homedoctor dispose d'un certificat de conformité à la norme ISO 2700 et son Système de Gestion de la Sécurité de l'Information a été certifié selon le Schéma National de Sécurité (ENS) en catégorie MOYENNE et en conformité avec la réglementation européenne NIS2.

Accédez à notre Politique de Sécurité complète en cliquant ici.

De plus, et en conformité avec le Règlement MDR (UE) 2017/745, nous mettons en œuvre des normes de sécurité supplémentaires pour notre produit médical (logiciel) conformément aux normes ISO 62304, ISO 82304 et ISO 14971.

Développement d'applications web et mobiles

Chez homedoctor, nous nous engageons dans la conception, la création et la maintenance de systèmes sécurisés, ainsi que dans la gestion complète de la sécurité tout au long du cycle de vie du logiciel.

• Notre solution homedoctor Medisoft est classée comme Classe IIa en vertu du règlement (UE) 2017/745 et certifiée sous le numéro 179/MDR par l'entité IMQ. Par conséquent, elle respecte les normes de sécurité les plus strictes tout au long du cycle de vie du logiciel, conformément aux normes ISO 62304 et ISO 82304, ainsi qu'à la norme ISO 14971.
• homedoctor détient une licence de fabrication de dispositifs médicaux (logiciels) ainsi qu'une licence d'importation et/ou de regroupement N° Licence:7524-PS de l'Agence Espagnole du Médicament et des Produits de Santé.
• Notre application est conforme à la norme ISO 13485 de gestion de la qualité applicable aux dispositifs médicaux, tout au long du cycle de vie du logiciel, pour laquelle elle est certifiée par l'entité IMQ.
• Tous les développements sont analysés périodiquement pour vérifier les vulnérabilités de sécurité courantes, telles que le document Top 10 de l'OWASP.
• Des formations périodiques sur les pratiques de codage sécurisé sont proposées. Tous les ingénieurs doivent assister aux sessions de formation.
• L'équipe de sécurité de homedoctor audite périodiquement l'utilisation du chiffrement pour le stockage et la transmission d'informations confidentielles.
• Toutes les applications web et mobiles sont développées, testées, implémentées et maintenues par une équipe interne d'ingénieurs à temps plein.

Sécurité des Systèmes

Les systèmes de production de homedoctor sont hébergés sur AWS, respectant les normes de sécurité et les meilleures pratiques les plus strictes applicables.

• Fournisseur de services de Niveau 1 de PCI-DSS
• Certifié selon la norme ISO 27001
• Examens et audits indépendants
• SAS-70 Type II et SSAE16
• Site de conformité PCI d'AWS d'Amazon
• De plus, homedoctor réalise des tests d'intrusion et des audits de sécurité périodiques pour garantir la sécurité et l'intégrité des systèmes.
• Tous les systèmes de production disposent d'une répartition automatique de la charge et d'une mise à l'échelle automatique, et sont segmentés en réseaux et zones pour leur disponibilité complète.
• homedoctor dispose de Plans de Continuité et de Contingence qui garantissent une disponibilité de 98%.

Chiffrement

homedoctor utilise des méthodes de chiffrement et des procédures de gestion des clés sécurisées pour garantir la protection de vos informations confidentielles.

• Il est possible d'accéder aux API et au site web de homedoctor via le certificat SSL 256 bits.
• homedoctor s'efforce de faire en sorte qu'un minimum d'employés aient accès aux clés de chiffrement.
• homedoctor dispose d'une politique avancée de contrôles cryptographiques qui est évaluée et testée par des auditeurs externes.
• Les méthodes de chiffrement font partie des tests d'intrusion périodiques que homedoctor effectue sur ses systèmes et logiciels.

Sécurité des fournisseurs

Conformément au règlement MDR (UE 2017/745), dont nous détenons un certificat de conformité, nous validons chaque fournisseur selon des exigences de sécurité strictes.

• Tous les fournisseurs qui stockent ou traitent des données considérées comme personnelles doivent être certifiés selon la norme ISO 27001 de Sécurité de l'Information.
• Tous les fournisseurs qui stockent ou traitent des données considérées comme personnelles doivent être situés au sein de l'Union Européenne, stocker les données à l'intérieur de celle-ci, et ne pas les céder à des tiers, conformément au Règlement Général sur la Protection des Données (RGPD).
• Les fournisseurs critiques liés à la disponibilité doivent, en outre, disposer d'un Système de Gestion de la Qualité (ISO13485 et/ou ISO9001) et de Plans de Sécurité, de Contingence et de Continuité alignés sur l'ISO27001.
• Tous les fournisseurs critiques liés aux Dispositifs Médicaux doivent disposer d'un Système de Gestion de la Qualité certifié selon la norme ISO13485 en conformité avec la réglementation européenne MDR.
• Tous les produits importés sont conformes à la réglementation et à la législation en vigueur dans l'Union Européenne concernant leur marquage CE et la réglementation applicable.
• Tous les fournisseurs ont été vérifiés et audités par nos spécialistes en sécurité pour valider qu'ils respectent les exigences.

Sécurité des paiements

homedoctor réalise le processus de paiement via la plateforme Stripe, qui est conforme au Niveau 1 de PCI-DSS 3.2.1 en tant que Commerçant et en tant que Fournisseur de services.

• Un auditeur certifié par le PCI a évalué Stripe et les a certifiés avec le PCI de niveau 1 pour les fournisseurs de services. C'est le niveau de certification le plus strict disponible dans le secteur des paiements. Cet audit inclut le stockage des données de cartes de Stripe (CDV) et le développement de logiciels sécurisés de leur code d'intégration.
• Les systèmes, processus et contrôles de Stripe sont régulièrement audités dans le cadre des programmes de conformité SOC 1 et SOC 2.
• Vous pouvez obtenir plus d'informations sur la sécurité chez Stripe en utilisant ce lien.

Confidentialité

homedoctor maintient un programme de confidentialité complet. Pour nous, cela signifie que, bien que la loi ou les réglementations nous obligent à faire certaines choses, nous évaluons continuellement si nous pouvons et devons faire plus.

• Nous ne vendons pas les informations personnelles de nos clients à des tiers.
• Nous disposons d'une équipe juridique et de sécurité complète qui s'occupe des questions de confidentialité et de sécurité.

Vous pouvez trouver notre politique de confidentialité sur : www.homedoctor.es/politica-privacidad.

Notre organisation

homedoctor a pris les mesures appropriées pour sonder nos employés.

• Tous les employés sont soumis à des vérifications de références, de formation et d'autres vérifications personnelles. Certains employés sont également soumis à des vérifications approfondies des antécédents.
• homedoctor dispose d'un programme de formation à la sécurité de l'information qui est conforme aux normes des réglementations NIS2 et ENS, ainsi qu'aux normes ISO 27001.
• Nous avons dans notre équipe du personnel de sécurité avec des connaissances avancées, ainsi qu'une formation spécialisée en sécurité, et qui travaille à temps plein.
• Les employés doivent reconnaître par écrit leurs rôles et responsabilités concernant la protection des données et la confidentialité des utilisateurs.

Réponse aux incidents

Bien que nous fassions tout notre possible pour éviter les infractions ou incidents de sécurité dans nos systèmes, nous savons qu'aucun système informatique n'est sûr à 100%.

• homedoctor dispose d'un Comité de Sécurité et Conformité qui est chargé de gérer, évaluer, enquêter et résoudre les incidents de sécurité, ainsi que la supervision et le contrôle du Système Intégré de Gestion qui englobe toutes les normes applicables.
• homedoctor dispose d'un Plan de Continuité et d'action en cas de catastrophe avancé, suivant les bonnes pratiques des normes ISO27001, ENS et d'autres normes applicables (sauvegardes, plans alternatifs, redondances...). Ce plan est validé et vérifié périodiquement.
• En cas de violation de sécurité d'un système d'information de homedoctor, nous disposons d'un plan de réponse aux incidents.
• Tests périodiques du plan de réponse.
• homedoctor surveille en permanence ses systèmes de sécurité et ses alertes.
• Cependant, si vous avez détecté une anomalie ou une défaillance, ou si vous souhaitez simplement plus d'informations sur notre sécurité, vous pouvez contacter security@homedoctor.es, où nous répondrons à vos préoccupations.