medEQ
 Strona główna
Centrum zaufania

Bezpieczeństwo, na które możesz się powołać

Tu w jednym miejscu pokazujemy, jak chronimy dane: jakie kontrole mamy wdrożone, według jakich ram pracujemy i czego jeszcze nie zrobiliśmy. Bez ściemy - ze statusami i uczciwym oświadczeniem o certyfikacji.

RODO art. 32 Ramy ISO/IEC 27001 Hosting w UE AES-256 Dziennik audytu DPA art. 28

Status certyfikacji - mówimy wprost

MedEQ buduje i działa w oparciu o ramy normy ISO/IEC 27001:2022, ale nie posiada jeszcze certyfikatu wydanego przez akredytowaną jednostkę zewnętrzną. Poniższe statusy to nasza samoocena. Naszą warstwę fizyczną (centra danych) zapewnia OVHcloud, dostawca z certyfikatami ISO 27001. Jeśli potrzebujesz formalnego certyfikatu do przetargu - powiedz nam, uwzględnimy to w rozmowie.

Według jakich ram pracujemy

Nie wymyślamy własnych standardów. Opieramy się o uznane ramy i przepisy.

RODO / GDPR

Środki techniczne i organizacyjne zgodne z art. 32. Umowa powierzenia (art. 28) i obsługa praw pacjenta.

ISO/IEC 27001:2022

Kontrole zorganizowane wg ram normy (Załącznik A). Stosujemy je jako standard pracy - bez certyfikatu jednostki zewnętrznej.

Dokumentacja medyczna

Wsparcie wymogów ustawy o prawach pacjenta: audytowalność wpisów, wersjonowanie, retencja i kontrola dostępu.

Samoocena kontroli (ISO/IEC 27001:2022, Załącznik A)

Kontrole pogrupowane wg czterech tematów normy. Status oznacza: Wdrożone w pełni działa, Częściowe wdrażane / nieformalne, Planowane na mapie drogowej.

Kontrole organizacyjne

Polityki, role i zarządzanie ryzykiem oraz dostawcami.

  • Polityka bezpieczeństwa informacji i ochrony danych Wdrożone
  • Umowa powierzenia (DPA, art. 28 RODO) jako część umowy Wdrożone
  • Jawna lista subprocesorów z due diligence i prawem sprzeciwu Wdrożone
  • Procedura zgłaszania naruszeń (notyfikacja do 24 h) Wdrożone
  • Formalna analiza ryzyka i rejestr ryzyk (SoA) Częściowe
  • Certyfikacja przez akredytowaną jednostkę zewnętrzną Planowane

Kontrole dotyczące ludzi

Dostęp pracowników i zasada minimalnych uprawnień.

  • Role i zasada najmniejszych uprawnień (RBAC) Wdrożone
  • Uwierzytelnianie dwuskładnikowe (2FA) Wdrożone
  • Rozdzielenie danych między placówkami (multi-tenant) Wdrożone
  • Cykliczne szkolenia świadomości bezpieczeństwa zespołu Częściowe

Kontrole fizyczne

Bezpieczeństwo centrów danych - oparte na certyfikowanym dostawcy.

  • Hosting i kopie zapasowe w Unii Europejskiej (OVHcloud) Wdrożone
  • Centra danych z certyfikatami ISO 27001 / SOC po stronie dostawcy Wdrożone
  • Brak transferu danych pacjentów poza obszar RODO (poza opcjonalnym AI na SCC) Wdrożone

Kontrole technologiczne

Szyfrowanie, monitoring, kopie i bezpieczny rozwój.

  • Szyfrowanie danych wrażliwych w spoczynku (AES-256) Wdrożone
  • Szyfrowanie transmisji (TLS 1.2+), osobny klucz per placówka Wdrożone
  • Dziennik audytu - każde wejście w kartę i każda zmiana Wdrożone
  • Kopie zapasowe i procedura odtwarzania po awarii (DRP) Wdrożone
  • Monitoring błędów i dostępności (health checks) Częściowe
  • Regularne zewnętrzne testy penetracyjne Planowane

Dokumenty do wglądu

Bezpieczeństwo i RODO

Filary ochrony danych, FAQ i czym MedEQ nie jest.

Umowa powierzenia (DPA)

Pełna treść umowy art. 28 RODO i lista subprocesorów.

Polityka prywatności

Cele, kategorie danych, prawa użytkownika, cookies.

Regulamin

Zakres usług, płatności, odpowiedzialność, reklamacje.

Masz pytanie o bezpieczeństwo lub przetarg?

Prześlemy wzór DPA, listę subprocesorów i odpowiemy na pytania działu zakupów lub inspektora ochrony danych.

Rozpocznij trial 30 dni Napisz do nas

Materiał informacyjny. Statusy odzwierciedlają samoocenę na dzień publikacji i mogą się zmieniać wraz z rozwojem produktu.