Antes de continuar
A versão do sítio Web não corresponde ao seu país.
A Withings projeta e fabrica produtos e serviços de saúde digital. Os dispositivos Withings incluem: Body Scan, Body Comp, Body Smart, Body Cardio, Body+, Body, BPM Connect, BPM Core, Sleep Analyzer, ScanWatch, ScanWatch 2, ScanWatch Light, Steel HR, Activité, Steel, Thermo, BeamO, U-Scan, Withings App, Withings RPM, Withings+. As medições realizadas pelos dispositivos Withings incluem: peso, composição corporal, frequência cardíaca (HR), variabilidade da frequência cardíaca (HRV), velocidade da onda de pulso (PWV), pressão arterial, fases do sono, atividade, passos, calorias, distância, elevação, temperatura, nível de oxigênio no sangue (SpO2), eletrocardiograma (ECG) e detecção de fibrilação atrial (AFib), notificações de sinais de AFib, idade vascular, pontuação de saúde nervosa e atividade eletrodermal (EDA).
A Withings está comprometida em manter um ambiente seguro que permita que você use nossos produtos e serviços. Protegemos seus dados pessoais em conformidade com vários padrões (ISO 27001:2022, ISO 27701:2019 e HDS).
Para incorporar a privacidade de dados em nossos produtos e serviços, buscamos os mais altos padrões de proteção de dados pessoais.
HDS
Hospedagem de Dados de Saúde — versão 1.1 final - Maio de 2018 para atividades 1 a 6 de acordo com o sistema de referência de certificação fornecido pela ASIP Santé.
Inclui todos os sistemas, pessoas e processos envolvidos no design, desenvolvimento, operações, validação e suporte de aplicações e serviços hospedados pela Withings, que incluem o processamento ou a divulgação de dados pessoais de saúde.
O referencial de certificação inclui: NF ISO/IEC 27001:2017, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011, bem como requisitos adicionais.
BaixarISO 27001:2022
A Withings fornece o serviço de um provedor de hospedagem de acordo com os requisitos das normas da Organização Internacional para Padronização 27001:2022.
Inclui todos os sistemas, pessoas e processos envolvidos no design, desenvolvimento, operações, validação e suporte de aplicações e serviços hospedados pela Withings e especialmente o processamento de dados de saúde pessoais.
BaixarISO 27701:2019
A Withings demonstra sua capacidade de seguir o estado da arte em termos de proteção de privacidade em todo o mundo (como o GDPR). Para isso, os processos internos são continuamente auditados para garantir que a proteção da privacidade seja levada em conta em cada etapa das atividades (internas ou externas) conduzidas pela Withings.
BaixarGDPR
Regulamento Geral sobre a Proteção de Dados — União Europeia 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e sobre a livre circulação desses dados.
HIPAA
Lei de Portabilidade e Responsabilidade de Seguro de Saúde de 1996. Padrão que rege a hospedagem de dados pessoais de saúde.
Inclui todos os sistemas, pessoas e processos envolvidos no design, desenvolvimento, operações, validação e suporte de aplicações e serviços hospedados nos Withings Medical Clouds que incluem o processamento ou divulgação de dados pessoais de saúde.
BaixarEntregamos, mantemos e gerimos a proteção de dados em nossas aplicações, serviços e produtos em todas as fases do seu ciclo de vida.
Controles de segurança do framework
A Withings conta com técnicas modernas de controle de segurança para limitar a exposição aos 10 principais riscos de segurança da OWASP. Esses controles inerentes reduzem nossa exposição a SQL Injection (SQLi), Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF), entre outros.
Organização ágil, revisão de código e testes
Todas as atividades de desenvolvimento são organizadas utilizando o método AGILE, com o estabelecimento de sprints e a priorização de tarefas com a equipe de Gerenciamento de Produto. Todos os sprints são historizados. Os desenvolvedores realizarão testes unitários, testes de integração funcional e testes de segurança. As funcionalidades são revisadas pela equipe de Segurança e avaliadas através de revisões por pares antes da implantação.
Garantia de Qualidade de Software
O departamento de Software Quality Assurance testa serviços e aplicações antes de serem lançados em produção (testes manuais e automáticos).
Separações de ambientes e dados de teste
Os ambientes de desenvolvimento e teste estão logicamente separados do ambiente de produção. Nenhum dado pessoal de produção é usado em nossos ambientes de desenvolvimento ou teste.
Auditoria de código
A Withings utiliza ferramentas de segurança de terceiros para analisar todo o código contra os principais riscos de segurança antes da produção. Vulnerabilidades que podem causar falhas de segurança são obrigatoriamente corrigidas e/ou planejadas em um ciclo de melhoria contínua.
Teste automático de código
O código é automaticamente testado com cenários de teste predefinidos para garantir que as alterações não resultem em qualquer perda ou degradação de segurança. Os testes são realizados em máquinas virtuais com uma vida útil limitada e são completamente separados da produção.
Teste de Penetração de Terceiros
Além da gestão de vulnerabilidades, incluindo análise e testes, a Withings emprega especialistas em segurança de terceiros para realizar testes de penetração em várias aplicações da nossa linha de produtos. Além disso, a Withings lançou programas de recompensa de bugs com um parceiro para permitir que hackers éticos testem continuamente nossos sistemas e relatem vulnerabilidades.
Política de senha
A Withings exige o uso de uma senha forte e está em conformidade com as recomendações internacionais em termos de robustez. Esta política se aplica a todos os usuários do aplicativo Withings.
Autenticação em duas etapas
Armazenamento de dados de autenticação
A Withings nunca exibe dados de autenticação em texto simples em suas aplicações ou serviços.
API - autenticação de um aplicativo de terceiros
A API da Withings usa o método OAuth 2.0 para autenticar aplicativos de terceiros. Cada aplicativo possui uma identificação de cliente única e robusta, bem como um segredo. Os dados de conexão são, então, protegidos com tokens que expiram que o cliente deve regenerar a partir da Withings.
A maioria dos aplicativos e serviços da Withings estão sujeitos a controles de acesso baseados em funções com privilégios predefinidos, permitindo o uso e acesso controlado aos dados.
Todas as comunicações através da rede pública são criptografadas com os padrões da indústria HTTPS/TLS (TLS 1.2 ou superior).
Categorização das mudanças
A Withings definiu categorias de mudança, permitindo um acompanhamento adaptado à tipologia da mudança. Isso permite uma forte reatividade, garantindo ao mesmo tempo que as implicações sejam devidamente avaliadas.
Procedimento de mudança
A Withings definiu um procedimento de gestão de mudanças dependente da categoria, que pode incluir: uma solicitação de mudança, nomeação de um comitê de mudanças, análise de risco de segurança, planejamento, implementação da mudança ou modificação do plano de continuidade ou recuperação.
Como a proteção de dados faz parte de como cuidamos de nossos usuários, recorremos às melhores soluções de segurança para proteger os dados pessoais.
Instalações físicas
Para atividades B2C e atividades B2B na Europa, a Withings hospeda seus servidores graças à BSO em centros de dados localizados na França. Para garantir operação 24/7 e disponibilidade constante dos serviços, os centros de dados da BSO estão equipados com sistemas de energia redundantes e estão sujeitos a controles ambientais.
Para atividades B2B nos EUA, a Withings hospeda seus servidores graças ao GCP em centros de dados localizados nos EUA. Para garantir operação 24/7 e disponibilidade constante de serviços, os centros de dados do Google são equipados com sistemas de energia redundantes e estão sujeitos a controles ambientais.
Segurança no local
Os data centers do BSO e do GCP são projetados com um modelo de segurança em várias camadas que inclui cartões de acesso eletrônico personalizados, alarmes, barreiras de controle de acesso de veículos, cercas de segurança, detectores de metal e tecnologias biométricas. Cada data center também está equipado com um sistema de detecção de intrusão por feixe de laser. Os data centers são monitorados 24 horas por dia, 7 dias por semana, usando câmeras de alta resolução internas e externas que podem detectar e rastrear intrusos.
Localização do armazenamento de dados
Mediante solicitação, o cliente pode solicitar a regionalização do processamento de seus dados para um local disponível dos serviços MED·PRO. A Withings respeita a escolha do cliente e informa aos clientes se um ou mais serviços não são regionalizáveis.
Proteção
A rede Withings é protegida por vários serviços de segurança (DMZ, Lista de Controle de Acesso, firewalls, anti-malware, TLS, VPN IPSec...).
Arquitetura
A nossa arquitetura de segurança de rede consiste em múltiplas camadas de segurança, cada uma replicada em várias zonas de disponibilidade. DMZs são usadas para áreas expostas à rede pública. Cada camada é protegida por firewalls.
Análise de Vulnerabilidade de Infraestrutura
A análise da segurança da infraestrutura através de verificações automatizadas fornece informações detalhadas para a rápida identificação de sistemas não conformes ou potencialmente vulneráveis.
Acesso logístico
O acesso ao ambiente de produção é estritamente limitado aos administradores do sistema. Todos os acessos são controlados e registrados em logs protegidos. Eles são analisados e auditados automaticamente por um engenheiro de segurança independente dos administradores do sistema. Os administradores do sistema que acessam a plataforma de produção devem usar vários fatores de autenticação pessoais e robustos.
Backups
A Withings implementou uma política de backup para todos os sistemas e ambientes de produção, incluindo bancos de dados, diretórios GIT, discos de máquinas virtuais e servidores de compartilhamento de documentos. Os backups são executados e testados regularmente de acordo com seu nível de criticidade. Os backups são então criptografados antes da transferência para armazenamento seguro. Apenas os administradores de sistema têm acesso aos backups.
Registro de eventos
A Withings estabeleceu uma política de registro de eventos, incluindo logs de administração do sistema, que não podem ser desativados. As atividades em todos os sistemas e aplicativos da Withings também são registradas. Os logs são então analisados por algoritmos automáticos para detectar quaisquer atividades suspeitas ou maliciosas.
Gestão de incidentes de segurança
Um sistema de alerta contínuo permite a monitorização constante de incidentes de segurança e sua resolução pelos administradores do sistema no menor tempo possível. Os funcionários são treinados nos processos de resposta a incidentes de segurança, incluindo a gestão de canais de comunicação e caminhos de escalonamento.
Criptografia dos dados armazenados
A Withings utiliza criptografia de disco de baixo nível. A criptografia terá uma robustez de pelo menos AES-256 ou equivalente.
Criptografia de bancos de dados
As informações nos bancos de dados são criptografadas de acordo com sua classificação no registro de dados.
Criptografia de comunicação
Em redes públicas, todas as comunicações com as interfaces de usuário e APIs da Withings são criptografadas usando o padrão HTTPS / TLS (TLS 1.2 ou superior). Isso garante que todo o tráfego entre o cliente e a Withings seja protegido em trânsito.
Conexões SSH
A Withings garante conexões SSH usando apenas SSH v2 e Ciphers de Criptografia reconhecidos pela indústria.
Conexão VPN
A Withings garante conexões VPN usando apenas cifras de criptografia robustas e reconhecidas pela indústria.
Backups
Todos os backups são criptografados, pelo menos uma vez, antes de serem transmitidos para uma área de armazenamento remoto. Quando possível, eles também são criptografados pela própria solução de armazenamento.
Informações sobre a disponibilidade
Withings fornece um sistema publicamente acessível página de status que inclui detalhes de disponibilidade do sistema, manutenção planejada, histórico de incidentes de serviço e eventos de segurança relevantes.
Redundância
Toda a infraestrutura física e de nuvem é redundante para minimizar o risco de inatividade e perda de dados. Em particular, os bancos de dados são configurados com replicação quase instantânea para garantir que, sob condições normais de operação, a perda completa do nó principal que recebe as gravações não resulte em perda de dados de mais de alguns segundos.
Objetivo de ponto de recuperação
A política de backup de TI da Withings garante um backup diário dos bancos de dados de produção.
Plano de recuperação de desastres
O plano de recuperação de desastres da Withings garante que a plataforma de produção possa ser totalmente recriada em caso de uma falha total do ambiente de produção. Todo o código, configurações e bancos de dados são armazenados em locais seguros e são independentes do ambiente de produção. A restauração completa da plataforma é realizada regularmente para fins de teste.
A equipe limitada que lida com dados na Withings Cloud é submetida a verificações regulares e treinamento contínuo sobre como mitigar os riscos envolvidos no processamento de dados pessoais.
Verificações de antecedentes e competências
A Withings realiza verificações de antecedentes em todos os novos funcionários de acordo com as leis locais. Essas verificações também são realizadas para contratados. As verificações de antecedentes podem incluir habilidades técnicas e gerais, empregos anteriores e verificações de antecedentes criminais, se necessário.
Acordo de confidencialidade
Todos os funcionários devem assinar acordos de confidencialidade e não divulgação. Este acordo de confidencialidade permanece válido após o término do contrato de trabalho.
Definição de funções e responsabilidades
A Withings garante que todas as funções e responsabilidades estão bem definidas e são compreendidas pelos indivíduos a quem são atribuídas.
Procedimento disciplinar
A Withings implementou procedimentos disciplinares em caso de violação das responsabilidades confiadas, com base em uma escala de sanções definida nos regulamentos internos.
Políticas de segurança
A Withings desenvolveu um conjunto abrangente de políticas de segurança que cobrem uma ampla gama de tópicos. Essas políticas são compartilhadas e disponibilizadas para todos os funcionários e subcontratados com acesso aos Sistemas de Informação da Withings.
Consciência sobre segurança da informação
Todos os funcionários passam por treinamento de conscientização sobre segurança, que está incluído no procedimento de contratação e é revisado anualmente. As regras básicas e as boas práticas também são relembradas regularmente nas instalações da Withings.
Treinamento de segurança
Todos os desenvolvedores são informados sobre os 10 principais riscos de segurança do OWASP por meio de treinamentos e guias de melhores práticas. Sessões de treinamento com especialistas externos também são organizadas para garantir um conhecimento profundo e a disseminação do código seguro. A equipe de segurança também fornece atualizações adicionais de conscientização sobre segurança via e-mail, postagens em blogs e apresentações em eventos internos.
Como uma empresa inovadora de IoT, garantimos que estamos sempre um passo à frente dos padrões atuais de proteção de dados. Isso é apoiado por auditorias internas e externas regulares.
Plano de auditoria interna
Todos os processos são auditados por equipes de auditoria interna ou por prestadores de serviços externos.
Revisão da gestão
As revisões de gestão garantem que a gestão revise sistematicamente o ISMS, avalie oportunidades de melhoria e decida sobre as medidas necessárias para garantir a relevância, adequação e eficácia do ISMS.
Auditorias técnicas
Além da gestão de vulnerabilidades, incluindo análise e teste, a Withings emprega especialistas em segurança de terceiros para realizar testes de penetração detalhados em várias aplicações da nossa linha de produtos. Auditorias técnicas externas são integradas ao Plano de Auditoria Anual da Withings.
Auditoria de certificação de conformidade
A Withings iniciou um processo de certificação através de uma entidade acreditada para garantir que o seu SGSI esteja em conformidade com os padrões internacionais reconhecidos pela indústria. O funcionamento adequado do SGSI é, portanto, avaliado anualmente por uma terceira parte independente e confiável.
Junte-se a milhões de usuários que estão melhorando sua saúde com a Withings. Inscreva-se para descobrir todo o ecossistema da Withings, nossos últimos produtos e ofertas exclusivas.
Ao se registrar, você concorda em receber e-mails publicitários da Withings. No entanto, se mudar de ideia, pode cancelar a inscrição a qualquer momento.
