Beveiliging

Beveiligingsmaatregelen voor de verwerking van persoonsgegevens

Doctena neemt de volgende technische en organisatorische beveiligingsmaatregelen om persoonsgegevens te beschermen:

Security
  • 1

    Toegewijd organisatorisch en persoonlijk management dat verantwoordelijk is voor de ontwikkeling, de uitvoering en het onderhoud van het informatiebeveiligingsprogramma van Doctena.

  • 2

    Controleprocedures en evaluatie risicobeheer met het oog op de periodieke toetsing en beoordeling van risico’s voor de Doctena-organisatie, het toezicht op en de handhaving van het beleid en de procedures van Doctena, en de rapportage over de status van zijn informatiebeveiliging en naleving aan het interne hogere management.

  • 3

    Het informatiebeveiligingsbeleid handhaven en ervoor zorgen dat het beleid en de maatregelen regelmatig worden geëvalueerd en zo nodig verbeterd.

  • 4

    Communicatie met Doctena-toepassingen maakt gebruik van cryptografische protocollen zoals TLS om informatie in doorvoer over openbare netwerken te beschermen. Aan de rand van het netwerk worden stateful firewalls, web application firewalls en DDoS-bescherming gebruikt om aanvallen uit te filteren.

  • 5

    Gegevensbeveiligingscontroles die een logische scheiding van gegevens, beperkte toegang en toezicht (bijvoorbeeld per rol) en, in voorkomend geval, het gebruik van commercieel beschikbare, industriestandaard encryptietechnologieën omvatten.

  • 6

    Logische toegangscontrole voor het beheer van de elektronische toegang tot gegevens en systeemfuncties op basis van bevoegdheidsniveaus en functies (bijvoorbeeld toegang verlenen op basis van “need-to-know” en “least privilege”, gebruik van unieke gebruikers-ID’s en wachtwoorden voor alle gebruikers, periodieke controles en onmiddellijke intrekking of wijziging van de toegang bij beëindiging van het dienstverband of verandering van functie).

  • 7

    Wachtwoordcontrole om de sterkte en het gebruik van wachtwoorden te beheren en te controleren, inclusief het verbod voor gebruikers om wachtwoorden te delen.

  • 8

    Systeem auditing of event logging en gerelateerde monitoringprocedures om proactief gebruikerstoegang en systeemactiviteit te registreren voor routinecontrole.

  • 9

    Fysieke en omgevingsbeveiliging van het datacenter, serverruimten en andere ruimten die vertrouwelijke klantinformatie bevatten, ontworpen om : (i) informatiemiddelen beschermen tegen ongeoorloofde fysieke toegang, (ii) de bewegingen van personen die de datacenterfaciliteiten betreden en verlaten, beheren, controleren en registreren, en (iii) beschermen tegen milieurisico’s zoals hitte, brand en waterschade.

  • 10

    Operationele procedures en controles om de configuratie, het toezicht en het onderhoud van technologie en informatiesystemen te waarborgen overeenkomstig voorgeschreven interne normen en goedgekeurde industrienormen.

  • 11

    De procedures voor veranderingsbeheer en de mechanismen voor het volgen van veranderingen zijn bedoeld om alle veranderingen in de technologie en de informatiemiddelen van Doctena te testen, goed te keuren en te controleren.

  • 12

    Procedures voor incident- en probleembeheer zijn bedoeld om Doctena in staat te stellen gebeurtenissen in verband met de technologie en de informatiemiddelen van Doctena te onderzoeken, erop te reageren, te beperken en te rapporteren.

  • 13

    Netwerkbeveiligingscontroles die het gebruik van bedrijfsfirewalls en gelaagde DMZ-architecturen omvatten, alsmede inbraakdetectiesystemen en andere procedures voor de correlatie van verkeer en gebeurtenissen, bedoeld om systemen te beschermen tegen inbraak en de reikwijdte van succesvolle aanvallen te beperken.

  • 14

    technologieën voor kwetsbaarheidsbeoordeling, patchbeheer en bescherming tegen bedreigingen en geplande bewakingsprocedures voor het identificeren, beoordelen, beperken en beschermen tegen geïdentificeerde veiligheidsbedreigingen, virussen en andere kwaadaardige code.

  • 15

    Procedures voor veerkracht/bedrijfscontinuïteit en noodherstel, waar nodig, om de dienstverlening in stand te houden en/of te herstellen van voorzienbare noodsituaties of rampen.

Onze inzet voor veiligheid

Bij Doctena nemen we veiligheid en privacy zeer serieus. De vertrouwelijkheid van de gegevens van onze klanten en hun patiënten is voor ons van het grootste belang en als bedrijf hebben wij een reeks maatregelen getroffen om de veiligheid van deze gegevens te waarborgen.

Veiligheid is voor ons niet zomaar een woord, maar een concept dat dagelijks moet worden verzorgd en toegepast. Daarom benaderen wij veiligheid vanuit vele invalshoeken.

Toegewijde mensen en verantwoordelijkheden

Doctena heeft een Chief Information Security Officer (CISO) die een senior medewerker is met een master in beveiliging en professionele ervaring in IT-beveiliging. Haar taak is ervoor te zorgen dat veiligheid een dagelijkse zorg blijft. Zij doet dit door processen en technologieën in te voeren en de verschillende teams en bedrijfseenheden rond beveiliging te coördineren. Hij rapporteert rechtstreeks aan onze Chief Information Officer (CIO) en ook aan onze Group Chief Executive Officer (CEO), om ervoor te zorgen dat de focus ligt op veiligheid op het hoogste managementniveau.

Veiligheid door ontwerp

Telkens wanneer wij innoveren en werken aan nieuwe producten en functies, is veiligheid een van de eerste stappen op de checklist. Op die manier kunnen we er zeker van zijn dat we onze producten ontwerpen met veiligheid in gedachten en dat we de technologische en architecturale beslissingen nemen die leiden tot veilige implementaties.

Meerlagige beveiligingsinfrastructuur

Wij gebruiken verschillende bekende industriestandaardoplossingen om onze platforms voortdurend te controleren en te beschermen tegen mogelijke veiligheidsproblemen:

– Een firewall voor webtoepassingen, die onze eerste verdedigingslinie vormt tegen veel voorkomende bedreigingen zoals DDOS-aanvallen (Distributed Denial of Service) en kwaadaardige webverzoeken. Dit omvat ook het automatisch blokkeren van bekende bronnen van wantrouwen (bv. het dark web) op het internet.

– Een geautomatiseerd platform voor penetratietests dat regelmatig onze platforms scant en onze ontwikkelingsteams informeert wanneer een nieuw potentieel veiligheidsrisico opduikt (bv. een nieuw ontdekt lek), zodat wij onmiddellijk corrigerende maatregelen kunnen nemen.

– Een platform voor statische codeanalyse dat een nog hoger beveiligingsniveau biedt door onze voortdurend evoluerende code daadwerkelijk te onderzoeken en elk mogelijk toegangspunt tot onze toepassing te evalueren. Het detecteert en verwittigt onze ontwikkelingsteams waar ze misschien iets gemist hebben.

– Met onze analyse-instrumenten voor de samenstelling van software kunnen wij de externe afhankelijkheden (bibliotheken) die door onze code worden gebruikt, analyseren op kwetsbaarheden.

– Een intelligent aanvalspreventiesysteem dat normaal gedrag leert met behulp van AI en ons waarschuwt zodra ongebruikelijke, verdachte activiteiten op het platform worden gedetecteerd. Dit systeem waarschuwt automatisch voor dergelijke veiligheidsrisico’s en stelt ons beveiligingsteam op de hoogte van deze activiteiten, zodat er maatregelen kunnen worden genomen.

Deze diensten hebben een prijs, en Doctena besteedt een aanzienlijk deel van zijn IT-budget aan deze beveiligingstools omdat we begrijpen hoe belangrijk ze zijn voor u, maar ook voor het voortbestaan van ons bedrijf.

Pseudonimisering

Er worden geen echte patiëntgegevens gebruikt in onze testomgevingen of op apparaten van ontwikkelaars. pand.

Onze business intelligence afdeling heeft alleen toegang tot volledig anonieme gegevens.

Wij sturen nooit e-mails met persoonlijke gegevens van patiënten. Wanneer persoonsgegevens per e-mail moeten worden verzonden, gebeurt dat anoniem.

Geautomatiseerde beveiligingsupdates

Als onderdeel van ons continuous deployment systeem voegen wij wekelijks, en in veel gevallen bijna dagelijks, de laatste beveiligingsupdates toe aan al onze systemen. Dit betekent dat, hoewel onze beveiligingsteams niet op de hoogte hoeven te zijn van nieuwe beveiligingspatches, deze automatisch worden opgenomen wanneer wij een nieuwe versie van onze software uitrollen.

Encryptie

Al onze databases zijn in rust gecodeerd met het standaard 256-bit AES-algoritme.

Wachtwoorden worden nooit in klare tekst opgeslagen, maar onomkeerbaar gehashed

Waar technisch mogelijk worden zeer gevoelige gegevens, zoals aantekeningen van artsen en patiënten, ook op veldniveau van de databank gecodeerd.

Alle laptops en computers van onze medewerkers zijn versleuteld, en we passen er strikte veiligheidsprotocollen op toe.

In alle communicatie wordt een industriestandaardcodering voor “data in transit” toegepast, die ervoor zorgt dat derden de communicatie tussen ons platform en de webbrowser van de gebruiker bij gebruik van het platform niet kunnen onderscheppen.

Geïsoleerde omgevingen

Wij hebben vier volledig geïsoleerde omgevingen opgezet, elk met zijn eigen dedicated servers en verschillende identifiers per omgeving om ervoor te zorgen dat een mogelijke inbreuk in de ene omgeving geen gevolgen heeft voor de andere.

Test – Gebruikt door ontwikkeling om nieuwe code te testen

Staging – Geïsoleerde omgeving die het meest lijkt op productie als laatste stap voordat de code naar productie wordt gepushed.

Productie – Een zeer gecontroleerde omgeving waar slechts een beperkt aantal mensen toegang heeft tot

Demo – Dezelfde omgeving als productie, met alleen gegevens van potentiële klanten die het systeem willen testen.

Versiebeheer

Onze codebase wordt volledig gevolgd met een versiebeheersysteem en verschillende takken per omgeving. Dit maakt deel uit van ons wijzigingsbeheerproces, waardoor we duidelijk kunnen zien wie welke code op welk moment heeft toegevoegd. Elke nieuwe toevoeging aan de code wordt beoordeeld door een senior teamleider, en activeert geautomatiseerde tests op onze meest voorkomende bedrijfslogica. Alleen projectmanagers kunnen code inzetten in de productie- en demonstratieomgeving.

Hervatting van de activiteiten

Een belangrijk element van ons continuous deployment systeem is dat al onze infrastructuur wordt gedefinieerd door code, in plaats van handmatige configuratie. Dit stelt ons in staat om snel identieke omgevingen en serverconfiguraties op te zetten, waardoor er geen ruimte is voor handmatige fouten of beveiligingsfouten. Het stelt ons ook in staat om onze productieservers automatisch op te schalen wanneer grotere prestaties vereist zijn, zonder dat handmatige actie met mogelijke fouten nodig is.

Hoge beschikbaarheid

Al onze toepassingsdatabases zijn geïmplementeerd met hoge beschikbaarheid om ervoor te zorgen dat alle gegevens zich te allen tijde in ten minste 2 geografisch geïsoleerde datacentra bevinden. Elke dag wordt een automatische momentopname van deze databases gemaakt voor disaster recovery in combinatie met een andere dagelijkse worst-case disaster recovery kopie die wordt opgeslagen in een zeer veilige en versleutelde opslagoplossing in een ander datacenter. De webservers die onze diensten leveren zijn ook geconfigureerd met hoge beschikbaarheid.

Controle en waarschuwing

Alle belangrijke servers en resources worden bewaakt met geavanceerde tools die ons waarschuwen, meestal voordat er echt iets misgaat. Zo kan ons infrastructuurteam snel de nodige teams informeren om te handelen.

Veiligheidscontroles

Eenmaal per jaar worden onze platforms gecontroleerd door een erkend IT-beveiligingsbedrijf, dat ook grote en complexe banksystemen certificeert op hun veiligheid en veerkracht. De resultaten van deze controles worden geanalyseerd en in aanmerking genomen door onze IT-teams, zodat het controlerende bedrijf ons een certificaat kan afgeven dat ons hoge beveiligingsniveau aantoont.

ISO27001

Het verheugt ons te kunnen aankondigen dat Doctena in januari 2023 de ISO27001-certificering heeft behaald, wat onze inzet voor het handhaven van een hoog beveiligingsniveau voor onze klanten versterkt. Deze internationale erkenning getuigt van onze naleving van strenge normen voor informatiebeveiliging, waardoor de vertrouwelijkheid en integriteit van de gegevens van onze gebruikers wordt gewaarborgd.

Wilt u meer weten over de details van deze certificering, bezoek dan onze speciale pagina voor meer informatie.

Prestatiegeschiedenis

Sinds de oprichting heeft Doctena nog geen enkele beveiligingsinbreuk meegemaakt!