homedoctor está plenamente comprometido con la Seguridad, tanto de los sistemas, como del desarrollo de nuestro software, como en general la Seguridad de la Información. Por ello, disponemos de un Sistema Integrado de Gestión, que incluye la calidad y la seguridad (y el cumplimiento normativo), y nos permite controlar y supervisar la seguridad en todos los procesos de nuestra organización.
homedoctor está en proceso de certificación de su Sistema de Gestión de la Seguridad de la Información bajo la norma ISO 27001 y el Esquema Nacional de Seguridad (ENS).
Adicionalmente, y en cumplimiento del Reglamento MDR (EU) 2017/745, implementamos normas de seguridad adicionales a nuestro producto sanitario (software) bajo normativas ISO 62304, ISO 82304 e ISO 14971.
Desarrollo de aplicaciones web y móviles
En homedoctor estamos comprometidos con el diseño, creación y mantenimiento de sistemas seguros, así como en la gestión completa de la seguridad durante todo el ciclo de vida del software.
Nuestra solución homedoctor Medisoft está clasificada como Clase IIa bajo la regulación (EU) 2017/745 y certificada con número 179/MDR por la entidad IMQ. Por ello, cumple los más estrictos estándares de seguridad durante todo el ciclo de vida del software en cumplimiento de las normas ISO 62304 e ISO 82304, así como ISO 14971.
homedoctor dispone de licencia de fabricación de dispositivos médicos (software) así como licencia de importación y/o agrupación Nº Licencia:7524-PS de la Agencia Española del Medicamento y Producto Sanitario.
Nuestra aplicación cumple la norma ISO 13485 de gestión de la calidad aplicable para dispositivos médicos, en todo el ciclo de vida del software, de la que está certificada por la entidad IMQ.
Todos los desarrollos se analizan periódicamente para revisar las vulnerabilidades de seguridad habituales, como el documento Top 10 de OWASP.
Se ofrece formación periódica sobre Prácticas de codificación segura. Todos los ingenieros deben asistir a las sesiones de formación.
El Equipo de seguridad de homedoctor audita periódicamente el uso de cifrado para el almacenamiento y la transmisión de información confidencial.
Todas las aplicaciones web y móviles son desarrolladas, probadas, implementadas y mantenidas por un equipo interno de ingenieros a tiempo completo.
Seguridad de los Sistemas
Los sistemas de producción de homedoctor están alojados en AWS cumpliendo las más estrictas normas y buenas prácticas de seguridad aplicables.
Adicionalmente, homedoctor realiza pentestings y auditorías de seguridad periódicas para garantizar la seguridad e integridad de los sistemas.
Cifrado
homedoctor utiliza métodos de cifrado y procedimientos de gestión de claves seguros para garantizar la protección de tu información confidencial.
Es posible acceder a las API y al sitio web de homedoctor a través del certificado SSL de 256 bits.
homedoctor intenta que el menor número posible de empleados tengan acceso a las claves de cifrado.
Seguridad de los proveedores
En cumplimiento del reglamento MDR (EU 2017/745), del que disponemos certificado de cumplimiento, validamos cada proveedor con unos estrictos requisitos de seguridad.
Todos los proveedores que almacenen o traten cualquier dato considerado de carácter personal deben estar certificados bajo la norma ISO 27001 de Seguridad de la Información.
Todos los proveedores que almacenen o traten cualquier dato considerado de carácter personal deben estar ubicados dentro de la Unión Europea, almacenar los datos dentro de la misma, y no cederlos a terceros, en cumplimiento del Reglamento de Protección de Datos (GDPR).
Los proveedores críticos relacionados con la disponibilidad deben, además, disponer de un Sistema de Gestión de la Calidad.
Todos los proveedores han sido verificados y auditados por nuestros especialistas en seguridad para validar que cumplen los requisitos.
Seguridad de los pagos
homedoctor realiza el proceso de pago mediante la plataforma Stripe, quien cumple con el Nivel 1 de PCI-DSS 3.2.1 como Comerciante y como Proveedor de servicios.
Un auditor certificado por PCI evaluó Stripe y los certificó con el PCI de nivel 1 para proveedores de servicios. Este es el nivel de certificación más estricto disponible en el sector de los pagos. Esta auditoría incluye el almacenamiento de datos de tarjetas de Stripe (CDV) y el desarrollo de software seguro de su código de integración.
Los sistemas, procesos y controles de Stripe se auditan regularmente como parte de programas de cumplimiento SOC 1 y SOC 2.
Puede obtener más información sobre la seguridad en Stripe usando este enlace.
Privacidad
homedoctor mantiene un programa de privacidad integral. Para nosotros esto significa que, aunque la ley o las normativas nos obliguen a hacer determinadas cosas, estamos continuamente evaluando si podemos y debemos hacer más.
No vendemos la información personal de nuestros clientes a terceros.
Contamos con un completo equipo jurídico y de seguridad que se ocupa de las cuestiones de privacidad y seguridad.
homedoctor ha tomado las medidas apropiadas para sondear a nuestros empleados.
Todos los empleados se someten a verificaciones de referencias, formación y otras verificaciones personales. Algunos empleados también se someten a verificaciones detalladas de antecedentes.
homedoctor cuenta con un programa de formación de seguridad de la información que cumple con los estándares de las normas ISO 27001 y ENS.
Contamos en nuestra plantilla con personal de seguridad con conocimientos avanzados, así como formación especializada en seguridad, y que trabaja a tiempo completo.
Los empleados deben reconocer por escrito sus funciones y responsabilidades con respecto a la protección de los datos y la privacidad de los usuarios.
Respuesta a incidentes
Si bien hacemos todo lo posible para evitar infracciones o incidentes de seguridad en nuestros sistemas, sabemos que ningún sistema informático es 100% seguro.
homedoctor dispone de un Comité de Seguridad y Compliance que se encarga de gestionar, evaluar, investigar y resolver los incidentes de seguridad.
En caso de infracción de seguridad de un sistema de información de homedoctor, contamos con un plan de respuesta a incidentes.
Pruebas periódicas del plan de respuesta.
homedoctor supervisa de forma permanente sus sistemas de seguridad y sus alertas.
No obstante, si ha detectado una anomalía o falla, o simplemente quiere más información sobre nuestra seguridad, puede contactar con security@homedoctor.es, donde atenderemos sus inquietudes.
homedoctor se encuentra en proceso de certificación de la norma ISO 27001
homedoctor se encuentra en proceso de certificación bajo en ENS
Advertencias / Precauciones de Homedoctor Medisoft
Homedoctor Medisoft es un software certificado en el reglamento MDR (EU 2017/745) en su clase IIa. En cumplimiento del punto 7.2.2.3 de la norma ISO 82304, y tal y como se indica en el el punto 4 del IFU, se especifican las siguientes advertencias y/o precauciones:
Los usuarios deben instalar, mantener y mantenerse actualizados con actualizaciones de software, parches de seguridad y detección de malware (antivirus) de manera regular.
Los usuarios deben ejecutar software antivirus y malware de forma regular.
Los usuarios no deben guardar la contraseña en una computadora pública o de trabajo compartida.
Los usuarios deben bloquear la computadora cuando no la usen y configurar el protector de pantalla para bloquear la pantalla después de un período de inactividad.
Los usuarios deben evitar conectarse a redes públicas.
Los usuarios deben utilizar contraseñas seguras y evitar guardar contraseñas “codificadas”.
Los usuarios no deben guardar la contraseña en una computadora pública o de trabajo compartida.
Los usuarios deben usar un cortafuegos.
El usuario debe estar conectado a Internet para utilizar el software.
El usuario debe otorgar permisos a la cámara o micrófono al ingresar a la videoconsulta.
El usuario debería reforzar las contraseñas con una política de contraseñas.
En caso de duda, por favor póngase en contacto con nosotros a través de atencionalcliente@homedoctor.es
Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.
Funcional
Siempre activo
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.
Marketing
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.
