app-bezpieczenstwo – Medic Scanner – analysis of skin condition

Bezpieczeństwo

Bezpieczeństwo Twoich danych osobowych jest dla Medic Scanner najważniejsze. Rozumiemy, że Twój profil w aplikacji może zawierać wrażliwe dane osobowe. Właśnie dlatego każdego dnia staramy się wdrażać najlepsze praktyki i standardy branżowe.

Zgodność z przepisami prawa: Medic Scanner podejmuje starania, aby zapewnić bezpieczeństwo i poufność danych osobowych zgodnie z ogólnym rozporządzeniem UE o ochronie danych oraz z innymi przepisami prawa.

Audyty stron trzecich: Systematycznie przeprowadzamy kontrole sprawdzające i wzmacniające nasze wewnętrzne procesy i polityki bezpieczeństwa, korzystając z usług znanych zewnętrznych agencji audytowych.

Bezpieczeństwo fizyczne i środowiskowe: Medic Scanner stosuje najwyższe standardy branżowe w zakresie kontroli bezpieczeństwa fizycznego, środowiskowego i hostingu. Centra danych Medic Scanner obsługiwane przez DigitalOcean korzystają z najnowszych rozwiązań architektonicznych i inżynierskich.

Bezpieczeństwo produktu

Serwery i sieci – Środowiska produkcyjne hostowane są na DigitalOcean. DigitalOcean to usługa, która wspomaga nas w tworzeniu bezpiecznej, wydajnej, odpornej i wytrzymałej infrastruktury dla naszej aplikacji. Centra danych Digitalocean zostały zaprojektowane w sposób zapewniający bezpieczeństwo i posiadają certyfikaty SOC 2 Type II i SOC 3 Type II. Wszystkie nasze serwery produkcyjne są niezmiennymi i stale aktualizowanymi systemami obsługiwanymi przez platformę Docker. Korzystamy także z dodatkowych usług DigitalOcean, takich jak VPC (Virtual Private Cloud), infrastruktury z wieloma kontami DigitalOcean, DOKS (DigitalOcean Kubernetes). W celu zapewnienia bezpieczeństwa komunikacji w sieci korzystamy z protokołu HTTPS z szyfrowaniem TLS (Transport Layer Security).

Szyfrowanie – Do tworzenia kluczy dostępu i zarządzania kluczami oraz kontrolowania wykorzystania szyfrowania w całym spektrum usług DigitalOcean i w naszej aplikacji stosujemy Spaces access keys.

Przechowywanie – Medic Scanner przechowuje wszystkie dane, takie jak metadane, aktywność, pliki oryginalne oraz dane klientów w różnych miejscach. Wszystkie dane przechowywane w każdym miejscu są szyfrowane.

Dane wrażliwe użytkowników końcowych usuwane są z rejestrów, a informatycy Investment Analytics Sp. z o.o. nie mają dostępu do tych danych.

Odrębne środowiska – Sieć produkcyjna stanowi środowisko odrębne od innych środowisk startowych, programistycznych i infrastrukturalnych. Każde środowisko umiejscowione jest na oddzielnym koncie DigitalOcean w oddzielnych sieciach VPC.

Dane dot. płatności klientów – Płatności przetwarzane są przez aplikacje App Store, Google Play, które ponoszą całkowitą odpowiedzialność za bezpieczeństwo płatności. Medic Scanner nie przechowuje żadnych danych dotyczących kart płatniczych.

Zaprojektowane dla bezpieczeństwa – Informatycy Medic Scanner wykorzystują najlepsze techniki programistyczne zgodne ze standardami branżowymi, takie jak dokumentowanie prac programistycznych i procesy zapewnienia jakości. Zgodnie z zasadami bezpieczeństwa dotyczącymi poufności, spójności i dostępności projektujemy naszą aplikację w sposób ograniczający ryzyko podatności na powstawanie błędów.

Poziomy obsługi i kopie bezpieczeństwa – Infrastruktura Medic Scanner wykorzystuje wielopoziomowe technologie zwiększające niezawodny czas pracy, w tym autoskalowanie, równoważenie obciążenia, kolejkowanie zadań i wdrażanie ciągłe. Automatycznie wykonujemy codzienne pełne kopie bezpieczeństwa naszych baz danych. Wszystkie kopie bezpieczeństwa są szyfrowane.

Monitoring systemu i ostrzeżeń – Specjalne systemy monitorowania kontrolują działanie aplikacji produkcyjnej Medic Scanner i jej podstawowych elementów infrastruktury przez całą dobę, 7 dni w tygodniu, 365 dni w roku. Generowane przez system ostrzeżenia o błędach krytycznych są wysyłane do osób odpowiedzialnych za usługę, będących w ciągłej gotowości, i są odpowiednio eskalowane do kierowników operacyjnych.

Testy podatności (penetracji) – Medic Scanner przeprowadza regularne testy penetracyjne wykonywane przez wiodących w branży specjalistów od cyberbezpieczeństwa w zakresie konfiguracji sieci, infrastruktury i poziomów aplikacji. Testy podatności obejmują wykorzystanie powszechnie znanych narzędzi w zakresie bezpieczeństwa aplikacji internetowych oraz skanerów w celu wykrycia podatności aplikacji na zagrożenia przed zleceniem jej produkcji.

Reakcja na Incydenty i powiadomienia o naruszeniu bezpieczeństwa danych – Zgodnie z międzynarodowymi przepisami i wytycznymi w Medic Scanner określono proces opisujący działania podejmowane w momencie pojawienia się informacji o jakimkolwiek zdarzeniu zdefiniowanym jako Incydent, w tym o naruszeniu bezpieczeństwa danych.

Bezpieczeństwo jako część kultury korporacyjnej Medic Scanner – Pracownicy i współpracownicy Investment Analytics Sp. z o.o. przechodzą szkolenie w zakresie bezpieczeństwa i wykonywania swoich obowiązków związanych z zachowaniem bezpieczeństwa danych, zgodnie z odpowiednimi regulaminami, procedurami i umowami, nie rzadziej niż raz w roku. Zespół ds. bezpieczeństwa Medic Scanner stale monitoruje, aktualizuje, testuje i udoskonala korporacyjne zasady bezpieczeństwa i programy ochrony danych.