Beveiliging

Beveiliging van de verwerking van persoonsgegevens

Doctena neemt de volgende technische en organisatorische veiligheidsmaatregelen om persoonsgegevens te beschermen:

  1. Toegewijd organisatorisch en persoonlijk management verantwoordelijk voor de ontwikkeling, uitvoering en handhaving van het informatie beveiligingsprogramma van Doctena.
  2. Audit- en risico beoordelingsprocedures om de risico's voor de Doctena-organisatie periodiek te evalueren en te beoordelen, om de naleving van het Doctena-beleid en de Doctena-procedures te controleren en te handhaven, en om de status van de informatiebeveiliging en de naleving ervan mee te delen aan het interne hogere management.
  3. Handhaven van het informatie beveiligingsbeleid en ervoor zorgen dat het beleid en de maatregelen regelmatig worden geëvalueerd en, indien nodig, verbeterd.
  4. Communicatie met Doctena toepassingen maakt gebruik van cryptografische protocollen zoals TLS om informatie in transit over openbare netwerken te beschermen. Aan de rand van het netwerk worden stateful firewalls, firewalls voor web toepassingen en DDoS-bescherming gebruikt om aanvallen uit te filteren.
  5. Beveiligingscontroles van gegevens, met inbegrip van een logische scheiding van gegevens, beperkte toegang en toezicht (bv. op basis van rollen) en, in voorkomend geval, het gebruik van in de handel verkrijgbare encryptie technologieën die aan de industrienormen voldoen.
  6. Logische toegangscontroles, ontworpen om de elektronische toegang tot gegevens en systeemfuncties te beheren volgens bevoegdheidsniveaus en functies (bv. toegang verlenen op basis van "need-to-know" en "least privilege", gebruik van unieke gebruikers-ID's en wachtwoorden voor alle gebruikers, periodieke controles, en onmiddellijke intrekking of wijziging van toegang bij beëindiging of wijziging van functie)
  7. Wachtwoordcontrole, ontworpen om de sterkte en het gebruik van wachtwoorden te beheren en te controleren, met inbegrip van een verbod voor gebruikers om wachtwoorden te delen.
  8. Systeem auditing of event logging en gerelateerde monitoring procedures om proactief gebruikerstoegang en systeemactiviteit vast te leggen voor routinebeoordelingens.
  9. Fysieke en omgevingsbeveiliging van het datacentrum, serverruimten en andere ruimten die vertrouwelijke klanteninformatie bevatten, ontworpen om: i) de informatiemiddelen te beschermen tegen ongeoorloofde fysieke toegang, ii) de bewegingen van personen naar en vanuit de datacenterfaciliteiten te beheren, te bewaken en te registreren, en iii) te waken tegen gevaren voor de omgeving, zoals hitte, brand en waterschade
  10. Operationele procedures en controles om te zorgen voor de configuratie, de bewaking en het onderhoud van technologie en informatiesystemen volgens voorgeschreven interne normen en goedgekeurde industriële normen.
  11. Procedures voor veranderingsbeheer en traceer mechanismen zijn ontworpen om alle veranderingen aan de technologie en informatiemiddelen van Doctena te testen, goed te keuren en te controleren.
  12. Procedures voor incident- en probleembeheer zijn ontworpen om Doctena in staat te stellen gebeurtenissen met betrekking tot de technologie en informatiemiddelen van Doctena te onderzoeken, te beperken, te rapporteren en erop te reageren.
  13. Netwerk beveiligingscontroles die het gebruik omvatten van bedrijfsfirewalls en gelaagde DMZ-architecturen, alsmede systemen voor inbraakdetectie en andere procedures voor de correlatie van verkeer en gebeurtenissen, bedoeld om systemen tegen inbraak te beschermen en de reikwijdte van een geslaagde aanval te beperken.
  14. Technologieën voor kwetsbaarheidsbeoordeling, patchbeheer en bescherming tegen bedreigingen, en geplande monitoring procedures die zijn ontworpen om geïdentificeerde veiligheidsbedreigingen, virussen en andere kwaadaardige code te identificeren, te beoordelen, te beperken en er bescherming tegen te bieden.
  15. In voorkomend geval, procedures voor veerkracht/bedrijfscontinuïteit en noodherstel, bedoeld om de dienstverlening in stand te houden en/of te herstellen in geval van te voorziene noodsituaties of rampen.
    

vc

Onze toewijding aan veiligheid


We nemen veiligheid en privacy zeer serieus bij Doctena. De privacy van onze klanten en hun patiënten is voor ons van het grootste belang en als bedrijf hebben we een aantal maatregelen genomen om ervoor te zorgen dat deze gegevens veilig zijn!

Beveiliging is niet alleen een woord voor ons, maar een concept dat dagelijks in bezit moet zijn van en uitgevoerd moet worden. Daarom pakken we de beveiliging vanuit meerdere invalshoeken aan.

Toegewijde mensen en verantwoordelijkheden


Doctena heeft een toegewijde Chief Information Security Officer (CISO) die een senior medewerker is met een Master’s degree in Security en een professionele achtergrond in computerbeveiliging. Zijn rol is ervoor te zorgen dat Security een dagelijks aandachtsgebied blijft. Dit doet hij door het implementeren van processen en technologieën en het coördineren van de verschillende teams en business units rondom Security. Hij rapporteert rechtstreeks aan onze Chief Information Officer (CIO) en ook aan onze Group Chief Executive Officer (CEO) om ervoor te zorgen dat de focus op beveiliging op het hoogste managementniveau begint.


Security by design

Wanneer we innoveren en werken aan nieuwe producten en functies, is het thema “Veiligheid” een van de eerste stappen op de checklist. Op die manier kunnen we er zeker van zijn dat we bij het ontwerp van onze producten rekening houden met de veiligheid en dat we de technologische en architecturale beslissingen nemen die leiden tot veilige implementaties.


Meervoudige veiligheidsinfrastructuur

We gebruiken verschillende industrie standaardoplossingen om onze platforms voortdurend te controleren en te beschermen tegen mogelijke veiligheidsproblemen:

- Een Web Applicatie Firewall, die onze eerste verdedigingslinie is tegen veel voorkomende bedreigingen zoals gedistribueerde denial of service aanvallen (DDOS) en kwaadaardige webverzoeken. Dit omvat ook het automatisch blokkeren van bekende slechte reputatiebronnen (bijv. dark web) op het internet.
- Een Automated Penetration Testing platform dat onze platformen regelmatig scant en onze ontwikkelingsteams op de hoogte brengt wanneer er een potentieel nieuw veiligheidsrisico is (bv. recent ontdekte kwetsbaarheid), zodat we onmiddellijk corrigerende maatregelen kunnen toepassen..
- Een Static Code Analysis platform dat een nog dieper niveau van veiligheid geeft door daadwerkelijk te kijken naar onze constant evoluerende code en door elk mogelijk ingangspunt in onze applicatie te evalueren. Het detecteert en meldt onze ontwikkelingsteams waar ze misschien iets gemist hebben.
- Met onze Software composition analysis tools kunnen we de externe dependencies (bibliotheken) die door onze code worden gebruikt, scannen op kwetsbaarheden.
- Een Intelligent Attack Prevention System dat normaal gedrag aanleert met behulp van AI en ons op de hoogte brengt zodra er verdachte, niet alledaagse, activiteit wordt gedetecteerd op het platform. Dergelijke veiligheidsrisico’s worden automatisch voorkomen door dit systeem en informeren ons veiligheidsteam over deze activiteiten voor vervolgacties.

Aan deze diensten hangt een prijskaartje en Doctena besteedt een aanzienlijk deel van haar IT-budget aan deze beveiligingstools omdat we begrijpen hoe belangrijk dit voor u is, maar ook voor het voortbestaan van ons bedrijf.


Pseudonimisering

- Er worden geen echte patiëntgegevens gebruikt in onze testomgevingen of op lokale ontwikkelaars.
- Onze business intelligence afdeling krijgt alleen toegang tot volledig geanonimiseerde gegevens.
- We sturen nooit e-mails met persoonlijke gegevens van patiënten. Waar persoonlijke gegevens per e-mail moeten worden verzonden, worden deze op een geanonimiseerde manier verzonden.


Geautomatiseerde beveiligingsupdates

Als onderdeel van ons continue implementatiesysteem nemen we wekelijks, en voor de meeste zelfs bijna dagelijks, de laatste beveiligingsupdates van al onze systemen op. Dit betekent dat zelfs zonder dat onze beveiligingsteams op de hoogte hoeven te zijn van nieuw uitgebrachte beveiligingspatches, worden deze automatisch opgenomen telkens als we een nieuwe versie van onze software online brengen.


Encryptie

- Al onze databases zijn in rust gecodeerd met het standaard 256 bit AES-algoritme.
- Wachtwoorden worden nooit in duidelijke tekst opgeslagen, maar op een onomkeerbare manier gehaspeld.
- Waar technisch mogelijk worden zeer gevoelige gegevens, zoals arts- en patiëntgegevens, bovendien versleuteld op database veldniveau.
- Alle laptops en computers van onze medewerkers zijn versleuteld en we handhaven strikte veiligheidsprotocollen met hen.
- De industriestandaard codering voor “data in transit” wordt toegepast in alle communicatie, zodat geen enkele derde persoon de communicatie tussen ons platform en de webbrowser van de gebruiker kan onderscheppen bij het gebruik van het platform.


Geïsoleerde omgevingen

We hebben vier compleet geïsoleerde omgevingen die elk hun eigen dedicated servers hebben met verschillende credentials per omgeving om ervoor te zorgen dat een potentiële inbreuk op een van hen, geen invloed heeft op de andere.


Testen – Gebruikt door de ontwikkeling om nieuwe code uit te proberen
Staging – Geïsoleerde omgeving die het meest lijkt op de productie als laatste stap voordat de code naar de productie wordt geduwd.
Productie – Sterk bewaakte omgeving waar slechts een beperkt aantal mensen toegang toe heeft
Demo – Identieke omgeving als productie, met alleen gegevens van potentiële klanten die het systeem willen testen.


Versie controle

Onze codebasis wordt volledig bijgehouden met een versiebeheersysteem en verschillende branches per omgeving. Dit is onderdeel van ons change management proces waardoor we duidelijk kunnen zien wie op welk moment welke code heeft toegevoegd. Elke nieuwe toevoeging aan de code wordt beoordeeld door een senior teamleider en triggert geautomatiseerde tests op onze meest voorkomende bedrijfslogica. Alleen projectleiders kunnen code implementeren in de productie- en demo-omgevingen.

infraascode

Noodherstel

Een belangrijk element van ons systeem voor continuïteit is het feit dat onze hele infrastructuur wordt gedefinieerd door code, in plaats van door handmatige configuratie. Dit stelt ons in staat om snel identieke omgevingen en server configuraties op te zetten, die geen ruimte laten voor handmatige fouten of beveiligingsfouten. Het stelt ons ook in staat om onze productieservers automatisch te schalen wanneer er meer prestaties nodig zijn, zonder de noodzaak van handmatige actie met mogelijke fouten.

HA

Hoge beschikbaarheid

Al onze applicatie-databases zijn opgezet met een hoge beschikbaarheid om ervoor te zorgen dat op elk moment alle gegevens zich in ten minste 2 geografisch geïsoleerde datacenters bevinden. Dagelijks wordt uit deze databases een automatische snapshot genomen voor disaster recovery in combinatie met een andere dagelijkse worst case disaster recovery kopie die wordt opgeslagen in een sterk beveiligde en versleutelde opslagoplossing in een ander datacenter. De webservers die onze diensten leveren zijn ook ingericht met een hoge beschikbaarheid.


Monitoring en alarmering

Alle belangrijke servers en resources worden gemonitord met geavanceerde tools die ons waarschuwen, meestal zelfs voordat er echt iets misgaat. Dit stelt ons infrastructuurteam in staat om snel de vereiste teams te informeren om te handelen


Veiligheidsaudits

Eenmaal per jaar worden onze platforms geaudit door een bekend IT-beveiligingsbedrijf dat ook grote en complexe banksystemen certificeert voor beveiliging en robuustheid. De resultaten van deze audits worden geanalyseerd en opgevolgd door onze IT-teams, zodat het auditbedrijf ons een certificaat kan afgeven dat onze hoge beveiligingsniveaus aantoont.


ISO27001

Om meer bewijs te leveren voor ons veiligheidsniveau werkt Doctena aan het behalen van de ISO27001-certificering. We hebben al een solide intern informatie beveiligingsmanagement-systeem geïmplementeerd dat intern strenge beleidslijnen en procedures oplegt, en we gaan binnenkort voor deze certificering om u een nog hoger niveau van vertrouwen in onze systemen te geven.

ISO/IEC 27001:2013 (ISO 27001) is de internationale standaard die de beste praktijken beschrijft voor een ISMS (information security management system). Het behalen van een geaccrediteerde certificatie voor ISO 27001 is het bewijs dat uw bedrijf de beste praktijken op het gebied van IT-beveiliging volgt. Het verschaft een onafhankelijke en deskundige controle dat de IT-beveiliging wordt beheerd in lijn met de internationale beste praktijken en bedrijfsdoelstellingen. ISO 27001 wordt ondersteund door zijn praktijkcode voor IT-beveiligingsbeheer, ISO/IEC 27002:2013


Track Record


Sinds haar oprichting heeft Doctena nooit met beveiligingslekken te maken gehad!