Withings致力于维护一个安全的环境,使您能够使用我们的产品和服务。我们通过遵守多项标准(ISO 27001:2022、ISO 27701:2019和HDS)来保护您的个人数据。
为了将数据隐私纳入我们的产品和服务,我们努力追求个人数据保护的最高标准。
HDS
健康数据托管 — 版本 1.1 最终版 - 2018 年 5 月,适用于根据 ASIP Santé 提供的认证参考系统的活动 1 至 6。
包括所有与Withings设计、开发、运营、验证和支持应用程序和服务相关的系统、人员和流程,这些应用程序和服务涉及个人健康数据的处理或披露。
认证参考包括:NF ISO/IEC 27001:2017,ISO/IEC 27018:2014,NF ISO/IEC 20000-1:2011,以及其他附加要求。
下载ISO 27001:2022
Withings 提供符合国际标准化组织 27001:2022 标准要求的托管服务。
它包括所有系统、人员和流程,这些系统、人员和流程涉及到Withings托管的应用程序和服务的设计、开发、运营、验证和支持,特别是个人健康数据的处理。
下载ISO 27701:2019
Withings展示了其在全球范围内遵循隐私保护的最新技术能力(例如GDPR)。为此,内部流程会不断进行审计,以确保在Withings进行的每一步活动(内部或外部)中都考虑到隐私保护。
下载GDPR
通用数据保护条例 - 欧盟2016/679,欧洲议会和理事会于2016年4月27日通过,旨在保护个人在处理个人数据方面的权利,并促进此类数据的自由流动。
HIPAA
1996年健康保险可携带性和责任法案。管理个人健康数据托管的标准。
包括所有与设计、开发、运营、验证和支持托管在Withings医疗云上的应用程序和服务相关的系统、人员和流程,这些应用程序和服务涉及个人健康数据的处理或披露。
下载我们在应用程序、服务和产品的整个生命周期的各个阶段提供、维护和管理数据保护。
框架安全控制
Withings依靠现代安全控制技术来限制对前10大OWASP安全风险的暴露。这些内在控制减少了我们对SQL注入(SQLi)、跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等的暴露。
敏捷组织、代码审查和测试
所有开发活动都采用AGILE方法组织,建立冲刺,并与产品管理团队优先排序任务。所有冲刺都有历史记录。开发人员将执行单元测试、功能集成测试和安全测试。功能由安全团队审查,并在部署前通过同行评审进行评估。
软件质量保证
软件质量保证部门在服务和应用程序投入生产之前进行测试(手动和自动测试)。
环境分离和测试数据
开发和测试环境与生产环境在逻辑上是分开的。在我们的开发或测试环境中不会使用任何个人生产数据。
代码审计
Withings使用第三方安全工具在生产前分析所有代码,以识别主要安全风险。可能导致安全漏洞的弱点会被强制修正和/或计划在持续改进周期中进行处理。
自动代码测试
代码会通过预定义的测试场景自动测试,以确保更改不会导致安全性丧失或下降。测试在具有有限生命周期的虚拟机上进行,并且与生产环境完全隔离。
第三方渗透测试
除了漏洞管理,包括分析和测试,Withings还雇佣第三方安全专家对我们产品系列中的各种应用进行渗透测试。此外,Withings与合作伙伴开设了漏洞奖励计划,以允许道德黑客持续测试我们的系统并报告漏洞。
密码政策
Withings要求使用强密码,并遵循国际推荐的强度标准。该政策适用于所有Withings应用程序的用户。
身份验证数据存储
Withings 从不在其应用程序或服务中显示明文身份验证数据。
API – 第三方应用程序认证
Withings API使用OAuth 2.0方法来验证第三方应用程序。每个应用程序都有唯一且强大的客户端ID以及一个密钥。连接数据随后通过客户端必须从Withings重新生成的过期令牌进行安全保护。
大多数Withings应用程序和服务都受到基于角色的访问控制,这些角色具有预定义的权限,从而允许对数据的受控使用和访问。
所有通过公共网络的通信都采用HTTPS/TLS行业标准(TLS 1.2或更高版本)进行加密。
变化的分类
Withings 定义了变更类别,以便根据变更的类型进行适应性跟踪。这允许强大的反应能力,同时确保适当评估其影响。
更改程序
Withings 根据类别定义了变更管理程序,可能包括:变更请求、变更委员会的任命、安全风险分析、规划、变更的实施或持续性或恢复计划的修改。
由于数据保护是我们关心用户的一部分,我们呼吁最好的安全解决方案来保护个人数据。
物理设施
对于欧洲的B2C和B2B活动,Withings通过BSO在法国的数据中心托管其服务器。为了确保24/7的运营和服务的持续可用性,BSO数据中心配备了冗余电力系统,并受到环境控制。
对于美国的B2B活动,Withings通过位于美国的数据中心利用GCP托管其服务器。为了确保24/7的运营和服务的持续可用性,谷歌的数据中心配备了冗余电源系统,并受到环境控制。
现场安全
BSO和GCP的数据中心采用多层安全模型设计,包括定制设计的电子访问卡、警报、车辆访问控制障碍、安保围栏、金属探测器和生物识别技术。每个数据中心还配备有激光束入侵检测系统。这些数据中心使用高清室内和室外摄像头进行24小时、每周7天的监控,可以检测和追踪入侵者。
数据托管位置
应客户要求,客户可以请求将其数据处理区域化到可用的MED·PRO服务位置。Withings尊重客户的选择,并在某些服务无法区域化时通知客户。
保护
Withings网络受到多种安全服务的保护(DMZ、访问控制列表、防火墙、反恶意软件、TLS、IPSec VPN等)。
架构
我们的网络安全架构由多层安全组成,每一层都在多个可用性区域中复制。DMZ用于暴露于公共网络的区域。每一层都通过防火墙进行保护。
基础设施脆弱性分析
通过自动扫描进行基础设施安全分析提供了深入的信息,以便快速识别不合规或潜在脆弱的系统。
物流接入
访问生产环境仅限于系统管理员。所有访问都受到控制并记录在受保护的日志中。它们会被独立于系统管理员的安全工程师自动分析和审计。访问生产平台的系统管理员必须使用多个个人和强大的身份验证因素。
备份
Withings实施了所有生产系统和环境的备份政策,包括数据库、GIT目录、虚拟机磁盘和文档共享服务器。根据其重要性等级,定期执行和测试备份。然后在传输到安全存储之前对备份进行加密。只有系统管理员才能访问备份。
事件记录
Withings建立了一项事件日志政策,包括无法禁用的系统管理日志。所有Withings系统和应用程序上的活动也会被记录。这些日志随后由自动算法分析,以检测任何可疑或恶意活动。
安全事件管理
一个持续的警报系统允许系统管理员在最短的时间内对安全事件及其解决方案进行持续监控。员工接受关于安全事件响应流程的培训,包括沟通渠道和升级路径的管理。
存储数据的加密
Withings使用低级磁盘加密。加密的强度至少为AES-256或同等水平。
数据库加密
数据库中的信息根据其在数据注册表中的分类进行加密。
通信加密
在公共网络上,所有与 Withings 用户界面和 API 的通信都使用 HTTPS / TLS 标准(TLS 1.2 或更高版本)进行加密。这确保了客户端与 Withings 之间的所有流量在传输过程中都是安全的。
SSH连接
Withings 保证仅使用 SSH v2 和行业认可的加密密码进行 SSH 连接。
VPN连接
Withings 确保使用行业认可且强大的加密密码进行 VPN 连接。
备份
所有备份在传输到远程存储区域之前至少会加密一次。在可能的情况下,它们也会被存储解决方案本身加密。
关于可用性的信息
Withings 提供一个公开可访问的系统 状态网页 包括系统可用性详细信息、计划的维护、服务事件历史和相关的安全事件。
冗余
整个物理和云基础设施都是冗余的,以最大限度地减少停机和数据丢失的风险。特别是,数据库配置为近乎即时的复制,以确保在正常操作条件下,接收写入的主节点完全丢失不会导致超过几秒的数据丢失。
恢复点目标
Withings的IT备份政策确保每天备份生产数据库。
灾难恢复计划
Withings 的灾难恢复计划确保在生产环境发生完全故障时,可以完全重建生产平台。所有代码、配置和数据库都存储在安全位置,并且独立于生产环境。完整平台的恢复定期进行以便于测试。
处理Withings Cloud中数据的有限员工定期接受审查,并持续接受如何降低处理个人数据风险的培训。-
背景和能力审查
Withings根据当地法律对所有新员工进行背景调查。这些调查也会对承包商进行。背景调查可能包括技术和一般技能、以往的雇佣情况,以及如有需要的犯罪记录检查。
保密协议
所有员工必须签署保密和保密协议。该保密协议在雇佣合同结束后仍然有效。
角色和责任定义
Withings 确保所有角色和职责都被明确界定,并为被分配的个人所理解。
纪律程序
在发生违反委托责任的情况下,Withings已制定了纪律处分程序,依据内部规章中定义的制裁等级。
安全政策
Withings 开发了一套全面的安全政策,涵盖广泛的主题。这些政策已与所有有权访问 Withings 信息系统的员工和分包商共享,并提供给他们。
信息安全意识
所有员工都接受安全意识培训,该培训包含在招聘程序中,并在此后每年进行一次审核。基本规则和良好实践也会定期在Withings场所进行提醒。
安全培训
所有开发人员通过培训和最佳实践指南了解10大OWASP安全风险。还组织与外部专家的培训会议,以确保对安全代码的深入了解和传播。安全团队还通过电子邮件、博客文章和内部活动的演示提供额外的安全意识更新。
作为一家创新的物联网公司,我们确保始终领先于当前的数据保护标准。这得益于定期的内部和外部审计。
内部审计计划
所有流程都由内部审计团队或外部服务提供商进行审核。
管理评审
管理评审确保管理层系统性地审查信息安全管理体系(ISMS),评估改进机会,并决定采取必要措施,以确保ISMS的相关性、适当性和有效性。
技术审计
除了漏洞管理,包括分析和测试,Withings还聘请第三方安全专家对我们产品线中的各种应用程序进行详细的渗透测试。外部技术审计被纳入Withings的年度审计计划中。
合规认证审计
Withings 已通过一个认可机构启动认证流程,以确保其信息安全管理系统(ISMS)符合行业认可的国际标准。因此,信息安全管理系统的正常运作每年都会由独立的可信第三方进行评估。
通过注册获得首次订单优惠
通过注册,您同意接收来自Withings的广告电子邮件。然而,如果您改变主意,您可以随时退订。*该折扣适用于在收到代码后的30天内,任何购买(除ScanWatch Nova外)至少€100的订单。仅适用于withings.com,并且数量有限。此优惠仅适用于首次购买。这些优惠不能合并。