A homedoctor possui certificado de conformidade com a norma ISO 27001 e o seu Sistema de Gestão da Segurança da Informação foi certificado ao abrigo do Esquema Nacional de Segurança (ENS) na categoria MÉDIA e em conformidade com a diretiva europeia NIS2.

Aceda à nossa Política de Segurança completa clicando aqui.

Adicionalmente, e em cumprimento do Regulamento MDR (UE) 2017/745, implementamos normas de segurança adicionais para o nosso dispositivo médico (software) ao abrigo das normas ISO 62304, ISO 82304 e ISO 14971.

Desenvolvimento de aplicações web e móveis

Na homedoctor, estamos empenhados na conceção, criação e manutenção de sistemas seguros, bem como na gestão completa da segurança ao longo de todo o ciclo de vida do software.

• A nossa solução homedoctor Medisoft está classificada como Classe IIa ao abrigo do regulamento (UE) 2017/745 e certificada com o número 179/MDR pela entidade IMQ. Consequentemente, cumpre os mais rigorosos padrões de segurança ao longo de todo o ciclo de vida do software, em conformidade com as normas ISO 62304 e ISO 82304, bem como a ISO 14971.
• A homedoctor possui licença de fabrico de dispositivos médicos (software), bem como licença de importação e/ou agrupamento n.º 7524-PS da Agência Espanhola do Medicamento e Produtos de Saúde.
• A nossa aplicação cumpre a norma ISO 13485 de gestão da qualidade aplicável a dispositivos médicos, em todo o ciclo de vida do software, da qual está certificada pela entidade IMQ.
• Todos os desenvolvimentos são periodicamente analisados para rever as vulnerabilidades de segurança habituais, como o documento Top 10 da OWASP.
• É oferecida formação periódica sobre Práticas de codificação segura. Todos os engenheiros devem participar nas sessões de formação.
• A equipa de segurança da homedoctor audita periodicamente a utilização de encriptação para o armazenamento e transmissão de informações confidenciais.
• Todas as aplicações web e móveis são desenvolvidas, testadas, implementadas e mantidas por uma equipa interna de engenheiros a tempo inteiro.

Segurança dos Sistemas

Os sistemas de produção da homedoctor estão alojados na AWS, cumprindo as mais rigorosas normas e boas práticas de segurança aplicáveis.

• Fornecedor de serviços de Nível 1 de PCI-DSS
• Certificado segundo a norma ISO 27001
• Revisões e auditorias independentes
• SAS-70 Tipo II e SSAE16
• Site de conformidade PCI da AWS da Amazon
• Adicionalmente, a homedoctor realiza pentestings e auditorias de segurança periódicas para garantir a segurança e integridade dos sistemas.
• Todos os sistemas de produção dispõem de balanceamento automático da carga e autoescalamento, e estão segregados em redes e zonas para sua completa disponibilidade.
• A homedoctor possui Planos de Continuidade e Contingência que garantem uma disponibilidade de 98%.

Encriptação

A homedoctor utiliza métodos de encriptação e procedimentos de gestão de chaves seguros para garantir a proteção da sua informação confidencial.

• É possível aceder às API e ao website da homedoctor através do certificado SSL de 256 bits.
• A homedoctor tenta que o menor número possível de funcionários tenha acesso às chaves de encriptação.
• A homedoctor dispõe de uma política avançada de controlos criptográficos que é avaliada e testada por auditores externos.
• Os métodos de encriptação fazem parte dos testes de penetração periódicos que a homedoctor realiza aos seus sistemas e software.

Segurança dos fornecedores

Em cumprimento do regulamento MDR (UE 2017/745), para o qual possuímos certificado de conformidade, validamos cada fornecedor com requisitos de segurança rigorosos.

• Todos os fornecedores que armazenam ou tratam qualquer dado considerado de caráter pessoal devem estar certificados ao abrigo da norma ISO 27001 de Segurança da Informação.
• Todos os fornecedores que armazenam ou tratam qualquer dado considerado de caráter pessoal devem estar localizados dentro da União Europeia, armazenar os dados dentro da mesma, e não os ceder a terceiros, em cumprimento do Regulamento Geral sobre a Proteção de Dados (RGPD).
• Os fornecedores críticos relacionados com a disponibilidade devem, além disso, dispor de um Sistema de Gestão da Qualidade (ISO13485 e/ou ISO9001) e Planos de Segurança, Contingência e Continuidade alinhados com a ISO27001.
• Todos os fornecedores críticos relacionados com Dispositivos Médicos devem dispor de um Sistema de Gestão da Qualidade certificado ao abrigo da norma ISO13485 em conformidade com as regulamentações europeias MDR.
• Todos os produtos importados cumprem com a regulamentação e legalidade vigentes na União Europeia relativamente à sua marcação CE e regulamentação aplicável.
• Todos os fornecedores foram verificados e auditados pelos nossos especialistas em segurança para validar que cumprem os requisitos.

Segurança dos pagamentos

A homedoctor realiza o processo de pagamento através da plataforma Stripe, que cumpre com o Nível 1 de PCI-DSS 3.2.1 como Comerciante e como Fornecedor de serviços.

• Um auditor certificado pela PCI avaliou a Stripe e certificou-a com o PCI de nível 1 para fornecedores de serviços. Este é o nível de certificação mais rigoroso disponível no setor dos pagamentos. Esta auditoria inclui o armazenamento de dados de cartões da Stripe (CDV) e o desenvolvimento de software seguro do seu código de integração.
• Os sistemas, processos e controlos da Stripe são auditados regularmente como parte de programas de conformidade SOC 1 e SOC 2.
• Pode obter mais informações sobre a segurança na Stripe utilizando este link.

Privacidade

A homedoctor mantém um programa de privacidade abrangente. Para nós, isto significa que, embora a lei ou as regulamentações nos obriguem a fazer determinadas coisas, estamos continuamente a avaliar se podemos e devemos fazer mais.

• Não vendemos as informações pessoais dos nossos clientes a terceiros.
• Contamos com uma equipa jurídica e de segurança completa que se ocupa das questões de privacidade e segurança.

Pode encontrar a nossa política de privacidade em: www.homedoctor.es/politica-privacidad.

A nossa organização

A homedoctor tomou as medidas apropriadas para verificar os nossos funcionários.

• Todos os funcionários são submetidos a verificações de referências, formação e outras verificações pessoais. Alguns funcionários também são submetidos a verificações detalhadas de antecedentes.
• A homedoctor possui um programa de formação em segurança da informação que cumpre os padrões das regulamentações NIS2 e ENS, bem como as normas ISO 27001.
• Contamos na nossa equipa com pessoal de segurança com conhecimentos avançados, bem como formação especializada em segurança, e que trabalha a tempo inteiro.
• Os funcionários devem reconhecer por escrito as suas funções e responsabilidades no que diz respeito à proteção dos dados e à privacidade dos utilizadores.

Resposta a incidentes

Embora façamos tudo o que está ao nosso alcance para evitar infrações ou incidentes de segurança nos nossos sistemas, sabemos que nenhum sistema informático é 100% seguro.

• A homedoctor dispõe de um Comité de Segurança e Conformidade que se encarrega de gerir, avaliar, investigar e resolver os incidentes de segurança, bem como a supervisão e controlo do Sistema Integrado de Gestão que abrange todas as normas aplicáveis.
• A homedoctor possui um avançado Plano de Continuidade e atuação em caso de catástrofes, seguindo as boas práticas das normas ISO27001, ENS e outras normas aplicáveis (cópias de segurança, planos alternativos, redundâncias...). Este plano é validado e verificado periodicamente.
• Em caso de infração de segurança num sistema de informação da homedoctor, contamos com um plano de resposta a incidentes.
• Testes periódicos do plano de resposta.
• A homedoctor monitoriza de forma permanente os seus sistemas de segurança e os seus alertas.
• No entanto, se detetou alguma anomalia ou falha, ou simplesmente pretende mais informações sobre a nossa segurança, pode contactar security@homedoctor.es, onde atenderemos às suas preocupações.