For B2C-aktiviteter og B2B-aktiviteter i Europa, hoster Withings sine servere takket være BSO i datasentre lokalisert i Frankrike. For å sikre 24/7 drift og konstant tilgjengelighet av tjenester, er BSO-datasentre utstyrt med redundante strømsystemer og er underlagt miljøkontroller.

For B2B-aktiviteter i USA, hoster Withings sine servere takket være GCP i datasentre lokalisert i USA. For å sikre drift døgnet rundt og konstant tilgjengelighet av tjenester, er Googles datasentre utstyrt med redundante kraftsystemer og er underlagt miljøkontroller.

BSO's og GCP's datasentre er designet med en flerlagssikkerhetsmodell som inkluderer egendesignede elektroniske adgangskort, alarmer, kjøretøystilgangsbarrierer, sikkerhetsgjerder, metalldetektorer og biometriske teknologier. Hvert datasenter er også utstyrt med et laserdeteksjonssystem for inntrenging. Datasentrene overvåkes 24 timer i døgnet, 7 dager i uken ved hjelp av høyoppløselige innendørs- og utendørskameraer som kan oppdage og spore inntrengere.

På forespørsel kan kunden be om å regionalisere behandlingen av sine data til en tilgjengelig lokasjon for MED·PRO-tjenester. Withings respekterer kundens valg og informerer kunder hvis en eller flere tjenester ikke kan regionaliseres.

Withings-nettverket er beskyttet av flere sikkerhetstjenester (DMZ, Tilgangskontrolliste, brannmurer, anti-malware, TLS, IPSec VPN...).

Vår nettverkssikkerhetsarkitektur består av flere lag med sikkerhet, hver replikert i flere tilgjengelighetssoner. DMZ-er brukes for områder som er utsatt for det offentlige nettverket. Hvert lag er beskyttet via brannmurer.

Analysen av infrastrukturens sikkerhet via automatiserte skanninger gir grundig informasjon for rask identifisering av ikke-kompatible eller potensielt sårbare systemer.

Tilgang til produksjonsmiljøet er strengt begrenset til systemadministratorer. All tilgang kontrolleres og registreres i beskyttede logger. De analyseres og revideres automatisk av en sikkerhetsingeniør uavhengig av systemadministratorene. Systemadministratorer som får tilgang til produksjonsplattformen må bruke flere personlige og robuste autentiseringsfaktorer.

Withings har implementert en sikkerhetskopieringspolicy for alle produksjonssystemer og -miljøer, inkludert databaser, GIT-kataloger, virtuelle maskindisker og dokumentdelingsservere. Sikkerhetskopier utføres og testes regelmessig i henhold til deres kritikalitetsnivå. Sikkerhetskopier krypteres deretter før de overføres til sikker lagring. Bare systemadministratorer har tilgang til sikkerhetskopiene.

Withings har etablert en policy for hendelseslogging, inkludert systemadministrasjonslogger, som ikke kan deaktiveres. Aktiviteter på alle Withings-systemer og applikasjoner logges også. Loggene analyseres deretter av automatiske algoritmer for å oppdage mistenkelige eller skadelige aktiviteter.

Et kontinuerlig varslingssystem muliggjør konstant overvåking av sikkerhetshendelser og deres løsning av systemadministratorer på kortest mulig tid. Ansatte blir opplært i prosesser for håndtering av sikkerhetshendelser, inkludert administrasjon av kommunikasjonskanaler og eskaleringsveier.

Withings bruker kryptering på lavt nivå. Krypteringen vil ha en robusthet på minst AES-256 eller tilsvarende.

På offentlige nettverk er all kommunikasjon med Withings brukergrensesnitt og APIer kryptert ved hjelp av HTTPS / TLS-standarden (TLS 1.2 eller høyere). Dette sikrer at all trafikk mellom klienten og Withings er sikret under transport.

Alle sikkerhetskopier er kryptert minst én gang før de overføres til et eksternt lagringsområde. Når mulig, er de også kryptert av selve lagringsløsningen.

Withings tilbyr et offentlig tilgjengelig system statusside som inkluderer detaljer om systemtilgjengelighet, planlagt vedlikehold, servicehendelseshistorikk og relevante sikkerhetshendelser.

Withings IT-sikkerhetskopieringspolicy sikrer en daglig sikkerhetskopiering av produksjonsdatabasene.