Centre de confiance HiBoop : sécurité, confidentialité et conformité
Le Centre de confiance HiBoop fournit des renseignements détaillés sur notre engagement en matière de sécurité, de confidentialité et de validation clinique. En tant que fournisseur de technologies de la santé, nous respectons les normes les plus strictes en matière de protection des données, notamment la conformité à la HIPAA, à la LPRPDE et au RGPD. Nous comprenons que la sécurité des données des patients est primordiale pour votre pratique clinique.
Notre plateforme utilise le chiffrement AES-256 pour les données au repos et TLS 1.3 pour les données en transit. Nous menons régulièrement des audits de sécurité par des tiers et maintenons un programme de conformité détaillé pour garantir l'intégrité et la confidentialité des renseignements personnels de santé (RPS). En utilisant l'infrastructure sécurisée de Google Cloud Platform, nous fournissons un environnement sécurisé et fiable pour les soins numériques axés sur les mesures. Notre cadre de sécurité est conçu pour répondre aux exigences rigoureuses des hôpitaux, des grands réseaux de la santé et des cabinets privés.
Les données de vos patients,
Protégées dès la conception.
Sécurité et conformité.
Conçu en tenant compte des normes de protection des données de santé, élaboré pour prendre en charge la loi HIPAA, la LPRPDE, le codage CIM-11 et d'autres exigences réglementaires.
Normes de données.
HiBoop est conçu sur les normes ouvertes HL7 et FHIR R4 (Fast Healthcare Interoperability Resources), la même fondation utilisée par Epic, Cerner et tous les principaux DSE sur le marché. La résidence des données, PIPEDA et RGPD sont respectés de bout en bout. Vos données ne sont jamais bloquées dans un format propriétaire.
FHIR R4 est la norme mondiale pour l'échange électronique de renseignements de santé, maintenue par HL7 International et exigée par l'ONC en vertu du 21st Century Cures Act pour les entités couvertes par HIPAA. S'appuyer sur FHIR signifie que les résultats d'évaluation, les scores et les données sur les résultats peuvent circuler directement vers n'importe quel DSE conforme, aujourd'hui ou à l'avenir, sans intergiciel sur mesure.
Ressources d'interopérabilité rapide en santé
Les résultats des évaluations et les données de suivi sont structurés comme des ressources FHIR : ils peuvent être exportés et utilisés par tout système compatible avec FHIR. Aucune couche de traduction n'est requise.
Fonctionne avec vos systèmes existants
Exportez les données d'évaluation dans des formats standards. HiBoop fonctionne en parallèle avec votre DSE existant : aucun remplacement ni intégration complexe n'est requis.
Vos données, vos formats
Exportation complète des données aux formats CSV, HL7 et FHIR sans frais supplémentaires. Vos données vous appartiennent, en tout temps. Aucun enfermement, aucune exportation sous rançon, aucun format exclusif.
Défense en profondeur.
Stratégie de sécurité multicouche protégeant chaque vecteur de données. Renforcée aux niveaux de l'infrastructure, de l'application et au niveau clinique.
Chiffrement partout
AES-256 au repos et TLS 1.3 en transit avec rotation automatisée des clés.
Isolement du réseau
Les instances de calcul s'exécutent dans des VPC privés, isolés de l'Internet public.
Gestion des vulnérabilités
Cycles de balayage quotidiens et tests d'intrusion annuels par une 3e partie.
Intégrité de l'application.
Fonctionnalités de sécurité conçues pour la précision clinique. Protection sans friction.
Multifacteur obligatoire
Standard pour tous les comptes cliniques. Prise en charge du TOTP et des clés de sécurité matérielles.
Pistes immuables
Chaque consultation et exportation est consignée de manière cryptographique. Visibilité complète sur l'accès aux données.
Contrôles granulaires
Accès strict basé sur les rôles. Le personnel ne voit que les RPS pertinents pour son autorisation clinique.
Délais d'inactivité intelligents
Les délais d'inactivité configurables protègent automatiquement les données sur les postes de travail cliniques partagés.
Sécurité des appareils des employés
DrSprinto analyse tous les ordinateurs des employés pour vérifier la protection active contre les logiciels malveillants et le respect des normes de conformité.
Chiffrement des données
Chiffrement AES-256 pour les données au repos. TLS 1.3 pour toutes les données en transit avec confidentialité persistante.
Partenaires d'infrastructure.
Chaque fournisseur subit un examen de sécurité rigoureux. La résidence des données est strictement imposée.
Google Cloud
InfrastructureHébergement d'application et base de données
Cloudflare
SécuritéProtection WAF, DNS et DDoS
Sprinto
ConformitéAutomatisation de la conformité
Stripe
PaiementsTraitement des paiements
HubSpot
GRCGestion de la relation client
État du système.
Checking…
Checking…
Divulgation responsable.
Nous apprécions la contribution des chercheurs en sécurité. Si vous identifiez une vulnérabilité, signalez-la rapidement à notre équipe d'intervention.
Dans le périmètre
- Contournement de l'authentification/autorisation
- Vulnérabilités d'injection (SQL, XSS, SSRF)
- Exposition de RPS ou de données de patients
- Contrôles d'accès défaillants / IDOR
- Failles de gestion de session
- Contournement ou altération des journaux d'audit
- Faiblesses de chiffrement (données au repos / en transit)
Hors de portée
- Ingénierie sociale / hameçonnage
- DDoS / attaques volumétriques
- Rapports générés par un analyseur sans constat vérifié
- Tests visant personnellement le personnel ou les employés de HiBoop
- Tests destructifs (suppression, modification ou exfiltration de données de production
Besoin d'un examen de sécurité?
Notre équipe de sécurité est disponible pour répondre à des questions détaillées, remplir les questionnaires des fournisseurs et fournir les documents de conformité nécessaires.
Foire aux questions
HiBoop est-il conforme à la HIPAA?
Oui. HiBoop respecte les règles de confidentialité et de notification des violations de la HIPAA. Des accords d'association commerciale (BAA) sont offerts à tous les clients d'entreprise américains. Notre plateforme met en œuvre des mesures de sécurité techniques, notamment le chiffrement, les contrôles d'accès et la journalisation des audits, afin de protéger les renseignements personnels de santé (RPS).
HiBoop est-il conforme aux lois canadiennes sur la protection des renseignements personnels?
Oui. HiBoop est entièrement conforme à la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) ainsi qu'aux lois fédérales et provinciales canadiennes sur la protection des renseignements personnels. Pour les clients canadiens, la résidence des données est strictement appliquée sur le sol canadien avec une infrastructure hébergée dans les régions de Google Cloud Canada.
Quelles certifications de sécurité HiBoop possède-t-il?
HiBoop est conforme à la HIPAA et à la LPRPDE, et est prêt pour le RGPD. Nous effectuons annuellement des tests d'intrusion par des tiers et une analyse quotidienne des vulnérabilités pour maintenir notre niveau de sécurité. Nous nous soumettons également à des audits de sécurité réguliers par des tiers pour vérifier nos contrôles.
HiBoop est-il prêt pour le RGPD pour les clients internationaux?
Oui. HiBoop soutient les principes de confidentialité dès la conception du RGPD avec une prise en charge complète des droits des personnes concernées, y compris l'accès aux données, l'effacement et la portabilité. L'architecture de notre plateforme permet de respecter les exigences de l'UE en matière de protection des données pour les déploiements internationaux.
Comment les données des patients sont-elles chiffrées?
Toutes les données des patients sont chiffrées selon la norme AES-256 au repos et TLS 1.3 en transit. Les clés de chiffrement sont automatiquement renouvelées, et notre implémentation du chiffrement respecte les meilleures pratiques de l'industrie en matière de protection des données de santé.
Quels contrôles d'accès protègent les données des patients?
HiBoop met en œuvre une sécurité de défense en profondeur comprenant : une authentification multifacteur (AMF) obligatoire avec la prise en charge des TOTP et des clés de sécurité matérielles, un contrôle d'accès basé sur les rôles (RBAC) strict garantissant que le personnel ne voit que les RPS pertinents pour son autorisation clinique, l'isolation du réseau avec des instances de calcul dans des VPC privés, et des délais d'inactivité configurables pour les postes de travail cliniques partagés.
Y a-t-il des journaux d'audit pour l'accès aux données?
Oui. Chaque consultation et exportation de données de patients est consignée cryptographiquement dans des pistes d'audit immuables. Cela offre une visibilité complète sur les modèles d'accès aux données et répond aux exigences de conformité pour la surveillance des accès et les enquêtes sur les violations.
Où les données des patients sont-elles stockées et qui sont vos partenaires d'infrastructure?
Nous stockons toutes les données des patients sur l'infrastructure Google Cloud, avec une application stricte des exigences de résidence des données (régions du Canada et des États-Unis). Nous collaborons avec des sous-traitants vérifiés qui ont conclu des ententes de traitement des données (ETD) et des accords de partenariat commercial (BAA). Nos principaux partenaires comprennent Google Cloud (infrastructure), Cloudflare (sécurité/WAF), Sprinto (automatisation de la conformité) et Stripe (paiements). Nous ne vendons jamais de données de patients à des tiers.
Comment puis-je signaler une vulnérabilité de sécurité?
Nous encourageons la divulgation responsable de la part des chercheurs en sécurité. Si vous identifiez une vulnérabilité, veuillez la signaler rapidement via notre formulaire de contact avec l'objet « Divulgation de sécurité ». Les vulnérabilités admissibles comprennent le contournement de l'authentification ou de l'autorisation, les failles d'injection, l'exposition des RPS ou des données de patients, les contrôles d'accès défaillants, les faiblesses dans la gestion des sessions, le contournement des journaux d'audit et les problèmes de chiffrement, qui sont tous essentiels à nos obligations en vertu de la HIPAA, de la LPRPDE et du RGPD. Hors de portée : l'ingénierie sociale, les attaques DDoS, les rapports de scanners non vérifiés et les tests destructifs contre les données de production.
Puis-je demander une évaluation de la sécurité ou de la documentation de conformité?
Oui. Notre équipe de sécurité est à votre disposition pour répondre à vos questions détaillées, remplir les questionnaires de sécurité des fournisseurs et fournir les artefacts de conformité nécessaires, y compris les BAA, les rapports d'audit de sécurité et la documentation de conformité. Utilisez notre formulaire de contact pour toute demande d'évaluation de la sécurité.