安全
Virta健康致力于保护其客户委托给它的数据和用户,尤其是他们φ。因此,Virta健康投资明显到程序建立一个信息安全保护的数据范围广泛的威胁,为了保证业务连续性,减少商业风险,并确保我们的病人”,客户,和业务合作伙伴的信息存储、处理和传输安全。
安全合规Virta健康
我们重视安全,因为我们知道安全、隐私和我们的客户和用户可访问性问题。我们不断追求安全证书给我们的客户。Virta取得了SOC 2 II型和HITRUST认证。这些认证表明Virta过程的完成,程序和控制已经正式评估和测试由一个独立的会计和审计公司(A-LIGN)和HITRUST联盟。
详细信息我们的安全和遵从性姿势,请联系您的客户经理给你方寄去我方安全包。这个包提供了详细的安全信息潜在和现有客户完成供应商的安全评估。
由于文档的敏感性,NDA分享之前需要到位。
Virta健康ISMP:信息安全管理程序概述
执行概要
Virta ISMP是通过实施适用的政策、流程、程序、控制标准、方针、组织结构和技术支持。
ISMP支配的机密性、完整性、可用性和隐私Virta卫生用户的数据,特别敏感或关键数据,定义了这些数据的部门和个人的责任。
信息安全政策进行审核和批准Virta领导团队,和相关的标准包括整套的信息安全控制需要保护的信息资产Virta健康基于ISO / IEC 27001:2013和NIST 800 - 53年HITRUST由第三方审计的。
Virta健康是HIPAA兼容,在制作的过程中其网站符合WCAG *在2022年初。
ISMP范围
Virta的政策和标准适用于所有Virta卫生系统人员,无论业务单元,和人员隶属于供应商或第三方,包括non-Virta卫生人员、访问、管理、更新、存储、处理或处理Virta卫生信息资源。标准操作程序适用于所有相关人员和系统除非另外注明。
Virta控制环境(技术、人员、流程)
Virta卫生基础设施和软件平台托管于一个谷歌云平台(GCP) HIPAA兼容,多余的SOC 2审计,ISO / IEC 27001:2013和ISO 9001认证数据中心与多层次的物理和技术安全。
GCP地区住故障转移是可能的在一个单独的数据设备在同一GCP地区。所有数据镜像到另一个地区,允许从任何停机时间内快速故障恢复的主要地区。另外在每晚备份数据。
Virta健康实施正式的信息安全政策以保护φ。这些政策的责任在于信息安全官/ ISO和首席隐私官/ CPO。每年至少安全策略进行了综述,根据不断变化的环境和实践。
关键部件Virta健康的安全措施包括安全意识培训和安全审计实践,物理安全策略、和漏洞的服务器上测试和监控,工作站,和应用程序。Virta卫生符合隐私和安全规则和维护安全计划适当范围和接触。
所有员工必须成功通过背景和参考检查并签署保密协议之前加入Virta健康。新员工定位包括沟通的政策,以及安全培训之前获得任何资产/工具。
新员工必须承认收到Virta卫生政策和re-acknowledge每年的政策。此外,每个Virta健康员工需要参加正在进行的培训,不管他们的角色在组织内。
Virta健康有正式的事件响应政策,其中包括程序报告,跟踪和修正这些可能的安全事故。信息安全小组负责分配人们在特定的工作任务和协调整个事件反应过程。所有Virta卫生人员有责任向其部门经理报告任何可能发生的安全事故,或信息安全团队的一员。
Virta健康记录的变更管理政策和软件开发生命周期(SDLC)的政策,要求所有更改记录,测试和批准。Virta健康从事自动化测试代码,同等代码评审和管理代码评审在每一个发展阶段。在部署到生产环境之前,发布候选必须通过用户验收测试。Virta健康工具和程序来监控系统的安全与保密。
Virta健康实现连续实时监控应用程序的运行时异常。Virta医疗合同安全公司专门从事移动和web应用程序安全执行手册渗透测试至少每年。公司还订阅GCP和Github安全通知列表,以确保任何已知的漏洞或回归修补。生产系统有弹性和日常数据备份。
Virta健康有适当的程序提供访问系统包含敏感和限制数据(φ)和终止访问时不再是必需的。Virta健康使用最小特权原则,只允许访问的数据和系统要求员工履行他或她的职责。系统是基于角色的访问,任何异常必须批准的安全团队。当雇员终止时,它立即撤销操作员工的访问系统。
Virta健康存储个人健康信息数据库(φ)。φ是包含在敏感和限制数据的定义。所有数据必须被加密传输和在休息的时候。
φ是不允许被存储在笔记本电脑或其他移动设备。发行的所有公司——笔记本电脑配置完全加密的硬盘,配置管理,MDM和监视工具。
脆弱性管理程序包括季度自动化脆弱性测试扫描,年度“灰箱”和“白盒”手动渗透测试。
Virta健康有一个隐私政策和使用条款至少每年审查和更新。每一个可能Virta健康网站上找到。Virta健康维护保密协议,与供应商可能合适,对敏感数据的访问。
Virta健康物理办公室位置仍然锁定在所有时间和被监控摄像头监控。游客必须在办公室的主要入口,必须伴随着一个员工。
Virta健康员工训练保持警惕并报告任何他们不承认的无人陪伴的人。Virta不允许或有任何服务器,位于物理办公室,φ数据。
Virta卫生业务连续性计划大纲程序遵循以继续经营的一个关键系统故障,或后自然环境灾难。
桌面测试的业务连续性计划每年完成。重建计划的技术组件,比如生产环境的自动化和测试脚本,和现场故障转移可用性区域之间的定期测试正常业务操作的一部分。因为没有应用程序或数据库服务器位于Virta健康办公室,自然或环境灾难影响办公室的位置不会影响功能或Virta健康应用程序的可用性。
是Virta卫生政策进行风险评估的潜在威胁和漏洞的安全、机密性、完整性、可用性、φ和隐私和其他机密和专有信息,存储,传输,或过程。组织范围的风险评估是在年度基础上进行的,和额外的评估潜在的风险和维护的有效性是由必要的更改业务实践和技术进步。风险评估过程包括人员来自Virta卫生组织,包括行政、工程、产品、财务、业务发展、客户成功,操作,和IT运作等。作为风险评估的一部分,关键任务系统和数据识别和评价基于临界。威胁和漏洞相关关键任务系统识别和评价是基于他们的可能性和潜在影响。额外的控制建议,控制解决这些威胁和弱点最有可能影响关键系统为主。业主额外的控制,实现推荐的控制和时间设置。
此外,Virta健康监测法规影响其操作,包括这Virta卫生政策保持合规规则变化。
作为季度跨职能的一部分信息安全委员会会议和规划过程中,代表管理、产品、工程和IT运作和法律部门认为技术的发展和适用的法律、法规的影响Virta健康的安全及相关保密政策。角色和职责是记录和分配给团队负责设计、开发、实施、运营、维护和监控控制系统。
记录程序存在可用性问题的识别和升级,安全漏洞和其他事件。