Fiducia e Sicurezza
PostDICOM archivia ed elabora milioni di immagini mediche in oltre 30 paesi. Questa pagina documenta la nostra architettura di sicurezza, le certificazioni indipendenti e le pratiche di conformità, affinché Lei possa prendere una decisione informata.
Architettura di Sicurezza
PostDICOM applica controlli di sicurezza a livello di crittografia, identità, infrastruttura e pagamenti, perché la sicurezza non è una funzionalità, ma il fondamento su cui è progettata la piattaforma.
Le informazioni sanitarie protette (PHI) sono messe in sicurezza tramite crittografia AES-256 a riposo. Tutti i dati in transito — tra i Suoi dispositivi di imaging, i browser e il nostro cloud — sono protetti tramite TLS 1.2/1.3.
Il controllo degli accessi basato sui ruoli (RBAC) Le consente di concedere a ciascun membro del team autorizzazioni definite con precisione. L'autenticazione a due fattori (2FA) è supportata per tutti gli account. Visualizzazioni, caricamenti, condivisioni e azioni amministrative vengono registrati in un registro di controllo conservato durante il Suo abbonamento attivo.
PostDICOM opera su Microsoft Azure, una delle piattaforme cloud aziendali più utilizzate al mondo. I Suoi dati sono archiviati nella regione che Lei seleziona durante la configurazione dell'account. Microsoft Azure detiene le certificazioni di conformità ISO 27001, SOC 2 e HIPAA per tutta la sua infrastruttura globale.
L'elaborazione dei pagamenti è gestita esclusivamente da Stripe, un fornitore certificato PCI DSS di Livello 1. PostDICOM non archivia, trasmette o elabora numeri di carta di credito sui propri server. Tutti i nuovi abbonamenti utilizzano gli intenti di configurazione di Stripe con autenticazione 3D Secure (SCA), verificando che la Sua carta sia valida e autorizzata prima dell'inizio del periodo di prova.
Sì. PostDICOM utilizza 12 regioni indipendenti di Microsoft Azure, consentendoLe di selezionare la giurisdizione in cui archiviare i dati dei Suoi pazienti, supportando le leggi regionali sui dati sanitari che richiedono che le cartelle cliniche rimangano entro specifici confini geografici.
Quando configura il Suo account PostDICOM, Lei seleziona la Sua regione principale. I Suoi file DICOM, i database e i registri sono progettati per rimanere all'interno della giurisdizione selezionata.
Infrastruttura di Microsoft Azure
Unione Europea
Francoforte (Germania)
Parigi (Francia)
Stati Uniti
New York City (USA)
Los Angeles (USA)
Dallas (USA)
Regno Unito
Londra (Regno Unito)
Svizzera
Zurigo (Svizzera)
Canada
Montreal (Canada)
Asia e Pacifico
Singapore
Sydney (Australia)
Pune (India)
Sud America
San Paolo (Brasile)
Certificazioni
PostDICOM detiene le certificazioni Marchio CE Classe IIb, ISO 27001, ISO 13485, ISO 9001 e ISO 15504, rilasciate da enti di audit di terze parti indipendenti, non autovalutate. Ciascuna rappresenta un impegno continuo, non un risultato una tantum.
Le certificazioni Marchio CE, ISO 27001, ISO 13485, ISO 9001 e ISO 15504 sono detenute da Ekstrem Bir Bilgisayar Danışmanlık İç ve Dış Ticaret Limited Şirketi, il produttore legale certificato del software PostDICOM. Le voci relative a HIPAA e GDPR riflettono la progettazione di un'architettura conforme, non certificazioni di terze parti.
Marchio CE — Classe IIb
1984-MDD-10-057
PostDICOM è dotato di marchio CE come dispositivo medico di Classe IIb ai sensi della Direttiva sui Dispositivi Medici (MDD 93/42/CEE).
ISO 27001:2022
Gestione della Sicurezza delle Informazioni
Audit di terze parti indipendenti del nostro sistema di gestione della sicurezza delle informazioni (ISMS) che copre la gestione del rischio, il controllo degli accessi, la risposta agli incidenti e la continuità operativa.
ISO 13485:2016
Gestione della Qualità dei Dispositivi Medici
Certificazione del nostro sistema di gestione della qualità specifico per la progettazione, lo sviluppo e la sorveglianza post-commercializzazione dei dispositivi medici.
ISO 9001:2015
Sistema di Gestione della Qualità
Certificazione generale di gestione della qualità che copre la fornitura costante di servizi che soddisfano i requisiti dei clienti e normativi.
ISO 15504 / SPICE
Livello 2 — Capacità del Processo Software
Valutazione della capacità del nostro processo di sviluppo software al Livello 2 (Processo Gestito), a conferma che lo sviluppo del software è pianificato, monitorato e adeguato per raggiungere obiettivi definiti.
Architettura Conforme a HIPAA
Dati Sanitari degli Stati Uniti
L'infrastruttura di PostDICOM è progettata per supportare flussi di lavoro di dati sanitari conformi a HIPAA. Tutte le PHI sono crittografate a riposo e in transito, l'accesso è registrato e i sistemi sono implementati su Microsoft Azure in data center con sede negli Stati Uniti per i clienti della regione statunitense.
Architettura Conforme a GDPR
Protezione dei Dati Europea e Globale
PostDICOM B.V. è una società costituita nei Paesi Bassi e opera nel quadro giuridico dell'Unione Europea. I dati dei pazienti per i clienti dell'UE sono archiviati in regioni Azure con sede nell'UE.
Roadmap Normativa
PostDICOM è attualmente dotato di marchio CE come dispositivo medico di Classe IIb e sta attivamente procedendo verso la conformità al regolamento MDR dell'UE. Di seguito è riportata una panoramica trasparente della nostra posizione attuale e delle nostre direzioni future.
1984-MDD-10-057
PostDICOM è attualmente dotato di marchio CE ai sensi della Direttiva sui Dispositivi Medici (MDD 93/42/CEE) come software di imaging medico di Classe IIb. Questa certificazione è attiva e mantenuta.
Regolamento sui Dispositivi Medici (UE) 2017/745
La Direttiva sui Dispositivi Medici è in fase di sostituzione da parte del Regolamento sui Dispositivi Medici (MDR). Il produttore legale di PostDICOM è attivamente impegnato nel processo di transizione al MDR. Completamento previsto: 2028.
Sub-responsabili del Trattamento
PostDICOM si affida a un piccolo numero di fornitori attentamente selezionati: Microsoft Azure per l'infrastruttura cloud e Stripe per l'elaborazione dei pagamenti. Di seguito è riportato un elenco completo dei principali sub-responsabili del trattamento che utilizziamo.
Trasparenza Aziendale
PostDICOM opera tramite due entità: PostDICOM B.V. (Paesi Bassi), l'entità commerciale e di licenza globale, ed Ekstrem Bir Bilgisayar Danışmanlık, il produttore legale certificato. Questa struttura chiaramente definita separa le licenze commerciali dalla produzione di software regolamentato.
Sede Globale
PostDICOM B.V. è l'entità con cui Lei stipula un contratto quando acquista un abbonamento PostDICOM. È responsabile degli accordi con i clienti, della fatturazione e delle questioni relative alla protezione dei dati.
Centro Tecnologico e di R&S
Ekstrem Bir Bilgisayar Danışmanlık İç ve Dış Ticaret Limited Şirketi è il produttore legale certificato del software PostDICOM. Detiene tutte le certificazioni per dispositivi medici ed è responsabile dell'ingegneria del software, della gestione della qualità e della conformità normativa della piattaforma PostDICOM.
Risposte dirette a comuni domande di due diligence.
Sì. L'infrastruttura e i processi di PostDICOM sono progettati per supportare flussi di lavoro conformi a HIPAA: le PHI sono crittografate a riposo (AES-256) e in transito (TLS 1.2/1.3), l'accesso è controllato tramite autorizzazioni basate sui ruoli e autenticazione a due fattori, e ogni attività è registrata in un registro di controllo. Si noti che la 'certificazione HIPAA' non esiste come standard ufficiale: la conformità HIPAA è un insieme di pratiche, non un certificato rilasciato da terze parti.
Quando crea il Suo account PostDICOM, Lei seleziona la Sua posizione di archiviazione principale tra 12 regioni indipendenti di Microsoft Azure: UE (Germania (Francoforte), Francia (Parigi)), USA (Est, Ovest, Centro-Sud), Regno Unito (Londra), Svizzera (Zurigo), Canada (Montreal), Asia-Pacifico (Singapore, Australia (Sydney), India (Pune)) e Sud America (Brasile (San Paolo)). I Suoi dati sono ospitati all'interno della giurisdizione da Lei selezionata per aiutarLa a soddisfare i requisiti locali di residenza dei dati e a conformarsi alle leggi regionali sulla privacy sanitaria (come GDPR o HIPAA).
Prima di cancellare il Suo abbonamento, scarichi tutti i dati dei pazienti che desidera conservare, inclusi studi DICOM, immagini mediche, documenti e qualsiasi altro file caricato. Al termine del Suo abbonamento, tutti i dati rimanenti dei pazienti vengono eliminati in modo permanente dai nostri sistemi. Non è previsto alcun periodo di tolleranza dopo la cancellazione. I dati del Suo account vengono conservati solo a fini contabili e di fatturazione.