個人データの保護は私たちにとって最も重要であり、私たちはすべてのステップで安全とセキュリティを確保します。

データセキュリティ

Withingsは、私たちの製品とサービスを利用できる安全な環境を維持することにコミットしています。私たちは、複数の標準(ISO 27001:2022、ISO 27701:2019、HDS)を遵守することで、あなたの個人データを保護します。

認証と基準

私データの保護を考慮した製品とサービスを提供するために、私たちは最高水準の個人データ保護を目指しています。

認証

HDS

HDS Certification

健康データホスティング — バージョン 1.1 最終版 - 2018年5月、ASIP Santéによって提供された認証参照システムに基づく活動1から6のためのものです。

Withingsがホストしているアプリケーションやサービスの設計、開発、運用、検証、サポートに関与するすべてのシステム、関係者、プロセスを含み、個人の健康データの処理または開示が含まれます。

認証基準には、NF ISO/IEC 27001:2017、ISO/IEC 27018:2014、NF ISO/IEC 20000-1:2011、および追加要件が含まれています。

ダウンロード

ISO 27001:2022

ISO_27001

Withingsは、国際標準化機構27001:2022の基準要件に従ったホスティングプロバイダーのサービスを提供しています。

それは、Withingsがホストするアプリケーションとサービスの設計、開発、運用、検証、サポートに関与するすべてのシステム、人物、プロセスを含み、特に個人の健康データの処理に関わります。

ダウンロード

ISO 27701:2019

ISO_27701

Withingsは、プライバシー保護の最先端技術(GDPRなど)を世界中で遵守する能力を示しています。そのために、Withingsが行うすべての活動(内部または外部)の各ステップでプライバシー保護が考慮されるよう、内部プロセスが継続的に監査されています。

ダウンロード

基準

GDPR

GDPR

一般データ保護規則 - 欧州連合2016/679、欧州議会及び理事会が2016年4月27日に可決した、個人データの処理に関する個人の保護及びそのようなデータの自由な移動に関する規則。

HIPAA

HIPAA

1996年の健康保険の携行性と責任に関する法令。個人健康データのホスティングを管理する基準。

Withings Medical Cloudsにホストされているアプリケーションとサービスの設計、開発、運用、検証、サポートに関与するすべてのシステム、人々、プロセスを含み、個人の健康データの処理または開示が含まれます。

ダウンロード

サービスとアプリケーションのセキュリティ

私たちは、アプリケーション、サービス、製品のライフサイクルの各段階でデータ保護を提供、維持、管理します。

安全な開発

フレームワークセキュリティコントロール

Withingsは、最新のセキュリティ制御技術を利用して、トップ10のOWASPセキュリティリスクへの露出を制限しています。これらの内在的な制御により、SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)などへの露出が減少します。

アジャイル組織、コードレビューとテスト

すべての開発活動はAGILE手法を使用して組織され、スプリントの設定と製品管理チームとのタスクの優先順位付けが行われます。すべてのスプリントは履歴として記録されます。開発者はユニットテスト、機能統合テスト、セキュリティテストを実施します。機能はセキュリティチームによってレビューされ、展開前にピアレビューを通じて評価されます。

ソフトウェア品質保証

ソフトウェア品質保証部門は、サービスとアプリケーションが本番環境に移行する前にテストを行います(手動および自動テスト)。

環境の分離とテストデータ

開発環境とテスト環境は、本番環境から論理的に分離されています。私たちの開発またはテスト環境では、個人の本番データは使用されません。

脆弱性管理

コード監査

Withingsは、製品化前に主要なセキュリティリスクに対してすべてのコードを分析するために、サードパーティのセキュリティツールを使用しています。セキュリティ侵害を引き起こす可能性のある脆弱性は、必ず修正され、または継続的改善サイクルで計画されます。

自動コードテスト

コードは、変更がセキュリティの損失や劣化を引き起こさないことを確認するために、あらかじめ定義されたテストシナリオで自動的にテストされます。テストは、限られた寿命を持つ仮想マシン上で実行され、生産環境とは完全に分離されています。

第三者によるペネトレーションテスト

脆弱性管理、分析、テストに加えて、Withingsは第三者のセキュリティ専門家を雇い、製品ラインのさまざまなアプリケーションでペネトレーションテストを実施しています。さらに、Withingsはパートナーと共にバグバウンティプログラムを開設し、倫理的ハッカーがシステムを継続的にテストし、脆弱性を報告できるようにしています。

認証セキュリティ

パスワードポリシー

Withingsは強力なパスワードの使用を要求し、堅牢性に関する国際的な推奨事項に準拠しています。このポリシーは、Withingsアプリケーションのすべてのユーザーに適用されます。

二要素認証

アカウントのセキュリティを強化するために、2要素認証を有効にできます。(iOS/Android)

認証データストレージ

Withings は、そのアプリケーションやサービスでプレーンテキストの認証データを表示することはありません。

API – サードパーティアプリケーション認証

Withings APIは、OAuth 2.0方式を使用してサードパーティアプリケーションを認証します。各アプリケーションには、ユニークで堅牢なクライアントIDとシークレットがあります。その後、接続データはWithingsからクライアントが再生成しなければならない有効期限付きトークンで保護されます。

役割ベースのアクセス制御

Withingsのアプリケーションおよびサービスの大部分は、事前定義された権限を持つ役割に基づくアクセス制御の対象となっており、データの制御された使用とアクセスを可能にしています。

データの転送中のセキュリティ

公共ネットワーク上のすべての通信は、業界標準のHTTPS/TLS(TLS 1.2以上)で暗号化されています。

変更管理

変化の分類

Withings は、変更のタイプに応じた適応的なフォローアップを可能にする変更カテゴリを定義しました。これにより、強力な反応性が確保され、影響が適切に評価されることが保証されます。

手順を変更する

Withingsは、カテゴリに依存した変更管理手順を定義しており、これには変更要求、変更委員会の任命、セキュリティリスク分析、計画、変更の実施、または継続性または回復計画の変更が含まれる場合があります。

インフラ保護

データの保護は私たちがユーザーを大切にする一環であるため、個人データを保護するために最高のセキュリティソリューションを求めます。

物理データセンターのセキュリティ

物理施設

Withingsは、ヨーロッパにおけるB2CおよびB2B活動のために、BSOを通じてフランスにあるデータセンターでサーバーをホストしています。24時間年中無休の運用とサービスの常時利用可能性を確保するために、BSOデータセンターは冗長電源システムを備えており、環境管理が行われています。

米国のB2B活動において、WithingsはGCPを利用して米国にあるデータセンターでサーバーをホスティングしています。24時間年中無休の運用とサービスの常時可用性を確保するために、Googleのデータセンターは冗長電源システムを備え、環境管理の対象となっています。

現場のセキュリティ

BSOおよびGCPのデータセンターは、カスタム設計の電子アクセスカード、アラーム、車両アクセス制御バリア、セキュリティフェンス、金属探知機、バイオメトリクス技術を含む多層のセキュリティモデルで設計されています。各データセンターには、レーザービーム侵入検知システムも搭載されています。データセンターは、高解像度の屋内外カメラを使用して、24時間365日監視され、侵入者を検出して追跡することができます。

データホスティングの場所

クライアントは、要請に応じて、データ処理を利用可能なMED·PROサービスの場所に地域化するように要求することができます。Withingsはクライアントの選択を尊重し、1つ以上のサービスが地域化できない場合はクライアントに通知します。

ネットワークセキュリティ

保護

Withingsネットワークは、複数のセキュリティサービス(DMZ、アクセス制御リスト、ファイアウォール、アンチマルウェア、TLS、IPSec VPNなど)によって保護されています。

アーキテクチャ

私たちのネットワークセキュリティアーキテクチャは、複数のセキュリティ層で構成されており、それぞれが複数の可用性ゾーンに複製されています。DMZは、公共ネットワークに公開されている領域に使用されます。各層はファイアウォールによって保護されています。

インフラ脆弱性分析

自動スキャンによるインフラストラクチャのセキュリティ分析は、非準拠または潜在的に脆弱なシステムを迅速に特定するための詳細な情報を提供します。

物流アクセス

本番環境へのアクセスはシステム管理者に厳しく制限されています。すべてのアクセスは制御され、保護されたログに記録されます。これらは、システム管理者とは独立したセキュリティエンジニアによって自動的に分析および監査されます。本番プラットフォームにアクセスするシステム管理者は、複数の個人および堅牢な認証要素を使用する必要があります。

バックアップ

Withingsは、データベース、GITディレクトリ、仮想マシンディスク、文書共有サーバーを含むすべての生産システムおよび環境のバックアップポリシーを実施しています。バックアップは、その重要度に応じて定期的に実行され、テストされます。バックアップは、安全なストレージに転送する前に暗号化されます。バックアップにはシステム管理者のみがアクセスできます。

イベントログ

Withingsは、無効にできないシステム管理ログを含むイベントログポリシーを設定しました。すべてのWithingsシステムおよびアプリケーションでの活動もログに記録されます。ログは、その後、疑わしいまたは悪意のある活動を検出するために自動アルゴリズムによって分析されます。

セキュリティインシデント管理

継続的な警告システムにより、システム管理者はできるだけ短時間でセキュリティインシデントとその解決を常に監視できます。従業員は、コミュニケーションチャネルとエスカレーションパスの管理を含むセキュリティインシデント対応プロセスについてトレーニングを受けています。

暗号化

保存されたデータの暗号化

Withingsは低レベルのディスク暗号化を使用しています。暗号化の強度は少なくともAES-256または同等のものでなければなりません。

データベースの暗号化

データベース内の情報は、データ登録簿内の分類に従って暗号化されています。

通信の暗号化

公共ネットワークでは、WithingsのユーザーインターフェースおよびAPIとのすべての通信がHTTPS / TLS標準(TLS 1.2以上)を使用して暗号化されます。これにより、クライアントとWithings間のすべてのトラフィックが転送中に保護されます。

SSH接続

Withings は、SSH 接続に SSH v2 と業界で認識されている暗号化シファーのみを使用することを保証します。

VPN接続

Withings は、業界で認識されている強力な暗号化サイファーのみを使用して VPN 接続を保証します。

バックアップ

すべてのバックアップは、リモートストレージエリアに送信される前に、少なくとも一度は暗号化されます。可能な場合は、ストレージソリューション自体によっても暗号化されます。

利用可能性計画と継続性

利用可能性に関する情報

Withingsは公開アクセス可能なシステムを提供しています ステータスウェブページ システムの可用性の詳細、計画されたメンテナンス、サービスインシデントの履歴、および関連するセキュリティイベントが含まれています。

冗長性

全体物理およびクラウドインフラストラクチャは冗長化されており、ダウンタイムやデータ損失のリスクを最小限に抑えています。特に、データベースはほぼ瞬時に複製されるように構成されており、通常の運用条件下では、書き込みを受け付けるメインノードの完全な損失が数秒以上のデータ損失を引き起こさないことを保証します。

回復ポイント目標

WithingsのITバックアップポリシーは、運用データベースの毎日のバックアップを保証します。

災害復旧計画

Withings の災害復旧計画は、製造環境の完全な故障が発生した場合に、製造プラットフォームを完全に再作成できることを保証します。すべてのコード、設定、およびデータベースは安全な場所に保存されており、製造環境とは独立しています。完全なプラットフォームの復元は、テスト目的で定期的に行われます。

心拍数セキュリティ

Withings Cloudのデータを扱う限られたスタッフは、個人データの処理に関するリスクを軽減する方法について、定期的な審査と継続的なトレーニングを受けています。-

従業員管理

バックグラウンドおよび能力チェック

Withingsは、地元の法律に従ってすべての新しい従業員に背景調査を実施します。これらの調査は契約者にも行われます。背景調査には、技術的および一般的なスキル、以前の雇用、および必要に応じて犯罪歴のチェックが含まれる場合があります。

機密保持契約

すべての従業員は秘密保持契約および機密保持契約に署名する必要があります。この機密保持契約は、雇用契約の終了後も有効です。

役割と責任の定義

Withingsは、すべての役割と責任が明確に定義され、割り当てられた個人によって理解されることを保証します。

懲戒手続き

Withingsは、内部規則に定義された制裁のスケールに基づき、委託された責任に違反した場合の懲戒手続きを整備しています。

セキュリティ意識

セキュリティポリシー

Withings は、幅広いトピックをカバーする包括的なセキュリティポリシーを開発しました。これらのポリシーは、Withings の情報システムにアクセスできるすべての従業員および外注業者に共有され、利用可能になっています。

情報セキュリティ意識

すべての従業員は、採用手続きに含まれるセキュリティ意識トレーニングを受け、その後毎年レビューされます。基本的なルールと良い実践も、Withingsの施設で定期的に再確認されます。

セキュリティトレーニング

すべての開発者は、トレーニングとベストプラクティスガイドを通じて、トップ10のOWASPセキュリティリスクについて認識しています。外部の専門家とのトレーニングセッションも開催され、安全なコードに関する深い知識と普及が確保されています。また、セキュリティチームは、電子メール、ブログ投稿、および内部イベントでのプレゼンテーションを通じて、追加のセキュリティ意識の更新を提供しています。

継続的な改善

革新的なIoT企業として、私たちは常に現在のデータ保護基準の一歩先を行くことを確実にしています。これは、定期的な内部および外部監査によって支えられています。

内部監査

内部監査計画

すべてのプロセスは、内部監査チームまたは外部サービスプロバイダーによって監査されています。

管理レビュー

管理レビューは、管理がISMSを体系的にレビューし、改善の機会を評価し、ISMSの関連性、適切性、および有効性を確保するために必要な措置を決定することを保証します。

外部監査

技術監査

脆弱性管理に加えて、分析やテストを含む、Withingsは第三者のセキュリティ専門家を雇い、製品ラインのさまざまなアプリケーションに対して詳細なペネトレーションテストを実施しています。外部の技術監査は、Withingsの年次監査計画に組み込まれています。

コンプライアンス認証監査

Withings は、業界で認められた国際基準に準拠していることを保証するために、承認された機関を通じて認証プロセスに着手しました。ISMSの適切な機能は、信頼できる独立した第三者によって毎年評価されています。