Het beschermen van persoonlijke gegevens is voor ons van het grootste belang en we zorgen voor veiligheid in elke stap van het proces.

Gegevensbeveiliging

Withings zet zich in voor het handhaven van een veilige omgeving waarmee u onze producten en diensten kunt gebruiken. We beschermen uw persoonlijke gegevens door te voldoen aan meerdere normen (ISO 27001:2022, ISO 27701:2019 en HDS).

Certificeringen en Normen

Om gegevensprivacy in onze producten en diensten te integreren, streven we naar de hoogste normen voor de bescherming van persoonlijke gegevens.

Certificeringen

HDS

HDS Certification

Gezondheidsgegevens Hosting — versie 1.1 definitief - mei 2018 voor activiteiten 1 tot 6 in overeenstemming met het certificeringsreferentiesysteem van ASIP Santé.

Omvat alle systemen, mensen en processen die betrokken zijn bij het ontwerp, de ontwikkeling, operaties, validatie en ondersteuning van applicaties en diensten die door Withings worden gehost, waaronder de verwerking of openbaarmaking van persoonlijke gezondheidsgegevens.

Het certificeringsreferentiekader omvat: NF ISO/IEC 27001:2017, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011, evenals aanvullende vereisten.

Downloaden

ISO 27001:2022

ISO_27001

Withings biedt de service van een hostingprovider in overeenstemming met de vereisten van de International Organization for Standardization 27001:2022 normen.

Het omvat alle systemen, mensen en processen die betrokken zijn bij het ontwerp, de ontwikkeling, de operaties, de validatie en de ondersteuning van applicaties en diensten die worden gehost door Withings en vooral de verwerking van persoonlijke gezondheidsgegevens.

Downloaden

ISO 27701:2019

ISO_27701

Withings toont zijn vermogen om de nieuwste standaarden op het gebied van privacybescherming wereldwijd te volgen (zoals de AVG). Om dit te doen, worden interne processen continu gecontroleerd om ervoor te zorgen dat privacybescherming in elke stap van de activiteiten (intern of extern) die door Withings worden uitgevoerd, in aanmerking wordt genomen.

Downloaden

Normen

GDPR

GDPR

Algemene Verordening Gegevensbescherming — Europese Unie 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

HIPAA

HIPAA

Health Insurance Portability and Accountability Act van 1996. Standaard die het hosten van persoonlijke gezondheidsgegevens regelt.

Omvat alle systemen, mensen en processen die betrokken zijn bij het ontwerp, de ontwikkeling, operaties, validatie en ondersteuning van toepassingen en diensten die gehost worden op de Withings Medical Clouds, waaronder de verwerking of openbaarmaking van persoonlijke gezondheidsgegevens.

Downloaden

Beveiliging van diensten en toepassingen

Wij leveren, onderhouden en beheren gegevensbescherming in onze applicaties, diensten en producten in alle stadia van hun levenscyclus.

Veilige ontwikkeling

Beveiligingscontroles van het framework

Withings vertrouwt op moderne beveiligingscontroletechnieken om blootstelling aan de top 10 OWASP-beveiligingsrisico's te beperken. Deze inherente controles verminderen onze blootstelling aan SQL-injectie (SQLi), Cross Site Scripting (XSS) en Cross Site Request Forgery (CSRF), onder andere.

Agile organisatie, code review en testen

Alle ontwikkelingsactiviteiten worden georganiseerd volgens de AGILE-methode, met de vaststelling van sprints en prioritering van taken met het Product Management-team. Alle sprints worden gehistoriseerd. Ontwikkelaars voeren unittests, functionele integratietests en beveiligingstests uit. Functionaliteiten worden beoordeeld door het Beveiligingsteam en geëvalueerd door middel van peer reviews voordat ze worden geïmplementeerd.

Softwarekwaliteitsborging

De afdeling Software Quality Assurance test diensten en applicaties voordat ze in productie gaan (handmatige en automatische tests).

Omgevingsscheidingen en testgegevens

De ontwikkel- en testomgevingen zijn logisch gescheiden van de productieomgeving. Er worden geen persoonlijke productiegegevens gebruikt in onze ontwikkel- of testomgevingen.

Beheer van kwetsbaarheden

Code-audit

Withings gebruikt beveiligingstools van derden om alle code te analyseren op grote beveiligingsrisico's vóór productie. Kwetsbaarheden die beveiligingsinbreuken kunnen veroorzaken, worden verplicht gecorrigeerd en/of ingepland in een continu verbeteringsproces.

Automatische codetests

De code wordt automatisch getest met vooraf gedefinieerde testscenario's om ervoor te zorgen dat wijzigingen niet resulteren in enig verlies of degradatie van de veiligheid. Tests worden uitgevoerd op virtuele machines met een beperkte levensduur en zijn volledig gescheiden van de productie.

Derde partij penetratietesten

Naast het beheer van kwetsbaarheden, inclusief analyse en testen, huurt Withings externe beveiligingsexperts in om penetratietesten uit te voeren op verschillende applicaties in ons productassortiment. Bovendien heeft Withings bug bounty-programma's geopend met een partner om ethische hackers in staat te stellen onze systemen continu te testen en kwetsbaarheden te melden.

Authenticatiebeveiliging

Wachtwoordbeleid

Withings vereist het gebruik van een sterk wachtwoord en voldoet aan internationale aanbevelingen op het gebied van robuustheid. Dit beleid is van toepassing op alle gebruikers van de Withings-applicatie.

Twee-factor-authenticatie

Je kunt Twee Factor Authenticatie activeren om de beveiliging van je account te versterken. (iOS/Android)

Opslag van authenticatiegegevens

Withings toont nooit platte-tekst authenticatiegegevens in zijn applicaties of diensten.

API – authenticatie van derden applicaties

De Withings API gebruikt de OAuth 2.0 methode om derden applicaties te authenticeren. Elke applicatie heeft een unieke en robuuste client id evenals een geheim. De verbindingsgegevens worden vervolgens beveiligd met vervallende tokens die de client moet regenereren van Withings.

Rolgebaseerde toegangscontroles

De meeste Withings-applicaties en -diensten zijn onderworpen aan toegangscontroles op basis van rollen met vooraf gedefinieerde privileges, waardoor gecontroleerd gebruik en toegang tot gegevens mogelijk is.

Gegevens beveiligen tijdens transport

Alle communicatie over het openbare netwerk wordt versleuteld met HTTPS/TLS industriestandaarden (TLS 1.2 of hoger).

Verandermanagement

Categorisering van wijzigingen

Withings heeft veranderingscategorieën gedefinieerd, waardoor opvolging kan worden aangepast aan de typologie van de verandering. Dit zorgt voor een sterke reactiviteit, terwijl tegelijkertijd wordt gegarandeerd dat de implicaties goed worden beoordeeld.

Wijzigingsprocedure

Withings heeft een verandermanagementprocedure gedefinieerd die afhankelijk is van de categorie, die kan omvatten: een wijzigingsverzoek, de benoeming van een wijzigingscommissie, veiligheidsrisicoanalyse, planning, implementatie van de wijziging of aanpassing van het continuïteits- of herstelplan.

Infrastructuurbescherming

Omdat de bescherming van gegevens deel uitmaakt van hoe we voor onze gebruikers zorgen, maken we gebruik van de beste beveiligingsoplossingen om persoonlijke gegevens te beschermen.

Fysieke beveiliging van het datacenter

Fysieke faciliteiten

Voor B2C-activiteiten en B2B-activiteiten in Europa host Withings zijn servers dankzij BSO in datacenters in Frankrijk. Om 24/7 werking en constante beschikbaarheid van diensten te garanderen, zijn BSO-datacenters uitgerust met redundante energiesystemen en worden ze onderworpen aan milieucontroles.

Voor B2B-activiteiten in de VS host Withings zijn servers dankzij GCP in datacenters in de VS. Om 24/7 werking en constante beschikbaarheid van diensten te garanderen, zijn de datacenters van Google uitgerust met redundante energiesystemen en onderworpen aan milieucontroles.

Beveiliging op locatie

De datacenters van BSO en GCP zijn ontworpen met een gelaagd beveiligingsmodel dat op maat gemaakte elektronische toegangspassen, alarmen, voertuigtoegangsbarrières, veiligheidshekken, metaaldetectoren en biometrische technologieën omvat. Elk datacenter is ook uitgerust met een laserstraal-indringingsdetectiesysteem. De datacenters worden 24 uur per dag, 7 dagen per week bewaakt met behulp van hoge resolutie binnen- en buitencamera's die indringers kunnen detecteren en volgen.

Locatie van datahosting

Op verzoek kan de klant vragen om de verwerking van zijn gegevens te regionaliseren naar een beschikbare locatie van MED·PRO-services. Withings respecteert de keuze van de klant en informeert klanten als een of meer services niet regionaliseerbaar zijn.

Netwerkbeveiliging

Bescherming

Het Withings-netwerk wordt beschermd door verschillende beveiligingsdiensten (DMZ, Toegangscontrolelijst, firewalls, anti-malware, TLS, IPSec VPN...).

Architectuur

Onze netwerkbeveiligingsarchitectuur bestaat uit meerdere lagen van beveiliging, elk gerepliceerd in meerdere beschikbaarheidszones. DMZ's worden gebruikt voor gebieden die zijn blootgesteld aan het openbare netwerk. Elke laag wordt beschermd via firewalls.

Infrastructuur Kwetsbaarheidsanalyse

De analyse van infrastructuurbeveiliging via geautomatiseerde scans biedt diepgaande informatie voor de snelle identificatie van niet-conforme of mogelijk kwetsbare systemen.

Logistieke toegang

Toegang tot de productieomgeving is strikt beperkt tot systeembeheerders. Alle toegangen worden gecontroleerd en vastgelegd in beveiligde logboeken. Ze worden automatisch geanalyseerd en gecontroleerd door een beveiligingsingenieur die onafhankelijk is van de systeembeheerders. Systeembeheerders die toegang hebben tot het productieplatform moeten verschillende persoonlijke en robuuste authenticatiefactoren gebruiken.

Back-ups

Withings heeft een back-upbeleid geïmplementeerd voor alle productiesystemen en -omgevingen, inclusief databases, GIT-directories, virtuele machinedisks en documentendeling-servers. Back-ups worden regelmatig uitgevoerd en getest op basis van hun kriticiteitsniveau. Back-ups worden vervolgens versleuteld voordat ze naar veilige opslag worden overgebracht. Alleen systeembeheerders hebben toegang tot back-ups.

Gebeurtenissen loggen

Withings heeft een beleid voor het loggen van gebeurtenissen opgezet, inclusief systeembeheerderslogboeken, die niet kunnen worden uitgeschakeld. Activiteiten op alle Withings-systemen en -toepassingen worden ook vastgelegd. De logboeken worden vervolgens geanalyseerd door automatische algoritmen om verdachte of schadelijke activiteiten te detecteren.

Beheer van beveiligingsincidenten

Een continu waarschuwingssysteem zorgt voor constante bewaking van beveiligingsincidenten en de oplossing daarvan door systeembeheerders in de kortst mogelijke tijd. Werknemers worden getraind in beveiligingsincidentresponsprocessen, inclusief het beheer van communicatiesystemen en escalatiepaden.

Versleuteling

Versleuteling van opgeslagen gegevens

Withings gebruikt versleuteling op laag niveau. De versleuteling zal een robuustheid hebben van ten minste AES-256 of gelijkwaardig.

Encryptie van databases

Informatie in databases is versleuteld volgens de classificatie in het gegevensregister.

Communicatie-encryptie

Op openbare netwerken worden alle communicatie met Withings-gebruikersinterfaces en API's versleuteld met behulp van de HTTPS / TLS-standaard (TLS 1.2 of hoger). Dit zorgt ervoor dat al het verkeer tussen de klant en Withings tijdens het transport beveiligd is.

SSH-verbindingen

Withings garandeert SSH-verbindingen met alleen SSH v2 en door de industrie erkende versleutelingsalgoritmen.

VPN-verbinding

Withings garandeert VPN-verbindingen met uitsluitend door de industrie erkende en robuuste versleutelingscodes.

Back-ups

Alle back-ups worden ten minste één keer versleuteld voordat ze naar een externe opslaglocatie worden verzonden. Waar mogelijk worden ze ook versleuteld door de opslagoplossing zelf.

Beschikbaarheids- en continuïteitsplan

Informatie over de beschikbaarheid

Withings biedt een openbaar toegankelijk systeem statuspagina dat details bevat over systeembeschikbaarheid, geplande onderhoud, service-incidentgeschiedenis en relevante beveiligingsgebeurtenissen.

Redundantie

De gehele fysieke en cloud-infrastructuur is redundant om het risico op uitval en gegevensverlies te minimaliseren. In het bijzonder zijn de databases geconfigureerd met nagenoeg onmiddellijke replicatie om ervoor te zorgen dat, onder normale bedrijfsomstandigheden, het volledig verlies van het hoofdnode dat de schrijfhandelingen ontvangt, niet resulteert in gegevensverlies van meer dan een paar seconden.

Herstelpuntdoel

Het IT-back-upbeleid van Withings zorgt voor een dagelijkse back-up van productiedatabases.

Rampenherstelplan

Het rampenherstelplan van Withings zorgt ervoor dat het productieplatform volledig opnieuw kan worden gecreëerd in het geval van een totale storing van de productieomgeving. Alle code, configuraties en databases worden opgeslagen op veilige locaties en zijn onafhankelijk van de productieomgeving. Het herstellen van het volledige platform wordt regelmatig uitgevoerd voor testdoeleinden.

HR Veiligheid

Het beperkte personeel dat gegevens in de Withings Cloud verwerkt, wordt regelmatig gecontroleerd en continu getraind om de risico's bij het verwerken van persoonlijke gegevens te beperken.

Beheer van werknemers

Achtergrond- en competentiecontroles

Withings voert antecedentenonderzoek uit bij alle nieuwe werknemers in overeenstemming met de lokale wetgeving. Deze controles worden ook uitgevoerd voor aannemers. Antecedentenonderzoek kan technische en algemene vaardigheden, eerdere werkervaring en strafrechtelijke controles omvatten indien nodig.

Geheimhoudingsverklaring

Alle medewerkers moeten geheimhoudings- en vertrouwelijkheidsovereenkomsten ondertekenen. Deze geheimhoudingsovereenkomst blijft geldig na het einde van het arbeidscontract.

Definitie van rollen en verantwoordelijkheden

Withings zorgt ervoor dat alle rollen en verantwoordelijkheden goed gedefinieerd en begrepen zijn door de individuen aan wie ze zijn toegewezen.

Disciplinaire procedure

Withings heeft disciplinaire procedures ingevoerd voor het geval er sprake is van een schending van de toevertrouwde verantwoordelijkheden, gebaseerd op een schaal van sancties zoals gedefinieerd in de interne regelgeving.

Bewustzijn van veiligheid

Beveiligingsbeleid

Withings heeft een uitgebreide set beveiligingsbeleid ontwikkeld die een breed scala aan onderwerpen bestrijken. Dit beleid wordt gedeeld en beschikbaar gesteld aan alle medewerkers en onderaannemers met toegang tot de informatiesystemen van Withings.

Bewustzijn van informatiebeveiliging

Alle medewerkers volgen een training over beveiligingsbewustzijn die is opgenomen in de aanwervingsprocedure en vervolgens jaarlijks wordt herzien. De basisregels en goede praktijken worden ook regelmatig herinnerd op de Withings-locaties.

Veiligheidstraining

Alle ontwikkelaars worden op de hoogte gebracht van de top 10 OWASP-beveiligingsrisico's via training en gidsen voor beste praktijken. Er worden ook trainingssessies met externe experts georganiseerd om diepgaande kennis en verspreiding van de veilige code te waarborgen. Het beveiligingsteam biedt ook aanvullende beveiligingsbewustzijnsupdates via e-mail, blogberichten en presentaties op interne evenementen.

Continue verbetering

Als innovatief IoT-bedrijf zorgen we ervoor dat we altijd een stap voor zijn op de huidige normen voor gegevensbescherming. Dit wordt ondersteund door regelmatige interne en externe audits.

Interne audits

Intern auditplan

Alle processen worden gecontroleerd door interne auditteams of door externe dienstverleners.

Beoordeling van het beheer

Managementbeoordelingen zorgen ervoor dat het management het ISMS systematisch beoordeelt, verbeterkansen evalueert en beslist over de nodige maatregelen om de relevantie, geschiktheid en effectiviteit van het ISMS te waarborgen.

Externe audits

Technische audits

Naast kwetsbaarheidsbeheer, inclusief analyse en testen, maakt Withings gebruik van externe beveiligingsexperts om gedetailleerde penetratietests uit te voeren op verschillende toepassingen in onze productlijn. Externe technische audits zijn geïntegreerd in het jaarlijkse auditplan van Withings.

Conformiteitscertificeringsaudit

Withings is een certificeringsproces gestart via een geaccrediteerd orgaan om ervoor te zorgen dat het ISMS voldoet aan internationale normen die door de industrie worden erkend. De goede werking van het ISMS wordt daarom jaarlijks beoordeeld door een onafhankelijke, vertrouwde derde partij.

loader newco
loader newco