Prima di continuare
La versione del sito web non corrisponde al vostro paese.
Withings progetta e produce prodotti e servizi di salute digitale. I dispositivi Withings includono: Body Scan, Body Comp, Body Smart, Body Cardio, Body+, Body, BPM Connect, BPM Core, Sleep Analyzer, ScanWatch, ScanWatch 2, ScanWatch Light, Steel HR, Activité, Steel, Thermo, BeamO, U-Scan, Withings App, Withings RPM, Withings+. Le misurazioni effettuate dai dispositivi Withings includono: peso, composizione corporea, frequenza cardiaca (HR), variabilità della frequenza cardiaca (HRV), velocità dell'onda del polso (PWV), pressione sanguigna, fasi del sonno, attività, passi, calorie, distanza, elevazione, temperatura, livello di ossigeno nel sangue (SpO2), elettrocardiogramma (ECG) e rilevamento della fibrillazione atriale (AFib), notifiche dei segni di AFib, età vascolare, punteggio della salute nervosa e attività elettrodermica (EDA).
Withings si impegna a mantenere un ambiente sicuro che ti permetta di utilizzare i nostri prodotti e servizi. Proteggiamo i tuoi dati personali rispettando diversi standard (ISO 27001:2022, ISO 27701:2019 e HDS).
Per integrare la privacy dei dati nei nostri prodotti e servizi, ci impegniamo a rispettare i più elevati standard di protezione dei dati personali.
HDS
Hosting dati sanitari — versione 1.1 finale - Maggio 2018 per le attività da 1 a 6 in conformità con il sistema di riferimento della certificazione fornito da ASIP Santé.
Comprende tutti i sistemi, le persone e i processi coinvolti nella progettazione, sviluppo, operazioni, validazione e supporto delle applicazioni e dei servizi ospitati da Withings, che includono il trattamento o la divulgazione dei dati sanitari personali.
Il referenziale di certificazione include: NF ISO/IEC 27001:2017, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011, nonché requisiti aggiuntivi.
In conformità con il sistema di riferimento HDS, potete consultare la tabella delle rappresentazioni delle garanzie relative alle nostre attività di subappaltatore tramite questo link.
ScaricaISO 27001:2022
Withings fornisce il servizio di un provider di hosting in conformità con i requisiti degli standard dell'Organizzazione Internazionale per la Standardizzazione 27001:2022.
Include tutti i sistemi, le persone e i processi coinvolti nella progettazione, sviluppo, operazioni, validazione e supporto delle applicazioni e dei servizi ospitati da Withings e in particolare l'elaborazione dei dati sanitari personali.
ScaricaISO 27701:2019
Withings dimostra la sua capacità di seguire lo stato dell'arte in termini di protezione della privacy a livello mondiale (come il GDPR). Per fare ciò, i processi interni vengono continuamente verificati per garantire che la protezione della privacy sia presa in considerazione in ogni fase delle attività (interne o esterne) condotte da Withings.
ScaricaGDPR
Regolamento generale sulla protezione dei dati — Unione Europea 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.
HIPAA
Legge sulla Portabilità e Responsabilità dell'Assicurazione Sanitaria del 1996. Standard che regola l'hosting dei dati sanitari personali.
Include tutti i sistemi, le persone e i processi coinvolti nella progettazione, sviluppo, operazioni, validazione e supporto di applicazioni e servizi ospitati sui Withings Medical Clouds che includono l'elaborazione o la divulgazione di dati sanitari personali.
ScaricaForniamo, manteniamo e gestiamo la protezione dei dati nelle nostre applicazioni, servizi e prodotti in tutte le fasi del loro ciclo di vita.
Controlli di sicurezza del framework
Withings si affida a tecniche moderne di controllo della sicurezza per limitare l'esposizione ai 10 principali rischi di sicurezza OWASP. Questi controlli intrinseci riducono la nostra esposizione a SQL Injection (SQLi), Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF), tra gli altri.
Organizzazione agile, revisione del codice e test
Tutte le attività di sviluppo sono organizzate utilizzando il metodo AGILE, con la definizione di sprint e la priorizzazione dei compiti con il team di Product Management. Tutti gli sprint sono storicizzati. Gli sviluppatori eseguiranno test unitari, test di integrazione funzionale e test di sicurezza. Le funzionalità vengono revisionate dal team di Sicurezza e valutate tramite revisioni tra pari prima del deployment.
Garanzia di Qualità del Software
Il reparto di Assicurazione Qualità del Software testa servizi e applicazioni prima di passare alla produzione (test manuali e automatici).
Separazioni degli ambienti e dati di test
Gli ambienti di sviluppo e test sono logicamente separati dall'ambiente di produzione. Nessun dato personale di produzione viene utilizzato nei nostri ambienti di sviluppo o test.
Revisione del codice
Withings utilizza strumenti di sicurezza di terze parti per analizzare tutto il codice contro i principali rischi di sicurezza prima della produzione. Le vulnerabilità che possono causare violazioni della sicurezza vengono obbligatoriamente corrette e/o pianificate in un ciclo di miglioramento continuo.
Test automatico del codice
Il codice viene testato automaticamente con scenari di test predefiniti per garantire che le modifiche non comportino alcuna perdita o degrado della sicurezza. I test vengono eseguiti su macchine virtuali con una durata limitata e sono completamente separati dalla produzione.
Test di penetrazione di terze parti
Oltre alla gestione delle vulnerabilità, inclusa l'analisi e il testing, Withings impiega esperti di sicurezza di terze parti per eseguire test di penetrazione su varie applicazioni della nostra gamma di prodotti. Inoltre, Withings ha avviato programmi di bug bounty con un partner per consentire agli hacker etici di testare continuamente i nostri sistemi e segnalare vulnerabilità.
Politica della password
Withings richiede l'uso di una password forte e si conforma alle raccomandazioni internazionali in termini di robustezza. Questa politica si applica a tutti gli utenti dell'applicazione Withings.
Autenticazione a due fattori
Archiviazione dei dati di autenticazione
Withings non visualizza mai dati di autenticazione in testo semplice nelle sue applicazioni o servizi.
API - autenticazione di un'applicazione di terze parti
L'API di Withings utilizza il metodo OAuth 2.0 per autenticare le applicazioni di terze parti. Ogni applicazione dispone di un identificativo cliente unico e robusto, oltre a un segreto. I dati di connessione sono quindi protetti con token a scadenza che il cliente deve rigenerare da Withings.
La maggior parte delle applicazioni e dei servizi Withings sono soggetti a controlli di accesso basati su ruoli con privilegi predefiniti, permettendo l'uso e l'accesso controllato ai dati.
Tutte le comunicazioni tramite la rete pubblica sono criptate con gli standard di settore HTTPS/TLS (TLS 1.2 o superiore).
Categorizzazione dei cambiamenti
Withings ha definito categorie di cambiamento, consentendo un follow-up adattato alla tipologia del cambiamento. Questo consente una forte reattività, garantendo allo stesso tempo che le implicazioni siano adeguatamente valutate.
Procedura di modifica
Withings ha definito una procedura di gestione delle modifiche dipendente dalla categoria, che può includere: una richiesta di modifica, la nomina di un comitato per le modifiche, l'analisi del rischio di sicurezza, la pianificazione, l'implementazione della modifica o la modifica del piano di continuità o di recupero.
Poiché la protezione dei dati è parte di come ci prendiamo cura dei nostri utenti, utilizziamo le migliori soluzioni di sicurezza per proteggere i dati personali.
Strutture fisiche
Per le attività B2C e B2B in Europa, Withings ospita i suoi server grazie a BSO in centri dati situati in Francia. Per garantire operazioni 24/7 e disponibilità costante dei servizi, i centri dati BSO sono dotati di sistemi di alimentazione ridondanti e sono soggetti a controlli ambientali.
Per le attività B2B negli Stati Uniti, Withings ospita i suoi server grazie a GCP in data center situati negli Stati Uniti. Per garantire un'operatività 24/7 e una costante disponibilità dei servizi, i data center di Google sono dotati di sistemi di alimentazione ridondanti e sono soggetti a controlli ambientali.
Sicurezza in loco
I data center di BSO e GCP sono progettati con un modello di sicurezza a più livelli che include tessere di accesso elettroniche personalizzate, allarmi, barriere di controllo degli accessi per veicoli, recinzioni di sicurezza, metal detector e tecnologie biometriche. Ogni data center è inoltre dotato di un sistema di rilevamento delle intrusioni a raggi laser. I data center sono monitorati 24 ore su 24, 7 giorni su 7, utilizzando telecamere ad alta risoluzione interne ed esterne in grado di rilevare e tracciare gli intrusi.
Posizione dell'hosting dei dati
Su richiesta, il cliente può chiedere di regionalizzare l'elaborazione dei propri dati in una località disponibile dei servizi MED·PRO. Withings rispetta la scelta del cliente e informa i clienti se uno o più servizi non sono regionalizzabili.
Protezione
La rete Withings è protetta da diversi servizi di sicurezza (DMZ, Lista di Controllo Accessi, firewall, anti-malware, TLS, VPN IPSec...).
Architettura
La nostra architettura di sicurezza di rete consiste in più livelli di sicurezza, ciascuno replicato in più zone di disponibilità. Le DMZ sono utilizzate per le aree esposte alla rete pubblica. Ogni livello è protetto da firewall.
Analisi della Vulnerabilità dell'Infrastruttura
L'analisi della sicurezza dell'infrastruttura tramite scansioni automatizzate fornisce informazioni approfondite per l'identificazione rapida di sistemi non conformi o potenzialmente vulnerabili.
Accesso logistico
L'accesso all'ambiente di produzione è strettamente limitato agli amministratori di sistema. Tutti gli accessi sono controllati e registrati in log protetti. Sono analizzati e verificati automaticamente da un ingegnere della sicurezza indipendente dagli amministratori di sistema. Gli amministratori di sistema che accedono alla piattaforma di produzione devono utilizzare diversi fattori di autenticazione personali e robusti.
Backup
Withings ha implementato una politica di backup per tutti i sistemi e gli ambienti di produzione, inclusi database, directory GIT, dischi di macchine virtuali e server di condivisione documenti. I backup vengono eseguiti e testati regolarmente in base al loro livello di criticità. I backup vengono quindi crittografati prima del trasferimento in un archivio sicuro. Solo gli amministratori di sistema hanno accesso ai backup.
Registrazione eventi
Withings ha impostato una politica di registrazione degli eventi, inclusi i log di amministrazione del sistema, che non possono essere disabilitati. Anche le attività su tutti i sistemi e le applicazioni di Withings vengono registrate. I log vengono quindi analizzati da algoritmi automatici per rilevare eventuali attività sospette o dannose.
Gestione degli incidenti di sicurezza
Un sistema di allerta continua consente il monitoraggio costante degli incidenti di sicurezza e la loro risoluzione da parte degli amministratori di sistema nel minor tempo possibile. I dipendenti sono formati sui processi di risposta agli incidenti di sicurezza, inclusa la gestione dei canali di comunicazione e dei percorsi di escalation.
Crittografia dei dati memorizzati
Withings utilizza una crittografia del disco a basso livello. La crittografia avrà una robustezza di almeno AES-256 o equivalente.
Crittografia dei database
Le informazioni nei database sono crittografate in base alla loro classificazione nel registro dei dati.
Crittografia delle comunicazioni
Sulle reti pubbliche, tutte le comunicazioni con le interfacce utente e le API di Withings sono crittografate utilizzando lo standard HTTPS / TLS (TLS 1.2 o superiore). Questo garantisce che tutto il traffico tra il client e Withings sia protetto durante il transito.
Connessioni SSH
Withings garantisce connessioni SSH utilizzando solo SSH v2 e Ciphers di Crittografia riconosciuti dall'industria.
Connessione VPN
Withings garantisce connessioni VPN utilizzando solo cifrari di crittografia robusti e riconosciuti dall'industria.
Backup
Tutti i backup sono crittografati, almeno una volta, prima di essere trasmessi a un'area di archiviazione remota. Quando possibile, sono anche crittografati dalla stessa soluzione di archiviazione.
Informazioni sulla disponibilità
Withings fornisce un sistema accessibile al pubblico pagina di stato che include i dettagli sulla disponibilità del sistema, la manutenzione programmata, la cronologia degli incidenti di servizio e gli eventi di sicurezza rilevanti.
Ridondanza
L'intera infrastruttura fisica e cloud è ridondante al fine di minimizzare il rischio di inattività e perdita di dati. In particolare, i database sono configurati con una replica quasi istantanea per garantire che, in condizioni operative normali, la perdita completa del nodo principale che riceve le scritture non comporti una perdita di dati di più di pochi secondi.
Obiettivo del punto di recupero
La politica di backup IT di Withings garantisce un backup giornaliero dei database di produzione.
Piano di recupero di emergenza
Il piano di recupero di emergenza di Withings garantisce che la piattaforma di produzione possa essere completamente ricreata in caso di malfunzionamento totale dell'ambiente di produzione. Tutto il codice, le configurazioni e i database sono archiviati in luoghi sicuri e sono indipendenti dall'ambiente di produzione. Il ripristino completo della piattaforma viene eseguito regolarmente per scopi di test.
Il personale limitato che gestisce i dati nel Withings Cloud è soggetto a controlli regolari e formazione continua su come mitigare i rischi coinvolti nell'elaborazione dei dati personali.
Controlli di background e competenze
Withings effettua controlli sui precedenti di tutti i nuovi dipendenti in conformità con le leggi locali. Questi controlli vengono eseguiti anche per i lavoratori a contratto. I controlli sui precedenti possono includere competenze tecniche e generali, precedenti impieghi e controlli del casellario giudiziale, se necessario.
Accordo di riservatezza
Tutti i dipendenti devono firmare accordi di riservatezza e non divulgazione. Questo accordo di riservatezza rimane valido anche dopo la fine del contratto di lavoro.
Definizione di ruoli e responsabilità
Withings garantisce che tutti i ruoli e le responsabilità siano ben definiti e compresi dagli individui a cui sono assegnati.
Procedura disciplinare
Withings ha messo in atto procedure disciplinari in caso di violazione delle responsabilità affidate, basate su una scala di sanzioni definita nei regolamenti interni.
Politiche di sicurezza
Withings ha sviluppato un insieme completo di politiche di sicurezza che coprono una vasta gamma di argomenti. Queste politiche sono condivise e rese disponibili a tutti i dipendenti e subappaltatori con accesso ai Sistemi Informativi di Withings.
Consapevolezza della sicurezza delle informazioni
Tutti i dipendenti seguono una formazione sulla consapevolezza della sicurezza che è inclusa nella procedura di assunzione e rivista annualmente. Le regole di base e le buone pratiche vengono inoltre richiamate regolarmente nei locali di Withings.
Formazione sulla sicurezza
Tutti gli sviluppatori sono informati sui 10 principali rischi di sicurezza OWASP attraverso formazione e guide alle migliori pratiche. Vengono anche organizzate sessioni di formazione con esperti esterni per garantire una conoscenza approfondita e la diffusione del codice sicuro. Il team di sicurezza fornisce anche ulteriori aggiornamenti sulla consapevolezza della sicurezza tramite email, post sul blog e presentazioni in eventi interni.
Come azienda innovativa di IoT, ci assicuriamo di essere sempre un passo avanti rispetto agli attuali standard di protezione dei dati. Questo è supportato da regolari audit interni ed esterni.
Piano di audit interno
Tutti i processi sono controllati da team di audit interni o da fornitori di servizi esterni.
Revisione della gestione
Le revisioni della gestione garantiscono che la direzione esamini sistematicamente l'ISMS, valuti le opportunità di miglioramento e decida le misure necessarie per garantire la rilevanza, l'adeguatezza e l'efficacia dell'ISMS.
Verifiche tecniche
Oltre alla gestione delle vulnerabilità, inclusa l'analisi e il test, Withings impiega esperti di sicurezza di terze parti per eseguire test di penetrazione dettagliati su varie applicazioni della nostra linea di prodotti. Gli audit tecnici esterni sono integrati nel piano di audit annuale di Withings.
Audit di certificazione di conformità
Withings ha intrapreso un processo di certificazione attraverso un organismo accreditato per garantire che il suo SGSI sia conforme agli standard internazionali riconosciuti dall'industria. Il corretto funzionamento del SGSI viene quindi valutato annualmente da una terza parte indipendente e affidabile.
Unisciti a milioni di utenti che stanno migliorando la loro salute con Withings. Iscriviti per scoprire l'intero ecosistema Withings, i nostri ultimi prodotti e offerte esclusive.
Registrandosi, si accetta di ricevere e-mail pubblicitarie da Withings. Tuttavia, se si cambia idea, è possibile disiscriversi in qualsiasi momento.
