Henkilötietojen suojaaminen on meille äärimmäisen tärkeää, ja varmistamme turvallisuuden jokaisessa vaiheessa.

Tietoturva

Withings on sitoutunut ylläpitämään turvallista ympäristöä, jonka avulla voit käyttää tuotteitamme ja palveluitamme. Suojaamme henkilötietojasi noudattamalla useita standardeja (ISO 27001:2022, ISO 27701:2019 ja HDS).

Sertifikaatit ja Standardit

Sisällyttääksemme tietosuojan tuotteisiimme ja palveluihimme pyrimme saavuttamaan korkeimmat standardit henkilötietojen suojaamisessa.

Sertifikaatit

HDS

HDS Certification

Terveyden Tietojen Isännöinti — versio 1.1 lopullinen - toukokuu 2018 toiminnoille 1–6 ASIP Santén tarjoaman sertifiointiviitejärjestelmän mukaisesti.

Sisältää kaikki järjestelmät, ihmiset ja prosessit, jotka liittyvät Withingsin isännöimien sovellusten ja palvelujen suunnitteluun, kehittämiseen, toimintaan, validointiin ja tukeen, mukaan lukien henkilön terveystietojen käsittely tai paljastaminen.

Sertifiointiviite sisältää: NF ISO/IEC 27001:2017, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011 sekä lisävaatimukset.

Lataa

ISO 27001:2022

ISO_27001

Withings tarjoaa isännöintipalvelua kansainvälisen standardisoimisjärjestön 27001:2022 -standardien vaatimusten mukaisesti.

Se sisältää kaikki järjestelmät, ihmiset ja prosessit, jotka liittyvät Withingsin isännöimien sovellusten ja palvelujen suunnitteluun, kehittämiseen, toimintaan, validointiin ja tukeen, erityisesti henkilökohtaisten terveysdatan käsittelyyn.

Lataa

ISO 27701:2019

ISO_27701

Withings osoittaa kykynsä noudattaa uusimpia tietosuojaa koskevia standardeja maailmanlaajuisesti (kuten GDPR). Tätä varten sisäisiä prosesseja tarkastetaan jatkuvasti sen varmistamiseksi, että tietosuojan suojaaminen otetaan huomioon jokaisessa Withingsin suorittamassa toiminnassa (sisäisessä tai ulkoisessa).

Lataa

Standardit

GDPR

GDPR

Yleinen tietosuoja-asetus — Euroopan unioni 2016/679 Euroopan parlamentin ja neuvoston 27. huhtikuuta 2016 antama asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyn yhteydessä ja näiden tietojen vapaasta liikkuvuudesta.

HIPAA

HIPAA

Vuoden 1996 sairausvakuutuksen siirrettävyyttä ja vastuullisuutta koskeva laki. Standardi, joka säätelee henkilökohtaisten terveystietojen isännöintiä.

Sisältää kaikki järjestelmät, ihmiset ja prosessit, jotka liittyvät Withings Medical Clouds -alustalla isännöityjen sovellusten ja palveluiden suunnitteluun, kehittämiseen, käyttöönottoon, validointiin ja tukeen, mukaan lukien henkilökohtaisten terveystietojen käsittely tai paljastaminen.

Lataa

Palveluiden ja sovellusten turvallisuus

Toimitamme, ylläpidämme ja hallinnoimme tietosuojaa sovelluksissamme, palveluissamme ja tuotteissamme niiden elinkaaren kaikissa vaiheissa.

Turvallinen kehitys

Puitteen turvallisuusohjaimet

Withings käyttää moderneja turvavalvontatekniikoita rajoittaakseen altistumista OWASP:n kymmenelle suurimmalle turvallisuusriskille. Nämä luontaiset kontrollit vähentävät altistumistamme SQL-injektiolle (SQLi), Cross Site Scriptingille (XSS) ja Cross Site Request Forgerylle (CSRF), muiden muassa.

Ketterä organisaatio, koodikatselmointi ja testaus

Kaikki kehitystoiminnot on järjestetty AGILE-menetelmää käyttäen, säännöllisten sprinttien ja tehtävien priorisoinnin avulla yhdessä Tuotehallintatiimin kanssa. Kaikki sprintit historiallistetaan. Kehittäjät suorittavat yksikkötestejä, toiminnallisia integraatiotestejä ja turvallisuustestejä. Ominaisuudet tarkistetaan Turvatiimin toimesta ja arvioidaan vertaisarviointien kautta ennen käyttöönottoa.

Ohjelmiston Laadunvarmistus

Ohjelmistojen laadunvarmistusosasto testaa palveluja ja sovelluksia ennen tuotantoon siirtymistä (manuaaliset ja automaattiset testit).

Ympäristöjen erottelut ja testidata

Kehitys- ja testausympäristöt ovat loogisesti erillään tuotantoympäristöstä. Henkilökohtaisia tuotantotietoja ei käytetä kehitys- tai testausympäristöissä.

Haavoittuvuuksien hallinta

Kooditarkastus

Withings käyttää kolmannen osapuolen tietoturvatyökaluja analysoidakseen kaiken koodin suuria tietoturvariskejä vastaan ennen tuotantoa. Haavoittuvuudet, jotka voivat aiheuttaa tietoturvaloukkauksia, korjataan ja/tai suunnitellaan pakollisesti jatkuvan parantamisen syklissä.

Automaattinen koodin testaus

Koodi testataan automaattisesti ennalta määritetyillä testiskenaarioilla varmistaaksemme, että muutokset eivät johda turvallisuuden heikkenemiseen tai menetykseen. Testit suoritetaan virtuaalikoneilla, joilla on rajoitettu elinkaari, ja ne ovat täysin erillään tuotannosta.

Kolmannen osapuolen tunkeutumistestaus

Haavoittuvuuksien hallinnan, mukaan lukien analyysin ja testauksen, lisäksi Withings käyttää kolmannen osapuolen tietoturva-asiantuntijoita suorittamaan tunkeutumistestausta eri sovelluksiin tuotevalikoimassamme. Lisäksi Withings on avannut bugipalkkio-ohjelmia kumppanin kanssa, jotta eettiset hakkereet voivat jatkuvasti testata järjestelmiämme ja raportoida haavoittuvuuksista.

Todennuksen turvallisuus

Salasanakäytäntö

Withings vaatii vahvan salasanan käyttöä ja noudattaa kansainvälisiä suosituksia vahvuuden suhteen. Tämä käytäntö koskee kaikkia Withings-sovelluksen käyttäjiä.

Kaksivaiheinen todennus

Voit aktivoida Kaksivaiheisen Tunnistautumisen vahvistaaksesi tilisi turvallisuutta. (iOS/Android)

Todennustietojen tallennus

Withings ei koskaan näytä selväkielistä todennustietoa sovelluksissaan tai palveluissaan.

API – kolmannen osapuolen sovellusten todennus

Withings API käyttää OAuth 2.0 -menetelmää kolmansien osapuolten sovellusten todennukseen. Jokaisella sovelluksella on ainutlaatuinen ja vahva asiakastunnus sekä salaisuus. Yhteystiedot suojataan vanhenevilla tunnuksilla, jotka asiakkaan on uudistettava Withingsiltä.

Roolipohjaiset käyttöoikeudet

Suurin osa Withings-sovelluksista ja -palveluista on roolipohjaisten käyttöoikeusvalvontojen alaisia, mikä mahdollistaa valvotun käytön ja pääsyn tietoihin.

Tietojen suojaaminen siirron aikana

Kaikki julkisen verkon kautta tapahtuva viestintä on salattu HTTPS/TLS-teollisuusstandardien mukaisesti (TLS 1.2 tai uudempi).

Muutoshallinta

Muutosten luokittelu

Withings on määritellyt muutosten kategoriat, mikä mahdollistaa muutostyypin mukaisen seurannan. Tämä mahdollistaa vahvan reagoinnin, samalla kun varmistetaan, että vaikutukset arvioidaan asianmukaisesti.

Muutosmenettely

Withings on määritellyt muutoksenhallintamenettelyn, joka riippuu kategoriasta ja voi sisältää: muutospyynnön, muutostoimikunnan nimittämisen, turvallisuusriskiarvion, suunnittelun, muutoksen toteuttamisen tai jatkuvuus- tai palautussuunnitelman muutoksen.

Infrastruktuurin suojaus

Koska tietojen suojaus on osa sitä, miten huolehdimme käyttäjistämme, käytämme parhaita tietoturvaratkaisuja henkilötietojen suojaamiseen.

Fyysinen datakeskuksen turvallisuus

Fyysiset tilat

Euroopassa tapahtuvia B2C- ja B2B-toimintoja varten Withings ylläpitää palvelimiaan BSO:n ansiosta Ranskassa sijaitsevissa datakeskuksissa. Jatkuvan toiminnan ja palvelujen saatavuuden varmistamiseksi BSO:n datakeskukset on varustettu redundanttisilla virtajärjestelmillä ja ne ovat ympäristövalvonnan alaisia.

Yhdysvalloissa tapahtuvaa B2B-toimintaa varten Withings isännöi palvelimiaan GCP:n ansiosta Yhdysvalloissa sijaitsevissa datakeskuksissa. Varmistaakseen 24/7-toiminnan ja palvelujen jatkuvan saatavuuden Googlen datakeskukset on varustettu redundanttisilla virtajärjestelmillä ja ovat ympäristövalvonnan alaisia.

Paikan päällä oleva turvallisuus

BSO:n ja GCP:n datakeskukset on suunniteltu monikerroksisella turvallisuusmallilla, joka sisältää räätälöidyt elektroniset kulkukortit, hälytykset, ajoneuvojen pääsynvalvontaesteet, turva-aidat, metallinpaljastimet ja biometriset teknologiat. Jokainen datakeskus on myös varustettu lasersäteen tunkeutumisen ilmaisujärjestelmällä. Datakeskuksia valvotaan 24 tuntia vuorokaudessa, 7 päivää viikossa käyttämällä korkean resoluution sisä- ja ulkokameroita, jotka voivat havaita ja seurata tunkeilijoita.

Tietojen isännöinnin sijainti

Pyynnöstä asiakas voi pyytää tietojensa käsittelyn alueellistamista saatavilla olevaan MED·PRO-palveluiden sijaintiin. Withings kunnioittaa asiakkaan valintaa ja tiedottaa asiakkaita, jos yksi tai useampi palvelu ei ole alueellistettavissa.

Verkkojen turvallisuus

Suojaus

Withings-verkko on suojattu useilla tietoturvapalveluilla (DMZ, pääsynvalvontalista, palomuurit, haittaohjelmien torjunta, TLS, IPSec VPN...).

Arkkitehtuuri

Verkkoturvallisuusarkkitehtuurimme koostuu useista suojakerroksista, jotka on replikoitu useisiin saatavuusalueisiin. DMZ:tä käytetään alueille, jotka ovat alttiina julkiselle verkolle. Jokaista kerrosta suojataan palomuureilla.

Infrastruktuurin haavoittuvuusanalyysi

Infrastruktuurin turvallisuuden analyysi automatisoitujen skannausten avulla tarjoaa syvällistä tietoa ei-yhteensopivien tai mahdollisesti haavoittuvien järjestelmien nopeaan tunnistamiseen.

Logistinen pääsy

Tuotantoympäristön käyttö on rajoitettu tiukasti järjestelmänvalvojille. Kaikki pääsyt valvotaan ja kirjataan suojattuihin lokeihin. Ne analysoidaan ja tarkastetaan automaattisesti tietoturva-asiantuntijan toimesta, joka on riippumaton järjestelmänvalvojista. Tuotantoalustalle pääsyä hakevien järjestelmänvalvojien on käytettävä useita henkilökohtaisia ja vahvoja todennusmenetelmiä.

Varmuuskopiot

Withings on ottanut käyttöön varmuuskopiointikäytännön kaikille tuotantojärjestelmille ja -ympäristöille, mukaan lukien tietokannat, GIT-hakemistot, virtuaalikoneiden levyt ja asiakirjojen jakopalvelimet. Varmuuskopiot suoritetaan ja testataan säännöllisesti niiden kriittisyystason mukaan. Varmuuskopiot salataan ennen siirtoa turvalliseen tallennukseen. Vain järjestelmänvalvojilla on pääsy varmuuskopioihin.

Tapahtumien kirjaaminen

Withings on ottanut käyttöön tapahtumalokin pitämiskäytännön, mukaan lukien järjestelmänhallintalokit, joita ei voida poistaa käytöstä. Toiminnot kaikissa Withings-järjestelmissä ja -sovelluksissa kirjataan myös. Lokit analysoidaan sitten automaattisilla algoritmeilla epäilyttävien tai haitallisten toimintojen havaitsemiseksi.

Tietoturvaloukkausten hallinta

Jatkuva hälytysjärjestelmä mahdollistaa tietoturvaloukkausten jatkuvan seurannan ja niiden ratkaisemisen järjestelmänvalvojien toimesta mahdollisimman lyhyessä ajassa. Työntekijät koulutetaan tietoturvaloukkausten käsittelyprosesseihin, mukaan lukien viestintäkanavien hallinta ja eskalointipolut.

Salaus

Tallennettujen tietojen salaus

Withings käyttää matalan tason levyn salaus. Salaus on vähintään AES-256-tason tai vastaava.

Tietokantojen salaus

Tietokantojen tiedot on salattu niiden luokituksen mukaan tietorekisterissä.

Viestinnän salaus

Julkisissa verkoissa kaikki viestintä Withingsin käyttöliittymien ja API:iden kanssa on salattu HTTPS / TLS-standardin (TLS 1.2 tai uudempi) avulla. Tämä varmistaa, että kaikki liikenne asiakkaan ja Withingsin välillä on turvattu siirron aikana.

SSH-yhteydet

Withings takaa SSH-yhteydet käyttämällä vain SSH v2:ta ja teollisuuden tunnustamia salausalgoritmeja.

VPN-yhteys

Withings takaa VPN-yhteydet käyttämällä vain teollisuuden tunnustamia ja vahvoja salausjärjestelmiä.

Varmuuskopiot

Kaikki varmuuskopiot salataan vähintään kerran ennen niiden siirtämistä etätallennusalueelle. Mahdollisuuksien mukaan ne salataan myös tallennusratkaisulla itsellään.

Saatavuus- ja jatkuvuussuunnitelma

Tietoa saatavuudesta

Withings tarjoaa julkisesti saatavilla olevan järjestelmän tilasivu joka sisältää järjestelmän saatavuustiedot, suunnitellun ylläpidon, palveluhäiriöhistorian ja merkitykselliset tietoturvatapahtumat.

Redundanssi

Koko fyysinen ja pilvi-infrastruktuuri on redundantti seisokkien ja tietojen menetyksen riskin minimoimiseksi. Erityisesti tietokannat on konfiguroitu lähes välittömällä replikoinnilla varmistaakseen, että normaaleissa käyttöolosuhteissa kirjoituksia vastaanottavan pääsolmun täydellinen menetys ei johda tietojen menetykseen, joka kestäisi yli muutaman sekunnin.

Palautuspisteen tavoite

Withingsin IT-varmuuskopiointikäytäntö varmistaa tuotantotietokantojen päivittäisen varmuuskopioinnin.

Katastrofipalautussuunnitelma

Withingsin katastrofien palautussuunnitelma varmistaa, että tuotantoalusta voidaan luoda uudelleen kokonaan tuotantoympäristön täydellisen toimintahäiriön sattuessa. Kaikki koodi, kokoonpanot ja tietokannat säilytetään turvallisissa sijainneissa ja ovat riippumattomia tuotantoympäristöstä. Koko alustan palautus suoritetaan säännöllisesti testitarkoituksiin.

HR Turvallisuus

Rajoitetulla Withings Cloud -tietoja käsittelevällä henkilöstöllä tehdään säännöllisiä tarkastuksia ja jatkuvaa koulutusta henkilökohtaisten tietojen käsittelyyn liittyvien riskien vähentämiseksi.

Työntekijöiden hallinta

Tausta- ja pätevyystarkistukset

Withings suorittaa taustatarkistuksia kaikille uusille työntekijöille paikallisten lakien mukaisesti. Näitä tarkistuksia tehdään myös urakoitsijoille. Taustatarkistukset voivat sisältää tekniset ja yleiset taidot, aiemmat työsuhteet ja rikosrekisteritarkistukset tarpeen mukaan.

Salassapitosopimus

Kaikkien työntekijöiden on allekirjoitettava salassapito- ja luottamuksellisuussopimukset. Tämä salassapitosopimus pysyy voimassa työsopimuksen päättymisen jälkeen.

Roolien ja vastuiden määrittely

Withings varmistaa, että kaikki roolit ja vastuut ovat hyvin määriteltyjä ja ymmärrettyjä niiden henkilöiden toimesta, joille ne on osoitettu.

Kuriprosessi

Withings on ottanut käyttöön kurinpitomenettelyt luotettujen vastuiden rikkomisen varalta, perustuen sisäisissä säännöissä määriteltyihin rangaistusasteikkoihin.

Tietoturvatietoisuus

Turvapolitiikat

Withings on kehittänyt kattavan joukon tietoturvakäytäntöjä, jotka kattavat laajan valikoiman aiheita. Nämä käytännöt jaetaan ja saatetaan saataville kaikille työntekijöille ja alihankkijoille, joilla on pääsy Withingsin tietojärjestelmiin.

Tietoturvatietoisuus

Kaikki työntekijät käyvät läpi turvallisuustietoisuuden koulutuksen, joka sisältyy rekrytointimenettelyyn ja tarkistetaan sen jälkeen vuosittain. Perussäännöt ja hyvät käytännöt muistutetaan myös säännöllisesti Withingsin tiloissa.

Turvakoulutus

Kaikille kehittäjille tiedotetaan OWASP: n 10 suurimmasta tietoturvariskistä koulutuksen ja parhaiden käytäntöjen oppaiden avulla. Koulutustilaisuuksia ulkopuolisten asiantuntijoiden kanssa järjestetään myös syvällisen tiedon ja turvallisen koodin levittämisen varmistamiseksi. Tietoturvatiimi tarjoaa myös lisätietoturvatietoisuuspäivityksiä sähköpostin, blogikirjoitusten ja sisäisissä tapahtumissa pidettävien esitysten kautta.

Jatkuva parantaminen

Innovatiivisena IoT-yrityksenä varmistamme, että olemme aina askeleen edellä nykyisiä tietosuojastandardeja. Tätä tukevat säännölliset sisäiset ja ulkoiset auditoinnit.

Sisäiset tarkastukset

Sisäisen tarkastuksen suunnitelma

Kaikki prosessit auditoidaan sisäisten tarkastustiimien tai ulkopuolisten palveluntarjoajien toimesta.

Johtamisen tarkastelu

Johtamisen katselmukset varmistavat, että johto tarkistaa systemaattisesti ISMS:n, arvioi parannusmahdollisuudet ja päättää tarvittavista toimenpiteistä varmistaakseen ISMS:n merkityksellisyyden, soveltuvuuden ja tehokkuuden.

Ulkoinen tarkastus

Tekniset tarkastukset

Haavoittuvuuksien hallinnan, analysoinnin ja testauksen lisäksi Withings käyttää kolmannen osapuolen turvallisuusasiantuntijoita suorittamaan yksityiskohtaisia tunkeutumistestejä eri sovelluksissa tuotelinjassamme. Ulkoiset tekniset auditoinnit on integroitu Withingsin vuotuiseen auditointisuunnitelmaan.

Yhdenmukaisuuden sertifiointitarkastus

Withings on aloittanut sertifiointiprosessin akkreditoidun elimen kautta varmistaakseen, että sen ISMS noudattaa teollisuuden tunnustamia kansainvälisiä standardeja. ISMS:n asianmukainen toiminta arvioidaan siksi vuosittain riippumattoman, luotettavan kolmannen osapuolen toimesta.

loader newco
loader newco