Centre de confiance HiBoop - Sécurité, confidentialité et conformité
Le Centre de confiance HiBoop fournit des informations détaillées sur notre engagement envers la sécurité, la confidentialité et la validation clinique. En tant que fournisseur de technologie de soins de santé, nous adhérons aux normes les plus élevées de protection des données, y compris la conformité à la HIPAA, à la LPRPDE et au RGPD. Nous comprenons que la sécurité des données des patients est primordiale pour votre pratique clinique.
Notre plateforme utilise le chiffrement AES-256 pour les données au repos et TLS 1.3 pour les données en transit. Nous effectuons régulièrement des audits de sécurité par des tiers et maintenons un programme de conformité détaillé pour garantir l'intégrité et la confidentialité des renseignements personnels sur la santé (RPS). En utilisant l'infrastructure sécurisée de Google Cloud Platform, nous offrons un environnement sûr et fiable pour les soins axés sur les mesures numériques. Notre cadre de sécurité est conçu pour répondre aux exigences rigoureuses des hôpitaux, des grands systèmes de santé et des cabinets privés.
Vos données patient,
Protégées dès la conception.
Sécurité et conformité.
Conçu en tenant compte des normes de protection des données de santé, pour prendre en charge la HIPAA, la LPRPDE, le codage CIM-11 et d'autres exigences réglementaires.
Normes de données.
HiBoop est basé sur les normes ouvertes HL7 et FHIR R4 (Fast Healthcare Interoperability Resources), la même base utilisée par Epic, Cerner et tous les principaux DSE sur le marché. Les contrôles de résidence des données, de la LPRPDE et du RGPD sont respectés de bout en bout. Vos données ne sont jamais verrouillées dans un format propriétaire.
FHIR R4 est la norme mondiale pour l'échange électronique d'informations sur les soins de santé, maintenue par HL7 International et exigée par l'ONC en vertu de la 21st Century Cures Act pour les entités couvertes par la HIPAA. S'appuyer sur FHIR signifie que les résultats d'évaluation, les pointages et les données de résultats peuvent être intégrés directement dans n'importe quel DSE conforme, aujourd'hui ou à l'avenir, sans intergiciel personnalisé.
Fast Healthcare Interoperability Resources
Les résultats d'évaluation et les données de résultats sont structurés en tant que ressources FHIR, exportables et utilisables par tout système compatible FHIR. Aucune couche de traduction n'est nécessaire.
Fonctionne avec votre pile technologique existante
Exportez les données d'évaluation notées dans des formats standard. HiBoop fonctionne parallèlement à votre DSE existant, sans remplacement ni intégration complexe.
Vos données, vos formats
Exportation complète des données aux formats CSV, HL7 et FHIR sans frais supplémentaires. Vous êtes propriétaire de vos données, toujours. Pas de verrouillage, pas d'exportations contre rançon, pas de formats propriétaires.
Défense en profondeur.
Stratégie de sécurité multicouche protégeant chaque vecteur de données. Renforcée aux niveaux de l'infrastructure, de l'application et clinique.
Chiffrement partout
AES-256 au repos et TLS 1.3 en transit avec rotation automatisée des clés.
Isolation du réseau
Les instances de calcul s’exécutent dans des VPC privés, isolés de l’Internet public.
Gestion des vulnérabilités
Cycles de balayage quotidiens et tests de pénétration tiers annuels.
Intégrité de l'application.
Fonctionnalités de sécurité conçues pour la précision clinique. Protection sans friction.
Multifacteur obligatoire
Standard sur tous les comptes cliniques. Prise en charge des TOTP et des clés de sécurité matérielles.
Pistes immuables
Chaque vue et exportation est consignée de manière cryptographique. Visibilité complète sur l'accès aux données.
Contrôles granulaires
Accès strict basé sur les rôles. Le personnel ne voit que les RPS pertinents pour leur autorisation clinique.
Déconnexions intelligentes
Des délais d'inactivité configurables protègent automatiquement les données sur les postes de travail cliniques partagés.
Sécurité des appareils des employés
DrSprinto analyse tous les ordinateurs des employés pour une protection active contre les logiciels malveillants et les normes de conformité.
Chiffrement des données
Chiffrement AES-256 pour les données au repos. TLS 1.3 pour toutes les données en transit avec confidentialité persistante parfaite.
Partenaires d'infrastructure.
Chaque fournisseur est soumis à un examen de sécurité rigoureux. La résidence des données est strictement appliquée.
Google Cloud
InfrastructureHébergement d’applications et base de données
Cloudflare
SécuritéProtection WAF, DNS et DDoS
Sprinto
ConformitéAutomatisation de la conformité
Stripe
PaiementsTraitement des paiements
HubSpot
GRCGestion des relations
État du système.
Checking…
Checking…
Divulgation responsable.
Nous apprécions la contribution des chercheurs en sécurité. Si vous identifiez une vulnérabilité, signalez-la rapidement à notre équipe d'intervention.
Dans le périmètre
- Contournement d'authentification/d'autorisation
- Vulnérabilités d'injection (SQL, XSS, SSRF)
- Exposition de RPS ou de données patient
- Contrôles d'accès défaillants / IDOR
- Failles de gestion de séance
- Contournement ou altération du journal d'audit
- Faiblesses du chiffrement (données au repos / en transit)
Hors du champ d'application
- Ingénierie sociale / Hameçonnage
- Attaques DDoS / volumétriques
- Rapports générés par un scanneur sans découverte vérifiée
- Tests visant personnellement le personnel ou les employés de HiBoop
- Tests destructifs (suppression, modification ou exfiltration de données de production
Besoin d'un examen de sécurité?
Notre équipe de sécurité est disponible pour répondre à des questions détaillées, remplir des questionnaires de fournisseurs et fournir les artéfacts de conformité nécessaires.
Foire aux questions
HiBoop est-il conforme à la HIPAA?
Oui. HiBoop adhère aux règles de confidentialité et de notification de violation de la HIPAA. Des accords de partenariat (BAA) sont disponibles pour tous les clients entreprises américains. Notre plateforme met en œuvre des mesures de protection techniques, notamment le chiffrement, les contrôles d’accès et la journalisation des vérifications, pour protéger les renseignements de santé protégés (RSP).
HiBoop est-il conforme aux lois canadiennes sur la protection de la vie privée?
Oui. HiBoop est entièrement conforme à la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) et aux lois fédérales et provinciales canadiennes sur la protection de la vie privée. Pour les clients canadiens, la résidence des données est strictement appliquée sur le sol canadien avec une infrastructure hébergée dans les régions de Google Cloud Canada.
Quelles certifications de sécurité HiBoop possède-t-il?
HiBoop est conforme à la HIPAA, à la LPRPDE et prêt pour le RGPD. Nous effectuons des tests de pénétration annuels par des tiers et des analyses de vulnérabilité quotidiennes pour maintenir notre posture de sécurité. Nous subissons également des vérifications de sécurité régulières par des tiers pour vérifier nos contrôles.
HiBoop est-il prêt pour le RGPD pour les clients internationaux?
Oui. HiBoop prend en charge les principes de confidentialité dès la conception du RGPD avec un soutien complet des droits des personnes concernées, y compris l’accès, l’effacement et la portabilité des données. Notre architecture de plateforme permet la conformité avec les exigences de protection des données de l’UE pour les déploiements internationaux.
Comment les données des patients sont-elles chiffrées?
Toutes les données des patients sont chiffrées à l’aide du chiffrement AES-256 au repos et de TLS 1.3 en transit. Les clés de chiffrement sont automatiquement renouvelées et notre mise en œuvre du chiffrement suit les meilleures pratiques de l’industrie pour la protection des données de santé.
Quels contrôles d’accès protègent les données des patients?
HiBoop met en œuvre une sécurité en profondeur, y compris : l’authentification multifacteur (MFA) renforcée avec prise en charge du TOTP et des clés de sécurité matérielles, un contrôle d’accès strict basé sur les rôles (RBAC) garantissant que le personnel ne voit que les RPS pertinents à leur autorisation clinique, l’isolement du réseau avec des instances de calcul dans des VPC privés, et des délais d’inactivité configurables pour les postes de travail cliniques partagés.
Existe-t-il des journaux de vérification pour l’accès aux données?
Oui. Chaque consultation et exportation de données de patient est consignée de manière cryptographique dans des pistes de vérification immuables. Cela offre une visibilité complète sur les modèles d’accès aux données et soutient les exigences de conformité pour la surveillance de l’accès et les enquêtes sur les violations.
Où sont stockées les données des patients et qui sont vos partenaires d’infrastructure?
Toutes les données des patients sont stockées sur l’infrastructure de Google Cloud avec une application stricte de la résidence des données (régions du Canada/des États-Unis). Nous travaillons avec des sous-traitants agréés qui ont signé des accords de traitement des données (DPA) et des accords de partenariat (BAA). Les partenaires clés incluent Google Cloud (infrastructure), Cloudflare (sécurité/WAF), Sprinto (automatisation de la conformité) et Stripe (paiements). Aucune donnée de patient n’est jamais vendue à des tiers.
Comment puis-je signaler une vulnérabilité de sécurité?
Nous encourageons la divulgation responsable de la part des chercheurs en sécurité. Si vous identifiez une vulnérabilité, veuillez la signaler rapidement via notre formulaire de contact avec pour objet « Divulgation de sécurité ». Les vulnérabilités couvertes comprennent le contournement de l'authentification/autorisation, les failles d'injection, l'exposition de RPS ou de données de patients, les contrôles d'accès défaillants, les faiblesses de gestion de séance, le contournement du journal d'audit et les problèmes de chiffrement, tous essentiels à nos obligations HIPAA, LPRPDE et RGPD. Sont hors du champ d'application : l'ingénierie sociale, les attaques DDoS, les rapports de scanneurs non vérifiés et les tests destructifs sur les données de production.
Puis-je demander une évaluation de la sécurité ou de la documentation de conformité?
Oui. Notre équipe de sécurité est disponible pour répondre aux questions détaillées, remplir les questionnaires de sécurité des fournisseurs et fournir les artefacts de conformité nécessaires, y compris les BAA, les rapports de vérification de sécurité et la documentation de conformité. Contactez-nous via notre formulaire de contact pour les demandes d’examen de sécurité.