Embedded Files
Oświadczenie o Zgodności (Statement of Compliance)
Oświadczenie o Zgodności (Statement of Compliance)
Dotyczy: Dyrektywy NIS2 oraz Standardów Bezpieczeństwa Danych Medycznych
Dotyczy: Dyrektywy NIS2 oraz Standardów Bezpieczeństwa Danych Medycznych
Wersja dokumentu: 1.2 Podmiot: upmedic sp. z o.o.
1. Wstęp i Cel Dokumentu
1. Wstęp i Cel Dokumentu
Niniejszy dokument potwierdza, że platforma upmedic spełnia wymogi bezpieczeństwa sieci i systemów informatycznych określone w unijnej dyrektywie NIS2 (2022/2555). Jako dostawca zaawansowanych usług cyfrowych dla sektora ochrony zdrowia, upmedic wdraża środki techniczne i organizacyjne (TOMs), które gwarantują poufność, integralność oraz dostępność przetwarzanych danych medycznych.
2. Kluczowe Filary Zgodności z NIS2
2. Kluczowe Filary Zgodności z NIS2
A. Zarządzanie Incydentami (Art. 23)
A. Zarządzanie Incydentami (Art. 23)
upmedic posiada wdrożony i przetestowany protokół reagowania na incydenty cyberbezpieczeństwa.
Raportowanie 24h: Gwarantujemy gotowość do przekazania wczesnego ostrzeżenia o poważnym incydencie w czasie nieprzekraczającym 24 godzin od jego wykrycia.
Pełna Analiza: Zobowiązujemy się do przedstawienia pełnej oceny incydentu w ciągu 72 godzin, zgodnie z wytycznymi właściwych organów nadzorczych (CSIRT/CERT).
B. Kontrola Dostępu i Uwierzytelnianie (Art. 21 ust. 2 lit. j)
B. Kontrola Dostępu i Uwierzytelnianie (Art. 21 ust. 2 lit. j)
Rozumiemy, że bezpieczeństwo tożsamości jest fundamentem ochrony danych pacjentów.
Integracja MFA: upmedic wykorzystuje mechanizmy uwierzytelniania wieloskładnikowego (MFA)zintegrowane z infrastrukturą szpitalną (np. poprzez protokoły SAML, OpenID Connect).
Zasada Zero Trust: Dostęp lekarzy do platformy jest autoryzowany przez systemy tożsamości klienta, co zapewnia spójność polityk bezpieczeństwa i eliminuje ryzyko słabych haseł zewnętrznych.
C. Bezpieczeństwo Łańcucha Dostaw (Art. 21 ust. 2 lit. d)
C. Bezpieczeństwo Łańcucha Dostaw (Art. 21 ust. 2 lit. d)
Jako krytyczne ogniwo w łańcuchu dostaw placówek medycznych, upmedic prowadzi rygorystyczną politykę weryfikacji własnych poddostawców:
Lokalizacja Danych: Przetwarzanie danych odbywa się wyłącznie w certyfikowanych centrach danych na terenie Europejskiego Obszaru Gospodarczego (EOG).
Audyt Dostawców: Każdy dostawca infrastruktury (IaaS/PaaS) jest weryfikowany pod kątem posiadanych certyfikatów (ISO 27001, SOC2) oraz fizycznych i cyfrowych środków ochrony.
D. Higiena Cybernetyczna i Szkolenia (Art. 20)
D. Higiena Cybernetyczna i Szkolenia (Art. 20)
Bezpieczeństwo jest elementem kultury organizacyjnej upmedic:
Szkolenia Personelu: Każdy pracownik posiadający dostęp do systemów produkcyjnych przechodzi regularne szkolenia z zakresu bezpieczeństwa informacji oraz zagrożeń typu socjotechnicznego.
Wewnętrzne Środki Bezpieczeństwa: Stosujemy restrykcyjne polityki czystego ekranu, szyfrowania urządzeń końcowych oraz regularne przeglądy uprawnień.
3. Parametry Techniczne Zabezpieczeń
3. Parametry Techniczne Zabezpieczeń
Szyfrowanie danych TLS 1.3 dla danych w ruchu; AES-256 dla danych w spoczynku.
Standardy Medyczne Pełna zgodność z protokołami HL7 CDA, FHIR.
Monitorowanie Ciągły monitoring logów systemowych pod kątem anomalii.
Interoperacyjność Bezpieczna integracja z systemami HIS/RIS/EHR poprzez dedykowane pluginy.
4. Transparentność i Współpraca (VDP)
4. Transparentność i Współpraca (VDP)
Wierzymy w model współodpowiedzialności za bezpieczeństwo. Uruchomiliśmy dedykowaną platformę dla badaczy bezpieczeństwa i partnerów:
https://compliance.upmedic.io/incident
Za pośrednictwem powyższego adresu można zgłaszać wykryte podatności oraz pobierać aktualne raporty dotyczące zgodności.
Zatwierdzono przez: Zespół ds. Bezpieczeństwa Informacji upmedic
Page updated
Report abuse