Withings är engagerade i att upprätthålla en säker miljö som gör det möjligt för dig att använda våra produkter och tjänster. Vi skyddar dina personuppgifter genom att följa flera standarder (ISO 27001:2022, ISO 27701:2019 och HDS).
För att integrera datasekretess i våra produkter och tjänster strävar vi efter de högsta standarderna för skydd av personuppgifter.
HDS
Hälsodata Hosting — version 1.1 slutgiltig - maj 2018 för aktiviteter 1 till 6 i enlighet med certifieringsreferenssystemet tillhandahållet av ASIP Santé.
Inkluderar alla system, personer och processer som är involverade i design, utveckling, drift, validering och support av applikationer och tjänster som hostas av Withings, vilket inkluderar bearbetning eller avslöjande av personliga hälsodata.
Certifieringsreferensen inkluderar: NF ISO/IEC 27001:2017, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011, samt ytterligare krav.
Ladda nerISO 27001:2022
Withings tillhandahåller tjänsten av en värdleverantör i enlighet med kraven i International Organization for Standardization 27001:2022 standarder.
Det inkluderar alla system, personer och processer som är involverade i design, utveckling, drift, validering och support av applikationer och tjänster som är värd för Withings och särskilt bearbetning av personliga hälsodata.
Ladda nerISO 27701:2019
Withings visar sin förmåga att följa den senaste standarden när det gäller integritetsskydd över hela världen (såsom GDPR). För att göra detta revideras interna processer kontinuerligt för att säkerställa att integritetsskydd beaktas vid varje steg av de aktiviteter (interna eller externa) som genomförs av Withings.
Ladda nerGDPR
Allmän dataskyddsförordning — Europeiska unionen 2016/679 av Europaparlamentet och rådet av den 27 april 2016 om skydd av enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
HIPAA
Lagen om bärbarhet och ansvarsskyldighet för sjukförsäkring från 1996. Standard som reglerar hosting av personliga hälsodata.
Inkluderar alla system, personer och processer som är involverade i design, utveckling, drift, validering och support av applikationer och tjänster som är värd på Withings Medical Clouds, vilka inkluderar behandling eller avslöjande av personliga hälsodata.
Ladda nerVi levererar, underhåller och hanterar dataskydd i våra applikationer, tjänster och produkter i alla skeden av deras livscykel.
Ramverkets säkerhetskontroller
Withings förlitar sig på moderna säkerhetskontrolltekniker för att begränsa exponeringen för de 10 främsta OWASP-säkerhetsriskerna. Dessa inneboende kontroller minskar vår exponering för SQL-injektion (SQLi), Cross Site Scripting (XSS) och Cross Site Request Forgery (CSRF), bland andra.
Agil organisation, kodgranskning och testning
Alla utvecklingsaktiviteter organiseras med hjälp av AGILE-metoden, med etablering av sprintar och prioritering av uppgifter med Produktledningsteamet. Alla sprintar är historiserade. Utvecklare kommer att utföra enhetstester, funktionella integrationstester och säkerhetstester. Funktioner granskas av säkerhetsteamet och utvärderas genom kollegial granskning innan distribution.
Programvarukvalitetsgaranti
Avdelningen för programvarukvalitetssäkring testar tjänster och applikationer innan de går i produktion (manuella och automatiska tester).
Miljöavskiljningar och testdata
Utvecklings- och testmiljöerna är logiskt åtskilda från produktionsmiljön. Inga personliga produktionsdata används i våra utvecklings- eller testmiljöer.
Kodgranskning
Withings använder tredjeparts säkerhetsverktyg för att analysera all kod mot stora säkerhetsrisker före produktion. Sårbarheter som kan orsaka säkerhetsbrott korrigeras och/eller planeras obligatoriskt i en kontinuerlig förbättringscykel.
Automatisk kodtestning
Koden testas automatiskt med fördefinierade testscenarier för att säkerställa att ändringar inte resulterar i någon förlust eller nedbrytning av säkerheten. Tester utförs på virtuella maskiner med en begränsad livslängd och är helt separerade från produktionen.
Tredjeparts penetrationstest
Förutom hantering av sårbarheter, inklusive analys och testning, anlitar Withings tredjepartssäkerhetsexperter för att utföra penetreringstester på olika applikationer i vårt produktsortiment. Dessutom har Withings öppnat bug bounty-program med en partner för att låta etiska hackare kontinuerligt testa våra system och rapportera sårbarheter.
Lösenordspolicy
Withings kräver användning av ett starkt lösenord och följer internationella rekommendationer vad gäller robusthet. Denna policy gäller alla användare av Withings-applikationen.
Tvåfaktorautentisering
Lagring av autentiseringsdata
Withings visar aldrig autentiseringsdata i klartext i sina applikationer eller tjänster.
API – autentisering av tredjepartsapplikationer
Withings API använder OAuth 2.0-metoden för att autentisera tredjepartsapplikationer. Varje applikation har ett unikt och robust klient-id samt en hemlighet. Anslutningsdata säkras sedan med utgående tokens som klienten måste regenerera från Withings.
De flesta Withings-applikationer och tjänster är föremål för åtkomstkontroller baserade på roller med fördefinierade privilegier, vilket möjliggör kontrollerad användning och åtkomst till data.
All kommunikation över det offentliga nätverket är krypterad med HTTPS/TLS industristandarder (TLS 1.2 eller högre).
Kategorisering av förändringar
Withings har definierat förändringskategorier, vilket möjliggör uppföljning anpassad till typen av förändring. Detta tillåter stark reaktivitet, samtidigt som det säkerställer att konsekvenserna bedöms korrekt.
Ändringsprocedur
Withings har definierat en förändringshanteringsprocedur beroende på kategori, som kan inkludera: en ändringsbegäran, utnämning av en ändringskommitté, säkerhetsriskanalys, planering, genomförande av ändringen eller modifiering av kontinuitets- eller återhämtningsplanen.
Eftersom dataskydd är en del av hur vi tar hand om våra användare, använder vi de bästa säkerhetslösningarna för att skydda personuppgifter.
Fysiska anläggningar
För B2C-aktiviteter och B2B-aktiviteter i Europa, värd Withings sina servrar tack vare BSO i datacenter belägna i Frankrike. För att säkerställa 24/7-drift och ständig tillgänglighet av tjänster är BSO-datacenter utrustade med redundanta strömsystem och är föremål för miljökontroller.
För B2B-aktiviteter i USA värd Withings sina servrar tack vare GCP i datacenter belägna i USA. För att säkerställa drift dygnet runt och ständig tillgänglighet av tjänster är Googles datacenter utrustade med redundanta kraftsystem och utsatta för miljökontroller.
Säkerhet på plats
BSO:s och GCP:s datacenter är utformade med en flerskikts säkerhetsmodell som inkluderar skräddarsydda elektroniska åtkomstkort, larm, barriärer för fordonsåtkomstkontroll, säkerhetsstängsel, metalldetektorer och biometriska teknologier. Varje datacenter är också utrustat med ett intrångsdetekteringssystem med laserstråle. Datacentren övervakas dygnet runt, alla dagar i veckan, med hjälp av högupplösta inomhus- och utomhuskameror som kan upptäcka och spåra inkräktare.
Plats för datahosting
På begäran kan kunden begära att regionalisera bearbetningen av sina data till en tillgänglig plats för MED·PRO-tjänster. Withings respekterar kundens val och informerar kunder om en eller flera tjänster inte kan regionaliseras.
Skydd
Withings nätverk skyddas av flera säkerhetstjänster (DMZ, Åtkomstkontrollista, brandväggar, anti-malware, TLS, IPSec VPN...).
Arkitektur
Vår nätverkssäkerhetsarkitektur består av flera lager av säkerhet, var och en replikerad i flera tillgänglighetszoner. DMZ:er används för områden som är exponerade för det offentliga nätverket. Varje lager skyddas via brandväggar.
Infrastrukturens sårbarhetsanalys
Analysen av infrastrukturens säkerhet via automatiserade skanningar ger djupgående information för snabb identifiering av icke-kompatibla eller potentiellt sårbara system.
Logistisk åtkomst
Åtkomst till produktionsmiljön är strikt begränsad till systemadministratörer. Alla åtkomster kontrolleras och registreras i skyddade loggar. De analyseras och granskas automatiskt av en säkerhetsingenjör oberoende av systemadministratörerna. Systemadministratörer som får åtkomst till produktionsplattformen måste använda flera personliga och robusta autentiseringsfaktorer.
Säkerhetskopior
Withings har implementerat en säkerhetskopieringspolicy för alla produktionssystem och miljöer, inklusive databaser, GIT-kataloger, virtuella maskindiskar och dokumentdelningsservrar. Säkerhetskopior utförs och testas regelbundet enligt deras kritiskhetsnivå. Säkerhetskopior krypteras sedan innan de överförs till säker lagring. Endast systemadministratörer har tillgång till säkerhetskopior.
Händelseloggning
Withings har infört en loggningspolicy för händelser, inklusive systemadministrationsloggar, som inte kan avaktiveras. Aktiviteter på alla Withings-system och applikationer loggas också. Loggarna analyseras sedan av automatiska algoritmer för att upptäcka misstänkta eller skadliga aktiviteter.
Hantering av säkerhetsincidenter
Ett kontinuerligt varningssystem möjliggör ständig övervakning av säkerhetsincidenter och deras lösning av systemadministratörer på kortast möjliga tid. Anställda utbildas i processer för att hantera säkerhetsincidenter, inklusive hantering av kommunikationskanaler och eskaleringsvägar.
Kryptering av lagrad data
Withings använder kryptering på låg nivå. Krypteringen kommer att ha en robusthet på minst AES-256 eller motsvarande.
Kryptering av databaser
Information i databaser är krypterad enligt dess klassificering i dataregistret.
Kommunikationskryptering
På offentliga nätverk är all kommunikation med Withings användargränssnitt och API: er krypterad med hjälp av HTTPS / TLS-standarden (TLS 1.2 eller högre). Detta säkerställer att all trafik mellan klienten och Withings är säker under överföring.
SSH-anslutningar
Withings garanterar SSH-anslutningar som endast använder SSH v2 och branschigenkända krypteringsciffer.
VPN-anslutning
Withings garanterar VPN-anslutningar med endast branschigenkända och robusta krypteringschiffer.
Säkerhetskopior
Alla säkerhetskopior är krypterade minst en gång innan de överförs till ett fjärrlagringsområde. Där det är möjligt krypteras de också av själva lagringslösningen.
Information om tillgänglighet
Withings tillhandahåller ett system som är tillgängligt för allmänheten statussida som inkluderar systemtillgänglighetsdetaljer, planerat underhåll, serviceincidenthistorik och relevanta säkerhetshändelser.
Redundans
Hela den fysiska och molninfrastrukturen är redundant för att minimera risken för driftstopp och dataförlust. Databaserna är i synnerhet konfigurerade med nästan omedelbar replikering för att säkerställa att, under normala driftförhållanden, den fullständiga förlusten av huvudnoden som tar emot skrivningarna inte resulterar i dataförlust på mer än några sekunder.
Återställningspunktsmål
Withings IT-säkerhetskopieringspolicy säkerställer en daglig säkerhetskopiering av produktionsdatabaserna.
Katastrofåterställningsplan
Withings katastrofåterhämtningsplan säkerställer att produktionsplattformen kan återskapas helt vid en total funktionsfel i produktionsmiljön. All kod, konfigurationer och databaser lagras på säkra platser och är oberoende av produktionsmiljön. Återställning av hela plattformen utförs regelbundet för teständamål.
Den begränsade personal som hanterar data i Withings Cloud genomgår regelbundna kontroller och kontinuerlig utbildning för att minska riskerna som är förknippade med hantering av personuppgifter.
Bakgrunds- och kompetenskontroller
Withings genomför bakgrundskontroller på alla nya anställda i enlighet med lokala lagar. Dessa kontroller utförs också för entreprenörer. Bakgrundskontroller kan omfatta tekniska och allmänna färdigheter, tidigare anställningar och brottsregisterkontroller om det behövs.
Sekretessavtal
Alla anställda måste underteckna sekretess- och tystnadspliktavtal. Detta sekretessavtal förblir giltigt även efter anställningsavtalets slut.
Definition av roller och ansvar
Withings säkerställer att alla roller och ansvarsområden är väl definierade och förstås av de personer som har tilldelats dem.
Disciplinär procedur
Withings har infört disciplinära åtgärder vid brott mot anförtrodda ansvar, baserade på en skala av sanktioner definierade i de interna reglerna.
Säkerhetspolicy
Withings har utvecklat en omfattande uppsättning säkerhetspolicyer som täcker ett brett spektrum av ämnen. Dessa policyer delas och görs tillgängliga för alla anställda och underentreprenörer med tillgång till Withings informationssystem.
Informationssäkerhetsmedvetenhet
Alla anställda genomgår säkerhetsmedvetenhetsträning som ingår i anställningsförfarandet och granskas årligen därefter. De grundläggande reglerna och goda praxis påminns också regelbundet på Withings lokaler.
Säkerhetsträning
Alla utvecklare informeras om de 10 främsta OWASP-säkerhetsriskerna genom utbildning och bästa praxisguider. Utbildningssessioner med externa experter organiseras också för att säkerställa djupgående kunskap och spridning av säker kod. Säkerhetsteamet tillhandahåller också ytterligare uppdateringar om säkerhetsmedvetenhet via e-post, blogginlägg och presentationer vid interna evenemang.
Som ett innovativt IoT-företag ser vi till att vi alltid ligger steget före de nuvarande dataskyddsstandarderna. Detta stöds av regelbundna interna och externa revisioner.
Intern revisionsplan
Alla processer granskas av interna revisionsteam eller av externa tjänsteleverantörer.
Översyn av ledningen
Ledningens granskningar säkerställer att ledningen systematiskt granskar ISMS, bedömer förbättringsmöjligheter och beslutar om nödvändiga åtgärder för att säkerställa relevansen, lämpligheten och effektiviteten hos ISMS.
Tekniska granskningar
Utöver hantering av sårbarheter, inklusive analys och testning, använder Withings säkerhetsexperter från tredje part för att utföra detaljerade penetrationstester på olika applikationer i vår produktlinje. Externa tekniska revisioner är integrerade i Withings årliga revisionsplan.
Efterlevnadsrevision för certifiering
Withings har påbörjat en certifieringsprocess genom ett ackrediterat organ för att säkerställa att deras ISMS uppfyller internationella standarder som erkänns av branschen. ISMS:s korrekta funktion bedöms därför årligen av en oberoende, pålitlig tredje part.
på din första beställning genom att registrera dig
By registering, you agree to receive advertising e-mails from Withings. However, if you change your mind, you can unsubscribe at any time. *The discount is valid for any purchase (except BeamO and U-Scan Nutrio) of at least €100 for 30 days after reception of the code. Only valid on withings.com, and while supplies last. This offer is only valid for first-time purchases. These offers cannot be combined.
