Proteggere i dati personali è di fondamentale importanza per noi e garantiamo sicurezza ad ogni passo.

Sicurezza dei dati

Withings si impegna a mantenere un ambiente sicuro che ti permetta di utilizzare i nostri prodotti e servizi. Proteggiamo i tuoi dati personali rispettando diversi standard (ISO 27001:2022, ISO 27701:2019 e HDS).

Certificazioni e Norme

Per integrare la privacy dei dati nei nostri prodotti e servizi, ci impegniamo a rispettare i più elevati standard di protezione dei dati personali.

Certificazioni

HDS

HDS Certification

Hosting dati sanitari — versione 1.1 finale - Maggio 2018 per le attività da 1 a 6 in conformità con il sistema di riferimento della certificazione fornito da ASIP Santé.

Comprende tutti i sistemi, le persone e i processi coinvolti nella progettazione, sviluppo, operazioni, validazione e supporto delle applicazioni e dei servizi ospitati da Withings, che includono il trattamento o la divulgazione dei dati sanitari personali.

Il referenziale di certificazione include: NF ISO/IEC 27001:2017, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011, nonché requisiti aggiuntivi.

Scarica

ISO 27001:2022

ISO_27001

Withings fornisce il servizio di un provider di hosting in conformità con i requisiti degli standard dell'Organizzazione Internazionale per la Standardizzazione 27001:2022.

Include tutti i sistemi, le persone e i processi coinvolti nella progettazione, sviluppo, operazioni, validazione e supporto delle applicazioni e dei servizi ospitati da Withings e in particolare l'elaborazione dei dati sanitari personali.

Scarica

ISO 27701:2019

ISO_27701

Withings dimostra la sua capacità di seguire lo stato dell'arte in termini di protezione della privacy a livello mondiale (come il GDPR). Per fare ciò, i processi interni vengono continuamente verificati per garantire che la protezione della privacy sia presa in considerazione in ogni fase delle attività (interne o esterne) condotte da Withings.

Scarica

Standard

GDPR

GDPR

Regolamento generale sulla protezione dei dati — Unione Europea 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.

HIPAA

HIPAA

Legge sulla Portabilità e Responsabilità dell'Assicurazione Sanitaria del 1996. Standard che regola l'hosting dei dati sanitari personali.

Include tutti i sistemi, le persone e i processi coinvolti nella progettazione, sviluppo, operazioni, validazione e supporto di applicazioni e servizi ospitati sui Withings Medical Clouds che includono l'elaborazione o la divulgazione di dati sanitari personali.

Scarica

Sicurezza dei servizi e delle applicazioni

Forniamo, manteniamo e gestiamo la protezione dei dati nelle nostre applicazioni, servizi e prodotti in tutte le fasi del loro ciclo di vita.

Sviluppo sicuro

Controlli di sicurezza del framework

Withings si affida a tecniche moderne di controllo della sicurezza per limitare l'esposizione ai 10 principali rischi di sicurezza OWASP. Questi controlli intrinseci riducono la nostra esposizione a SQL Injection (SQLi), Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF), tra gli altri.

Organizzazione agile, revisione del codice e test

Tutte le attività di sviluppo sono organizzate utilizzando il metodo AGILE, con la definizione di sprint e la priorizzazione dei compiti con il team di Product Management. Tutti gli sprint sono storicizzati. Gli sviluppatori eseguiranno test unitari, test di integrazione funzionale e test di sicurezza. Le funzionalità vengono revisionate dal team di Sicurezza e valutate tramite revisioni tra pari prima del deployment.

Garanzia di Qualità del Software

Il reparto di Assicurazione Qualità del Software testa servizi e applicazioni prima di passare alla produzione (test manuali e automatici).

Separazioni degli ambienti e dati di test

Gli ambienti di sviluppo e test sono logicamente separati dall'ambiente di produzione. Nessun dato personale di produzione viene utilizzato nei nostri ambienti di sviluppo o test.

Gestione delle vulnerabilità

Revisione del codice

Withings utilizza strumenti di sicurezza di terze parti per analizzare tutto il codice contro i principali rischi di sicurezza prima della produzione. Le vulnerabilità che possono causare violazioni della sicurezza vengono obbligatoriamente corrette e/o pianificate in un ciclo di miglioramento continuo.

Test automatico del codice

Il codice viene testato automaticamente con scenari di test predefiniti per garantire che le modifiche non comportino alcuna perdita o degrado della sicurezza. I test vengono eseguiti su macchine virtuali con una durata limitata e sono completamente separati dalla produzione.

Test di penetrazione di terze parti

Oltre alla gestione delle vulnerabilità, inclusa l'analisi e il testing, Withings impiega esperti di sicurezza di terze parti per eseguire test di penetrazione su varie applicazioni della nostra gamma di prodotti. Inoltre, Withings ha avviato programmi di bug bounty con un partner per consentire agli hacker etici di testare continuamente i nostri sistemi e segnalare vulnerabilità.

Sicurezza dell'autenticazione

Politica della password

Withings richiede l'uso di una password forte e si conforma alle raccomandazioni internazionali in termini di robustezza. Questa politica si applica a tutti gli utenti dell'applicazione Withings.

Autenticazione a due fattori

Puoi attivare l'Autenticazione a Due Fattori per rafforzare la sicurezza del tuo account. (iOS/Android)

Archiviazione dei dati di autenticazione

Withings non visualizza mai dati di autenticazione in testo semplice nelle sue applicazioni o servizi.

API – autenticazione di applicazioni di terze parti

L'API di Withings utilizza il metodo OAuth 2.0 per autenticare le applicazioni di terze parti. Ogni applicazione ha un id client unico e robusto, oltre a un segreto. I dati di connessione sono quindi protetti con token che scadono e che il client deve rigenerare da Withings.

Controlli di accesso basati sui ruoli

La maggior parte delle applicazioni e dei servizi Withings sono soggetti a controlli di accesso basati su ruoli con privilegi predefiniti, permettendo l'uso e l'accesso controllato ai dati.

Protezione dei dati in transito

Tutte le comunicazioni tramite la rete pubblica sono criptate con gli standard di settore HTTPS/TLS (TLS 1.2 o superiore).

Gestione del cambiamento

Categorizzazione dei cambiamenti

Withings ha definito categorie di cambiamento, consentendo un follow-up adattato alla tipologia del cambiamento. Questo consente una forte reattività, garantendo allo stesso tempo che le implicazioni siano adeguatamente valutate.

Procedura di modifica

Withings ha definito una procedura di gestione delle modifiche dipendente dalla categoria, che può includere: una richiesta di modifica, la nomina di un comitato per le modifiche, l'analisi del rischio di sicurezza, la pianificazione, l'implementazione della modifica o la modifica del piano di continuità o di recupero.

Protezione dell'infrastruttura

Poiché la protezione dei dati è parte di come ci prendiamo cura dei nostri utenti, utilizziamo le migliori soluzioni di sicurezza per proteggere i dati personali.

Sicurezza fisica del data center

Strutture fisiche

Per le attività B2C e B2B in Europa, Withings ospita i suoi server grazie a BSO in centri dati situati in Francia. Per garantire operazioni 24/7 e disponibilità costante dei servizi, i centri dati BSO sono dotati di sistemi di alimentazione ridondanti e sono soggetti a controlli ambientali.

Per le attività B2B negli Stati Uniti, Withings ospita i suoi server grazie a GCP in data center situati negli Stati Uniti. Per garantire un'operatività 24/7 e una costante disponibilità dei servizi, i data center di Google sono dotati di sistemi di alimentazione ridondanti e sono soggetti a controlli ambientali.

Sicurezza in loco

I data center di BSO e GCP sono progettati con un modello di sicurezza a più livelli che include tessere di accesso elettroniche personalizzate, allarmi, barriere di controllo degli accessi per veicoli, recinzioni di sicurezza, metal detector e tecnologie biometriche. Ogni data center è inoltre dotato di un sistema di rilevamento delle intrusioni a raggi laser. I data center sono monitorati 24 ore su 24, 7 giorni su 7, utilizzando telecamere ad alta risoluzione interne ed esterne in grado di rilevare e tracciare gli intrusi.

Posizione dell'hosting dei dati

Su richiesta, il cliente può chiedere di regionalizzare l'elaborazione dei propri dati in una località disponibile dei servizi MED·PRO. Withings rispetta la scelta del cliente e informa i clienti se uno o più servizi non sono regionalizzabili.

Sicurezza delle reti

Protezione

La rete Withings è protetta da diversi servizi di sicurezza (DMZ, Lista di Controllo Accessi, firewall, anti-malware, TLS, VPN IPSec...).

Architettura

La nostra architettura di sicurezza di rete consiste in più livelli di sicurezza, ciascuno replicato in più zone di disponibilità. Le DMZ sono utilizzate per le aree esposte alla rete pubblica. Ogni livello è protetto da firewall.

Analisi della Vulnerabilità dell'Infrastruttura

L'analisi della sicurezza dell'infrastruttura tramite scansioni automatizzate fornisce informazioni approfondite per l'identificazione rapida di sistemi non conformi o potenzialmente vulnerabili.

Accesso logistico

L'accesso all'ambiente di produzione è strettamente limitato agli amministratori di sistema. Tutti gli accessi sono controllati e registrati in log protetti. Sono analizzati e verificati automaticamente da un ingegnere della sicurezza indipendente dagli amministratori di sistema. Gli amministratori di sistema che accedono alla piattaforma di produzione devono utilizzare diversi fattori di autenticazione personali e robusti.

Backup

Withings ha implementato una politica di backup per tutti i sistemi e gli ambienti di produzione, inclusi database, directory GIT, dischi di macchine virtuali e server di condivisione documenti. I backup vengono eseguiti e testati regolarmente in base al loro livello di criticità. I backup vengono quindi crittografati prima del trasferimento in un archivio sicuro. Solo gli amministratori di sistema hanno accesso ai backup.

Registrazione eventi

Withings ha impostato una politica di registrazione degli eventi, inclusi i log di amministrazione del sistema, che non possono essere disabilitati. Anche le attività su tutti i sistemi e le applicazioni di Withings vengono registrate. I log vengono quindi analizzati da algoritmi automatici per rilevare eventuali attività sospette o dannose.

Gestione degli incidenti di sicurezza

Un sistema di allerta continua consente il monitoraggio costante degli incidenti di sicurezza e la loro risoluzione da parte degli amministratori di sistema nel minor tempo possibile. I dipendenti sono formati sui processi di risposta agli incidenti di sicurezza, inclusa la gestione dei canali di comunicazione e dei percorsi di escalation.

Criptografia

Crittografia dei dati memorizzati

Withings utilizza una crittografia del disco a basso livello. La crittografia avrà una robustezza di almeno AES-256 o equivalente.

Crittografia dei database

Le informazioni nei database sono crittografate in base alla loro classificazione nel registro dei dati.

Crittografia delle comunicazioni

Sulle reti pubbliche, tutte le comunicazioni con le interfacce utente e le API di Withings sono crittografate utilizzando lo standard HTTPS / TLS (TLS 1.2 o superiore). Questo garantisce che tutto il traffico tra il client e Withings sia protetto durante il transito.

Connessioni SSH

Withings garantisce connessioni SSH utilizzando solo SSH v2 e Ciphers di Crittografia riconosciuti dall'industria.

Connessione VPN

Withings garantisce connessioni VPN utilizzando solo cifrari di crittografia robusti e riconosciuti dall'industria.

Backup

Tutti i backup sono crittografati, almeno una volta, prima di essere trasmessi a un'area di archiviazione remota. Quando possibile, sono anche crittografati dalla stessa soluzione di archiviazione.

Piano di disponibilità e continuità

Informazioni sulla disponibilità

Withings fornisce un sistema accessibile al pubblico pagina di stato che include i dettagli sulla disponibilità del sistema, la manutenzione programmata, la cronologia degli incidenti di servizio e gli eventi di sicurezza rilevanti.

Ridondanza

L'intera infrastruttura fisica e cloud è ridondante al fine di minimizzare il rischio di inattività e perdita di dati. In particolare, i database sono configurati con una replica quasi istantanea per garantire che, in condizioni operative normali, la perdita completa del nodo principale che riceve le scritture non comporti una perdita di dati di più di pochi secondi.

Obiettivo del punto di recupero

La politica di backup IT di Withings garantisce un backup giornaliero dei database di produzione.

Piano di recupero di emergenza

Il piano di recupero di emergenza di Withings garantisce che la piattaforma di produzione possa essere completamente ricreata in caso di malfunzionamento totale dell'ambiente di produzione. Tutto il codice, le configurazioni e i database sono archiviati in luoghi sicuri e sono indipendenti dall'ambiente di produzione. Il ripristino completo della piattaforma viene eseguito regolarmente per scopi di test.

Sicurezza HR

Il personale limitato che gestisce i dati nel Withings Cloud è soggetto a controlli regolari e formazione continua su come mitigare i rischi coinvolti nell'elaborazione dei dati personali.

Gestione dei dipendenti

Controlli di background e competenze

Withings effettua controlli sui precedenti di tutti i nuovi dipendenti in conformità con le leggi locali. Questi controlli vengono eseguiti anche per i lavoratori a contratto. I controlli sui precedenti possono includere competenze tecniche e generali, precedenti impieghi e controlli del casellario giudiziale, se necessario.

Accordo di riservatezza

Tutti i dipendenti devono firmare accordi di riservatezza e non divulgazione. Questo accordo di riservatezza rimane valido anche dopo la fine del contratto di lavoro.

Definizione di ruoli e responsabilità

Withings garantisce che tutti i ruoli e le responsabilità siano ben definiti e compresi dagli individui a cui sono assegnati.

Procedura disciplinare

Withings ha messo in atto procedure disciplinari in caso di violazione delle responsabilità affidate, basate su una scala di sanzioni definita nei regolamenti interni.

Consapevolezza della sicurezza

Politiche di sicurezza

Withings ha sviluppato un insieme completo di politiche di sicurezza che coprono una vasta gamma di argomenti. Queste politiche sono condivise e rese disponibili a tutti i dipendenti e subappaltatori con accesso ai Sistemi Informativi di Withings.

Consapevolezza della sicurezza delle informazioni

Tutti i dipendenti seguono una formazione sulla consapevolezza della sicurezza che è inclusa nella procedura di assunzione e rivista annualmente. Le regole di base e le buone pratiche vengono inoltre richiamate regolarmente nei locali di Withings.

Formazione sulla sicurezza

Tutti gli sviluppatori sono informati sui 10 principali rischi di sicurezza OWASP attraverso formazione e guide alle migliori pratiche. Vengono anche organizzate sessioni di formazione con esperti esterni per garantire una conoscenza approfondita e la diffusione del codice sicuro. Il team di sicurezza fornisce anche ulteriori aggiornamenti sulla consapevolezza della sicurezza tramite email, post sul blog e presentazioni in eventi interni.

Miglioramento continuo

Come azienda innovativa di IoT, ci assicuriamo di essere sempre un passo avanti rispetto agli attuali standard di protezione dei dati. Questo è supportato da regolari audit interni ed esterni.

Verifiche interne

Piano di audit interno

Tutti i processi sono controllati da team di audit interni o da fornitori di servizi esterni.

Revisione della gestione

Le revisioni della gestione garantiscono che la direzione esamini sistematicamente l'ISMS, valuti le opportunità di miglioramento e decida le misure necessarie per garantire la rilevanza, l'adeguatezza e l'efficacia dell'ISMS.

Audit esterni

Verifiche tecniche

Oltre alla gestione delle vulnerabilità, inclusa l'analisi e il test, Withings impiega esperti di sicurezza di terze parti per eseguire test di penetrazione dettagliati su varie applicazioni della nostra linea di prodotti. Gli audit tecnici esterni sono integrati nel piano di audit annuale di Withings.

Audit di certificazione di conformità

Withings ha intrapreso un processo di certificazione attraverso un organismo accreditato per garantire che il suo SGSI sia conforme agli standard internazionali riconosciuti dall'industria. Il corretto funzionamento del SGSI viene quindi valutato annualmente da una terza parte indipendente e affidabile.

loader newco
loader newco