Vertrauen & Sicherheit
PostDICOM speichert und verarbeitet Millionen von medizinischen Bildern in über 30 Ländern. Diese Seite dokumentiert unsere Sicherheitsarchitektur, unabhängige Zertifizierungen und Compliance-Praktiken, damit Sie eine fundierte Entscheidung treffen können.
Sicherheitsarchitektur
PostDICOM wendet Sicherheitskontrollen auf den Ebenen der Verschlüsselung, Identität, Infrastruktur und Zahlung an – denn Sicherheit ist kein Feature, sondern das Fundament, auf dem die Plattform entwickelt wurde.
Geschützte Gesundheitsinformationen (PHI) werden im Ruhezustand durch AES-256-Verschlüsselung gesichert. Alle Daten während der Übertragung – zwischen Ihren Bildgebungsgeräten, Browsern und unserer Cloud – sind durch TLS 1.2/1.3 geschützt.
Die rollenbasierte Zugriffskontrolle (RBAC) ermöglicht es Ihnen, jedem Teammitglied präzise zugeschnittene Berechtigungen zu erteilen. Die Zwei-Faktor-Authentifizierung (2FA) wird für alle Konten unterstützt. Ansichten, Uploads, Freigaben und administrative Aktionen werden in einem Audit-Protokoll aufgezeichnet, das während Ihres aktiven Abonnements aufbewahrt wird.
PostDICOM läuft auf Microsoft Azure – einer der weltweit am weitesten verbreiteten Enterprise-Cloud-Plattformen. Ihre Daten werden in der Region gespeichert, die Sie bei der Kontoeinrichtung auswählen. Microsoft Azure verfügt über ISO 27001-, SOC 2- und HIPAA-Compliance-Zertifizierungen für seine globale Infrastruktur.
Die Zahlungsabwicklung erfolgt ausschließlich über Stripe, einen nach PCI DSS Level 1 zertifizierten Anbieter. PostDICOM speichert, übermittelt oder verarbeitet keine Kreditkartennummern auf eigenen Servern. Alle neuen Abonnements verwenden Stripe Setup Intents mit 3D Secure (SCA)-Authentifizierung, um zu überprüfen, ob Ihre Karte gültig und autorisiert ist, bevor Ihre Testphase beginnt.
Ja. PostDICOM nutzt 12 unabhängige Microsoft Azure-Regionen, sodass Sie die Jurisdiktion auswählen können, in der Ihre Patientendaten gespeichert werden. Dies unterstützt regionale Gesundheitsdatengesetze, die vorschreiben, dass Aufzeichnungen innerhalb bestimmter geografischer Grenzen verbleiben müssen.
Wenn Sie Ihr PostDICOM-Konto konfigurieren, wählen Sie Ihre primäre Region aus. Ihre DICOM-Dateien, Datenbanken und Protokolle sind so konzipiert, dass sie innerhalb der ausgewählten Jurisdiktion verbleiben.
Microsoft Azure Backbone
Europäische Union
Frankfurt (Deutschland)
Paris (Frankreich)
Vereinigte Staaten
New York City (USA)
Los Angeles (USA)
Dallas (USA)
Vereinigtes Königreich
London (Vereinigtes Königreich)
Schweiz
Zürich (Schweiz)
Kanada
Montreal (Kanada)
Asien & Pazifik
Singapur
Sydney (Australien)
Pune (Indien)
Südamerika
São Paulo (Brasilien)
Zertifizierungen
PostDICOM besitzt die Zertifizierungen CE-Kennzeichnung Klasse IIb, ISO 27001, ISO 13485, ISO 9001 und ISO 15504, die von unabhängigen externen Prüfstellen vergeben wurden – nicht selbst bewertet. Jede Zertifizierung stellt eine fortlaufende Verpflichtung dar, nicht eine einmalige Leistung.
Die Zertifizierungen CE-Kennzeichnung, ISO 27001, ISO 13485, ISO 9001 und ISO 15504 werden von Ekstrem Bir Bilgisayar Danışmanlık İç ve Dış Ticaret Limited Şirketi, dem zertifizierten rechtlichen Hersteller der PostDICOM-Software, gehalten. Die Einträge zu HIPAA und DSGVO spiegeln ein konformes Architekturdesign wider, keine Zertifizierungen von Drittanbietern.
CE-Kennzeichnung — Klasse IIb
1984-MDD-10-057
PostDICOM ist als Medizinprodukt der Klasse IIb gemäß der Medizinprodukterichtlinie (MDD 93/42/EWG) CE-gekennzeichnet.
ISO 27001:2022
Informationssicherheitsmanagement
Unabhängige Prüfung unseres Informationssicherheits-Managementsystems (ISMS) durch Dritte, die Risikomanagement, Zugriffskontrolle, Reaktion auf Vorfälle und Geschäftskontinuität abdeckt.
ISO 13485:2016
Qualitätsmanagement für Medizinprodukte
Zertifizierung unseres Qualitätsmanagementsystems speziell für das Design, die Entwicklung und die Überwachung nach dem Inverkehrbringen von Medizinprodukten.
ISO 9001:2015
Qualitätsmanagementsystem
Allgemeine Zertifizierung des Qualitätsmanagements, die die konsistente Erbringung von Dienstleistungen abdeckt, die Kunden- und regulatorische Anforderungen erfüllen.
ISO 15504 / SPICE
Stufe 2 — Fähigkeit von Softwareprozessen
Bewertung der Fähigkeit unseres Softwareentwicklungsprozesses auf Stufe 2 (Gemanagter Prozess), die bestätigt, dass die Softwareentwicklung geplant, überwacht und angepasst wird, um definierte Ziele zu erreichen.
HIPAA-konforme Architektur
US-Gesundheitsdaten
Die Infrastruktur von PostDICOM ist so konzipiert, dass sie HIPAA-konforme Arbeitsabläufe im Gesundheitswesen unterstützt. Alle PHI werden im Ruhezustand und während der Übertragung verschlüsselt, der Zugriff wird protokolliert und die Systeme werden für Kunden in der US-Region auf Microsoft Azure in US-amerikanischen Rechenzentren bereitgestellt.
DSGVO-konforme Architektur
Europäischer & globaler Datenschutz
PostDICOM B.V. hat ihren Sitz in den Niederlanden und agiert im Rechtsrahmen der Europäischen Union. Die Patientendaten für EU-Kunden werden in EU-basierten Azure-Regionen gespeichert.
Regulatorische Roadmap
PostDICOM ist derzeit als Medizinprodukt der Klasse IIb CE-gekennzeichnet und arbeitet aktiv an der EU-MDR-Konformität. Nachfolgend finden Sie einen transparenten Überblick darüber, wo wir heute stehen und wohin wir uns entwickeln.
1984-MDD-10-057
PostDICOM ist derzeit gemäß der Medizinprodukterichtlinie (MDD 93/42/EWG) als medizinische Bildgebungssoftware der Klasse IIb CE-gekennzeichnet. Diese Zertifizierung ist aktiv und wird aufrechterhalten.
Medizinprodukte-Verordnung (EU) 2017/745
Die Medizinprodukterichtlinie wird durch die Medizinprodukte-Verordnung (MDR) ersetzt. Der rechtliche Hersteller von PostDICOM ist aktiv am MDR-Übergangsprozess beteiligt. Ziel der Fertigstellung: 2028.
Unterauftragsverarbeiter
PostDICOM verlässt sich auf eine kleine Anzahl sorgfältig ausgewählter Anbieter – Microsoft Azure für die Cloud-Infrastruktur und Stripe für die Zahlungsabwicklung. Nachfolgend finden Sie eine vollständige Liste der wichtigsten von uns genutzten Unterauftragsverarbeiter.
Unternehmenstransparenz
PostDICOM agiert durch zwei Einheiten: PostDICOM B.V. (Niederlande), die globale Handels- und Lizenzierungseinheit, und Ekstrem Bir Bilgisayar Danışmanlık, der zertifizierte rechtliche Hersteller. Diese klar definierte Struktur trennt die kommerzielle Lizenzierung von der regulierten Softwareherstellung.
Weltweiter Hauptsitz
PostDICOM B.V. ist die Einheit, mit der Sie einen Vertrag abschließen, wenn Sie ein PostDICOM-Abonnement erwerben. Sie ist für Kundenvereinbarungen, Rechnungsstellung und Datenschutzangelegenheiten verantwortlich.
Technologie- & F&E-Zentrum
Ekstrem Bir Bilgisayar Danışmanlık İç ve Dış Ticaret Limited Şirketi ist der zertifizierte rechtliche Hersteller der PostDICOM-Software. Sie hält alle Zertifizierungen für Medizinprodukte und ist für das Software-Engineering, das Qualitätsmanagement und die Einhaltung der Vorschriften der PostDICOM-Plattform verantwortlich.
Einfache Antworten auf häufige Due-Diligence-Fragen.
Ja. Die Infrastruktur und Prozesse von PostDICOM sind so konzipiert, dass sie HIPAA-konforme Arbeitsabläufe unterstützen: PHI werden im Ruhezustand (AES-256) und während der Übertragung (TLS 1.2/1.3) verschlüsselt, der Zugriff wird über rollenbasierte Berechtigungen und Zwei-Faktor-Authentifizierung gesteuert und alle Aktivitäten werden in einem Audit-Protokoll aufgezeichnet. Beachten Sie, dass es keine offizielle „HIPAA-Zertifizierung“ gibt – die HIPAA-Konformität ist eine Reihe von Praktiken, keine von einer Drittpartei verliehene Bescheinigung.
Wenn Sie Ihr PostDICOM-Konto erstellen, wählen Sie Ihren primären Speicherort aus 12 unabhängigen Microsoft Azure-Regionen aus: EU (Deutschland (Frankfurt), Frankreich (Paris)), USA (Ost, West, Süd-Zentral), UK (London), Schweiz (Zürich), Kanada (Montreal), Asien-Pazifik (Singapur, Australien (Sydney), Indien (Pune)) und Südamerika (Brasilien (São Paulo)). Ihre Daten werden in der von Ihnen gewählten Jurisdiktion gehostet, um Ihnen zu helfen, lokale Datenresidenzanforderungen zu erfüllen und regionale Gesundheitsdatenschutzgesetze (wie DSGVO oder HIPAA) einzuhalten.
Bevor Sie Ihr Abonnement kündigen, laden Sie alle Patientendaten herunter, die Sie behalten möchten – einschließlich DICOM-Studien, medizinischer Bilder, Dokumente und aller anderen hochgeladenen Dateien. Wenn Ihr Abonnement endet, werden alle verbleibenden Patientendaten dauerhaft von unseren Systemen gelöscht. Es gibt keine Gnadenfrist nach der Kündigung. Ihr Kontodatensatz wird nur für Buchhaltungs- und Rechnungszwecke aufbewahrt.