homedoctor dispone di certificato di conformità alla norma ISO 2700 e il suo Sistema di Gestione della Sicurezza delle Informazioni è stato certificato secondo lo Schema Nazionale di Sicurezza (ENS) in categoria MEDIA e in conformità con la normativa europea NIS2.

Acceda alla nostra Informativa sulla Sicurezza completa cliccando qui.

Inoltre, e in conformità con il Regolamento MDR (UE) 2017/745, implementiamo standard di sicurezza aggiuntivi per il nostro dispositivo medico (software) in base alle norme ISO 62304, ISO 82304 e ISO 14971.

Sviluppo di applicazioni web e mobili

In homedoctor siamo impegnati nella progettazione, creazione e manutenzione di sistemi sicuri, nonché nella gestione completa della sicurezza durante l'intero ciclo di vita del software.

• La nostra soluzione homedoctor Medisoft è classificata come Classe IIa ai sensi del regolamento (UE) 2017/745 e certificata con il numero 179/MDR dall'ente IMQ. Pertanto, è conforme ai più severi standard di sicurezza durante l'intero ciclo di vita del software in conformità con le norme ISO 62304 e ISO 82304, nonché ISO 14971.
• homedoctor dispone di licenza di fabbricazione di dispositivi medici (software) nonché licenza di importazione e/o raggruppamento n. Licenza: 7524-PS dell'Agenzia Spagnola del Farmaco e Prodotti Sanitari.
• La nostra applicazione è conforme alla norma ISO 13485 di gestione della qualità applicabile ai dispositivi medici, in tutto il ciclo di vita del software, per la quale è certificata dall'ente IMQ.
• Tutti gli sviluppi vengono periodicamente analizzati per verificare le vulnerabilità di sicurezza comuni, come il documento Top 10 di OWASP.
• Viene offerta formazione periodica sulle pratiche di codifica sicura. Tutti gli ingegneri devono partecipare alle sessioni di formazione.
• Il team di sicurezza di homedoctor verifica periodicamente l'uso della crittografia per l'archiviazione e la trasmissione di informazioni riservate.
• Tutte le applicazioni web e mobili sono sviluppate, testate, implementate e mantenute da un team interno di ingegneri a tempo pieno.

Sicurezza dei Sistemi

I sistemi di produzione di homedoctor sono ospitati su AWS, rispettando le più severe norme e buone pratiche di sicurezza applicabili.

• Fornitore di servizi di Livello 1 di PCI-DSS
• Certificato secondo la norma ISO 27001
• Revisioni e audit indipendenti
• SAS-70 Tipo II e SSAE16
• Sito di conformità PCI di AWS di Amazon
• Inoltre, homedoctor esegue periodicamente pentesting e audit di sicurezza per garantire la sicurezza e l'integrità dei sistemi.
• Tutti i sistemi di produzione dispongono di bilanciamento automatico del carico e auto-scaling, e sono segregati in reti e zone per la loro completa disponibilità.
• homedoctor dispone di Piani di Continuità e Contingenza che garantiscono una disponibilità del 98%.

Crittografia

homedoctor utilizza metodi di crittografia e procedure di gestione delle chiavi sicure per garantire la protezione delle tue informazioni riservate.

• È possibile accedere alle API e al sito web di homedoctor tramite il certificato SSL a 256 bit.
• homedoctor cerca di garantire che il minor numero possibile di dipendenti abbia accesso alle chiavi di crittografia.
• homedoctor dispone di una politica avanzata di controlli crittografici che viene valutata e testata da auditor esterni.
• I metodi di crittografia fanno parte dei test di penetrazione periodici che homedoctor esegue sui suoi sistemi e software.

Sicurezza dei fornitori

In conformità con il regolamento MDR (UE 2017/745), di cui disponiamo del certificato di conformità, validiamo ogni fornitore con requisiti di sicurezza rigorosi.

• Tutti i fornitori che archiviano o trattano dati considerati personali devono essere certificati secondo la norma ISO 27001 sulla Sicurezza delle Informazioni.
• Tutti i fornitori che archiviano o trattano dati considerati personali devono essere ubicati all'interno dell'Unione Europea, archiviare i dati al suo interno e non cederli a terzi, in conformità con il Regolamento sulla Protezione dei Dati (GDPR).
• I fornitori critici relativi alla disponibilità devono, inoltre, disporre di un Sistema di Gestione della Qualità (ISO13485 e/o ISO9001) e Piani di Sicurezza, Contingenza e Continuità allineati con la ISO27001.
• Tutti i fornitori critici relativi ai Dispositivi Medici devono disporre di un Sistema di Gestione della Qualità certificato secondo la norma ISO13485 in conformità con le normative europee MDR.
• Tutti i prodotti importati sono conformi alle normative e alla legalità vigenti nell'Unione Europea per quanto riguarda la marcatura CE e le normative applicabili.
• Tutti i fornitori sono stati verificati e controllati dai nostri specialisti della sicurezza per convalidare che soddisfano i requisiti.

Sicurezza dei pagamenti

homedoctor esegue il processo di pagamento tramite la piattaforma Stripe, che è conforme al Livello 1 di PCI-DSS 3.2.1 come Commerciante e come Fornitore di servizi.

• Un revisore certificato PCI ha valutato Stripe e li ha certificati con il PCI di livello 1 per i fornitori di servizi. Questo è il livello di certificazione più rigoroso disponibile nel settore dei pagamenti. Questo audit include l'archiviazione dei dati delle carte di Stripe (CDV) e lo sviluppo di software sicuro del loro codice di integrazione.
• I sistemi, i processi e i controlli di Stripe sono regolarmente verificati come parte dei programmi di conformità SOC 1 e SOC 2.
• Puoi ottenere maggiori informazioni sulla sicurezza di Stripe utilizzando questo link.

Privacy

homedoctor mantiene un programma di privacy completo. Per noi questo significa che, sebbene la legge o le normative ci obblighino a fare determinate cose, stiamo continuamente valutando se possiamo e dobbiamo fare di più.

• Non vendiamo le informazioni personali dei nostri clienti a terzi.
• Disponiamo di un team legale e di sicurezza completo che si occupa delle questioni di privacy e sicurezza.

Puoi trovare la nostra informativa sulla privacy su: www.homedoctor.es/politica-privacidad.

La nostra organizzazione

homedoctor ha adottato le misure appropriate per sondare i nostri dipendenti.

• Tutti i dipendenti sono sottoposti a verifiche di referenze, formazione e altre verifiche personali. Alcuni dipendenti sono anche sottoposti a verifiche dettagliate dei precedenti.
• homedoctor dispone di un programma di formazione sulla sicurezza delle informazioni che è conforme agli standard delle normative NIS2 e ENS, nonché alle norme ISO 27001.
• Nella nostra forza lavoro disponiamo di personale di sicurezza con conoscenze avanzate, nonché formazione specializzata in sicurezza, che lavora a tempo pieno.
• I dipendenti devono riconoscere per iscritto i loro ruoli e responsabilità per quanto riguarda la protezione dei dati e la privacy degli utenti.

Risposta agli incidenti

Sebbene facciamo del nostro meglio per prevenire violazioni o incidenti di sicurezza nei nostri sistemi, sappiamo che nessun sistema informatico è sicuro al 100%.

• homedoctor dispone di un Comitato di Sicurezza e Compliance che si occupa di gestire, valutare, indagare e risolvere gli incidenti di sicurezza, nonché la supervisione e il controllo del Sistema Integrato di Gestione che comprende tutte le norme applicabili.
• homedoctor dispone di un avanzato Piano di Continuità e di azione in caso di calamità, seguendo le buone pratiche delle norme ISO27001, ENS e altre norme applicabili (backup, piani alternativi, ridondanze...). Questo piano è convalidato e viene verificato periodicamente.
• In caso di violazione della sicurezza di un sistema informativo di homedoctor, disponiamo di un piano di risposta agli incidenti.
• Test periodici del piano di risposta.
• homedoctor monitora costantemente i suoi sistemi di sicurezza e i suoi avvisi.
• Tuttavia, se hai rilevato un'anomalia o un guasto, o semplicemente desideri maggiori informazioni sulla nostra sicurezza, puoi contattare security@homedoctor.es, dove risponderemo alle tue preoccupazioni.