Aperçu de la sécurité

La plateforme INTRAX d'Intelligent Locations est construite dès le départ en tenant compte de la sécurité. Nous suivons et mettons en œuvre les recommandations des meilleures pratiques et des normes dans chaque couche de l'architecture en nuage et du processus de développement. Nous suivons la norme ISO 27001 et l'ensemble applicable de contrôles de sécurité SOC2 Type 2 (rapport disponible sur demande).

Pour notre application web, nous utilisons les recommandations de la norme OWASP top10, tout en maintenant les certifications HIPAA et SOC 2. Intelligent Locations applique déjà une posture de sécurité robuste, continuellement améliorée par notre processus interne de gouvernance de la sécurité. Nous utilisons Security Scorecard et Coalition Inc comme outils externes de surveillance de la cybersécurité, ce qui nous aide, ainsi que nos clients, à surveiller en permanence l'état actuel de la posture de sécurité.

L'approche de sécurité employée par Intelligent Locations, la stratégie de défense en profondeur, vise à combiner de multiples contrôles de sécurité appliqués à chaque couche de la plate-forme. Voici quelques exemples de ces mesures :

1. Sécurité du réseau - surveillance continue du trafic et isolement complet des ressources internes et des outils de développement dans le nuage, ce qui réduit la surface d'attaque.

  • a. N'autorisez l'accès aux données confidentielles qu'aux employés qui en ont strictement besoin pour leur travail.
  • b. Appliquez des connexions cryptées à toutes les ressources du cloud ainsi qu'un MFA pour les e-mails d'entreprise.
  • c. Protection contre les virus et surveillance du système d'exploitation pour s'assurer que les derniers correctifs de sécurité sont installés.

2. Sécurité des applications - imposer un accès authentifié à toutes les applications internes et destinées aux clients. Suivez des exemples de mesures d'accès et de sécurité en place :

  • a. Appliquer le contrôle d'accès basé sur les rôles (RBAC) à toutes les applications internes et destinées aux clients, ainsi que le cryptage de bout en bout des flux de données de toutes les applications.
  • b. Le chiffrement est appliqué, en transit, au niveau du protocole de transport.
  • c. Les données au repos sont cryptées à l'aide de l'algorithme de cryptage standard AES-256 pour RDS (bases de données) et le stockage en nuage. Une couche de cryptage supplémentaire au niveau de l'application est appliquée pour les données PHI et PII.
  • d. Des systèmes de détection d'intrusion et de journalisation sont en place pour toutes les applications. En fonction de la fonctionnalité spécifique d'une application, nous stockons les fichiers journaux pour une période maximale d'un an.
  • e. AWS CloudWatch est activé pour toutes les entrées de journal à longue durée de vie.
  •  f. Le service OpenSearch est utilisé pour les entrées de journal à longue durée d'exploitation et de débogage.

3. Utilisateurs - Les utilisateurs internes (employés de Intelligent Locations) sont soumis à :

  • Processus d'embarquement et de débarquement gérés par des politiques.
  • L'accès à l'infrastructure du cloud est géré par AWS IAM (identity access management).
  • L'accès à d'autres ressources internes d'Intelligent Locations est géré par Microsoft Azure Identity Server (accès aux applications de messagerie de l'entreprise, MS Teams et autres services SSO).
  • La gestion de l'identité d'INTRAX (application d'interface utilisateur client) est assurée par des IDP de signature unique. Nous prenons en charge les identités gérées localement (par exemple, les utilisateurs gérés par notre IDP interne) ainsi que les IDP des clients (authentifications fédérées) sur la base des protocoles SAML (de préférence), OIDC, LDAP SSO.

Intelligent Locations fait l'objet d'un audit annuel, qui aide l'entreprise à comprendre ce qu'elle fait bien et ce qui peut être amélioré. Des améliorations sont apportées régulièrement et des plans sont en place pour les événements à risque.

Pour les événements exceptionnels qui pourraient être imprévus ou hors du contrôle d'Intelligent Locations (catastrophes naturelles, cyber-attaques, etc.), la société maintient un plan de reprise après sinistre afin de restaurer le système et de minimiser les temps d'arrêt potentiels pour les clients. L'équipe d'Intelligent Locations teste le plan de reprise après sinistre au moins deux fois par an. Les services en nuage sont configurés de manière à ce que les utilisateurs finaux subissent le moins possible de perturbations et de pertes de données, et Intelligent Locations s'efforce constamment de les améliorer pour couvrir le plus grand nombre de scénarios possible.

En cas de violation des données ou de défaillance de l'une de nos politiques, le plan de réponse aux incidents est mis en œuvre.

HIPAA

Intelligent Locations est certifié HIPAA. Conformément aux exigences légales définies par les lois et règlements HIPAA, Intelligent Locations maintient et applique un ensemble de politiques et se tient au courant des besoins en matière de sécurité pour protéger les PHI.

Certification SOC 2 de type 2

Intelligent Locations est fier de maintenir la certification SOC2 Type 2, pour laquelle Intelligent Locations peut fournir, sur demande, un rapport de confiance SOC2T2 qui met en évidence notre engagement en matière de contrôles et de surveillance de la sécurité.

Test d'intrusion annuel

Dans le cadre du processus de certification, Intelligent Locations a effectué un test de pénétration externe approfondi, suivi d'un processus de remédiation complet qui a permis à nos ingénieurs d'appliquer des correctifs de manière proactive et d'améliorer la sécurité de l'application.

Logos de certification

Découvrez comment INTRAX™ peut accroître l'efficacité du personnel, identifier les lacunes, améliorer la sécurité, renforcer la conformité et optimiser les opérations de votre hôpital.

Nous contacter
cercle orange avec une flèche pointant vers le haut