Sikkerhet og tillit

Sikker utvikling

Vi utvikler og vedlikeholder systemet vårt i henhold til SDL-prinsippet (Secure Development Lifecycle), og vi gjennomfører sikkerhetstester for alle endringer eller nyutviklinger, med separate miljøer for utvikling, testing og produksjon. I all vår virksomhet har vi tatt i bruk prinsipper for sikker systemutvikling, for eksempel "security by design", kodegjennomgang og statisk sikkerhetstesting av applikasjoner.

Datasikkerhet

Vi håndhever streng intern tilgangskontroll, og gir kun tilgang til data til personer med nødvendige tillatelser og rollebaserte rettigheter i samsvar med funksjonelle ansvarsområder, i henhold til prinsippene om "need-to-know" og "need-to-use". Disse rettighetene gjennomgås regelmessig.

Vi tar regelmessig sikkerhetskopier og tester lagring av data på sikre servere ved hjelp av kryptert dataoverføring på ulike steder, for å forhindre tap eller ødeleggelse av data, samt for å sikre levedyktigheten i tilfelle en hendelse.

Kryptering i hvile og under transport: Vi bruker avanserte krypteringsteknologier, og all vår eksterne kommunikasjon støttes via krypterte kanaler som er sikret med standardprotokoller (opp til TLS 1.3 med AES-128/AES-256-kryptering) og avhengig av kompatibilitetsforhold. Med vår SOAP med krypteringsfunksjon kan sensitiv informasjon (SOAP-kommentarer og sykehistorie) krypteres når den er i ro (RSA-4096).

Sikkerhetskontroller for bedrifter

Vi gjennomfører interne og eksterne revisjoner for å sikre at våre interne retningslinjer og prosedyrer etterleves og er effektive, samt sårbarhetsvurderinger.

Vår plan for driftskontinuitet og katastrofegjenoppretting gjennomgås årlig, og etablerte handlingsplaner testes minst én gang i året for å sikre at de er klare, i tråd med vår omfattende policy og prosedyre for hendelsesrespons.

Våre personalprosedyrer sikrer at vi utfører bakgrunnssjekker før vi ansetter en person, og at vi inngår en avtale om taushetsplikt og konfidensialitet og om nødvendig en databehandleravtale.

Vi har iverksatt tiltak for bevisstgjøring og opplæring i informasjonssikkerhet og personvern, med fokus på beskyttelse av personopplysninger, personvern og sikkerhet, og som er rettet mot alle ansatte.

Vi gjennomfører regelmessige sårbarhetsvurderinger og penetrasjonstester, og iverksetter tilhørende utbedringer/tiltak i henhold til sårbarhetskritikk og prioriteringer.

Overholdelse

Vi tilpasser sikkerhetspraksisen vår til gjeldende standarder, lover og forskrifter, i tillegg til kravene i ISO 27001-sertifiseringen vår, som følger den nyeste ISO/IEC 27001:2022-standarden. Finn ut mer på vår dedikerte side for sertifiseringen vår, eller kontakt vår securityofficer@simplybook.me.

For å beskytte personopplysninger har vi strengt håndhevet gjeldende personvern- og databeskyttelsespraksis i all vår virksomhet, som beskrevet i vår GDPR-samsvarserklæring og personvernpolicy. Du kan kontakte oss for å få mer informasjon på dpo@simplybook.me.

Som en del av vårt juridiske ansvar i henhold til HIPAA-reglene, identifiserer vi risikoområder, utvikler retningslinjer og prosedyrer, inngår Business Associate Agreement, lærer opp våre ansatte og sørger for at PHI alltid er beskyttet. Hvis du er interessert, kan du be om en kopi av våre retningslinjer for overholdelse av HIPAA ved å kontakte oss på legal@simplybook.me.

Vi behandler, lagrer eller overfører ingen kredittkortinformasjon i forbindelse med våre forretningsforbindelser og når du bruker vår SBPay me-løsning. Alle betalingene dine behandles av eksterne og sikre betalingstjenesteleverandører som overholder PCI DSS-standarden.

Hvis du har spesifikke spørsmål, vennligst kontakt vår legal@simplybook.me.