analyse der Infrastruktursicherheit über automatisierte Scans liefert detaillierte Informationen zur schnellen Identifizierung nicht konformer oder potenziell gefährdeter Systeme.
Logistikzugang
Der Zugang zur Produktionsumgebung ist streng auf die Systemadministratoren beschränkt. Alle Zugriffe werden kontrolliert und in geschützten Protokollen aufgezeichnet. Sie werden automatisch von einem von den Systemadministratoren unabhängigen Sicherheitsingenieur analysiert und geprüft. Systemadministratoren, die auf die Produktionsplattform zugreifen, müssen mehrere persönliche und robuste Authentifizierungsfaktoren verwenden.
Backups
Withings hat eine Backup-Richtlinie für alle Produktionssysteme und -umgebungen implementiert, einschließlich Datenbanken, GIT-Verzeichnissen, Festplatten virtueller Maschinen und Dokumentenfreigabeservern. Backups werden regelmäßig entsprechend ihrer Kritikalität ausgeführt und getestet. Backups werden dann vor der verschlüsselten Übertragung zur sicheren Speicherung verschlüsselt. Nur Systemadministratoren haben Zugriff auf Backups.
Ereignisprotokollierung
Withings hat Ereignisprotokollierungsrichtlinie einschließlich Systemverwaltungsprotokollen eingerichtet, die nicht deaktiviert werden kann. Aktivitäten auf allen Withings-Systemen und -Anwendungen werden ebenfalls protokolliert. Die Protokolle werden dann durch automatische Algorithmen analysiert, um verdächtige oder schädliche Aktivitäten zu erkennen.
Management von Sicherheitsvorfällen
Ein kontinuierliches Warnsystem ermöglicht die ständige Überwachung von Sicherheitsvorfällen und deren Behebung durch Systemadministratoren in der kürzest möglichen Zeit. Die Mitarbeiter werden in Reaktionsprozessen für Sicherheitsvorfälle geschult, einschließlich der Verwaltung von Kommunikationskanälen und Eskalationspfaden.
Verschlüsselung
Verschlüsselung gespeicherter Daten
Withings verwendet eine Festplattenverschlüsselung auf niedriger Ebene. Die Verschlüsselung hat eine Robustheit von mindestens AES-256 oder gleichwertig.
Verschlüsselung von Datenbanken
Informationen in Datenbanken werden entsprechend ihrer Klassifizierung im Datenregister verschlüsselt.
Kommunikationsverschlüsselung
In öffentlichen Netzwerken wird die gesamte Kommunikation mit Withings Benutzeroberflächen und APIs über den HTTPS/TLS-Standard (TLS 1.2 oder höher) verschlüsselt. Dadurch wird sichergestellt, dass der gesamte Datenverkehr zwischen dem Kunden und Withings während der Übertragung gesichert ist.
SSH-Verbindungen
Withings garantiert SSH-Verbindungen nur unter Verwendung von SSH v2 und branchenweit anerkannten Verschlüsselungscodes.
VPN-Verbindung
Withings garantiert VPN-Verbindungen nur mit branchenweit anerkannten und robusten Verschlüsselungs-Chiffren.
Backups
Alle Backups werden mindestens einmal verschlüsselt, bevor sie an einen Remote-Speicherbereich übertragen werden. Sie werden nach Möglichkeit auch durch die Speicherlösung selbst verschlüsselt.
Verfügbarkeitsplan & Kontinuität
Informationen zur Verfügbarkeit
Withings bietet eine öffentlich zugängliche Webseite zum Systemstatus, die Details zur Systemverfügbarkeit, zu geplanten Wartungen, Servicevorfällen und relevanten Sicherheitsereignissen enthält.
Redundanz
Die gesamte physische Infrastruktur und Cloud-Infrastruktur ist redundant, um das Risiko von Ausfallzeiten und Datenverlust zu minimieren. Insbesondere sind die Datenbanken mit nahezu konstanter Replikation konfiguriert, um sicherzustellen, dass unter normalen Betriebsbedingungen der vollständige Verlust der Hauptinstanz, die die Aufzeichnungen empfängt, nicht zu einem Datenverlust von mehr als einigen Sekunden führt.
Recovery Point-Ziel
Die IT-Backup-Richtlinie von Withings gewährleistet eine tägliche Sicherung der Produktionsdatenbanken.
Notfallwiederherstellungsplan
Der Notfallwiederherstellungsplan (Disaster recovery plan) von Withings stellt sicher, dass die Produktionsplattform im Falle eines Totalausfalls der Produktionsumgebung vollständig wiederhergestellt werden kann. Der gesamte Code, die Konfigurationen und die Datenbanken werden an sicheren Orten gespeichert und sind von der Produktionsumgebung unabhängig. Die Wiederherstellung der gesamten Plattform wird regelmäßig zu Testzwecken durchgeführt.
HR-Sicherheit
Die wenigen Mitarbeiter, die in der Withings Cloud mit Daten arbeiten, unterliegen einer regelmäßigen Überprüfung und kontinuierlichen Schulung zur Minderung der Risiken bei der Verarbeitung personenbezogener Daten.
Mitarbeiterführung
Hintergrund- und Kompetenzüberprüfung
Withings führt bei allen neuen Mitarbeitern Hintergrundüberprüfungen in Übereinstimmung mit den örtlichen Gesetzen durch. Diese Überprüfungen werden auch bei Auftragnehmern durchgeführt. Die Hintergrundüberprüfungen können technische und allgemeine Fähigkeiten, frühere Beschäftigungsverhältnisse und ggf. Strafregisterauszüge umfassen.
Vertraulichkeitsvereinbarung
Alle Mitarbeiter müssen Geheimhaltungs- und Vertraulichkeitsvereinbarungen unterzeichnen. Diese Vertraulichkeitsvereinbarung bleibt auch nach Beendigung des Arbeitsverhältnisses gültig.
Definition von Rollen und Verantwortlichkeiten
Withings stellt sicher, dass alle Rollen und Verantwortlichkeiten klar definiert sind und von den Personen, denen sie zugewiesen sind, verstanden werden.
Disziplinarverfahren
Withings hat für den Fall eines Verstoßes gegen übertragene Verantwortlichkeiten ein Disziplinarverfahren eingeführt, das auf einer in der Geschäftsordnung festgelegten Sanktionsskala basiert.
Sicherheitsbewusstsein
Sicherheitsrichtlinien
Withings hat eine umfassende Reihe von Sicherheitsrichtlinien entwickelt, die ein breites Spektrum von Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Subunternehmern, die Zugang zu den Informationssystemen von Withings haben, mitgeteilt und zur Verfügung gestellt.
Informationssicherheits-Bewusstsein
Alle Mitarbeiter erhalten eine Sicherheitsschulung, die Teil des Einstellungsverfahrens ist und danach jährlich wiederholt wird. Die Grundregeln und bewährten Praktiken werden auch in den Räumlichkeiten von Withings regelmäßig besprochen.
Sicherheitstraining
Alle Entwickler werden durch Schulungen und Best-Practice-Leitfäden auf die 10 wichtigsten OWASP-Sicherheitsrisiken aufmerksam gemacht. Darüber hinaus werden Schulungen mit externen Experten organisiert, um eine umfassende Kenntnis und Verbreitung des sicheren Codes zu gewährleisten. Das Sicherheitsteam bietet auch zusätzliche Aktualisierungen zur Sensibilisierung für Sicherheitsfragen per E-Mail, durch Blogbeiträge und Präsentationen auf internen Veranstaltungen.
Kontinuierliche Verbesserung
Als innovatives IoT-Unternehmen stellen wir sicher, dass wir den aktuellen Datenschutzstandards immer einen Schritt voraus sind. Dies wird durch regelmäßige interne und externe Audits unterstützt.
Interne Audits
Interner Auditplan
Alle Prozesse werden von internen Audit-Teams oder von externen Dienstleistern geprüft.
Managementbewertung
Managementprüfungen stellen sicher, dass das Management das ISMS systematisch überprüft, Verbesserungsmöglichkeiten bewertet und über die notwendigen Maßnahmen entscheidet, um die Relevanz, Angemessenheit und Wirksamkeit des ISMS zu gewährleisten.
Externe Audits
Technische Audits
Zusätzlich zum Schwachstellenmanagement, einschließlich Analysen und Tests, beauftragt Withings Sicherheitsexperten von Drittanbietern mit der Durchführung detaillierter Penetrationstests für verschiedene Anwendungen in unserer Produktlinie. Externe technische Audits sind in den jährlichen Audit-Plan von Withings integriert.
Compliance-Zertifizierungsaudit
Withings hat ein Zertifizierungsverfahren durch eine akkreditierte Stelle eingeleitet, um sicherzustellen, dass sein ISMS den von der Branche anerkannten internationalen Standards entspricht. Das ordnungsgemäße Funktionieren des ISMS wird daher jährlich von einer unabhängigen, vertrauenswürdigen Drittpartei bewertet.
