Zaufanie i bezpieczeństwo
PostDICOM przechowuje i przetwarza miliony obrazów medycznych w ponad 30 krajach. Ta strona dokumentuje naszą architekturę bezpieczeństwa, niezależne certyfikaty i praktyki zgodności — aby mogli Państwo podjąć świadomą decyzję.
Architektura bezpieczeństwa
PostDICOM stosuje środki bezpieczeństwa na warstwach szyfrowania, tożsamości, infrastruktury i płatności — ponieważ bezpieczeństwo to nie funkcja, to fundament, na którym zaprojektowano platformę.
Chronione informacje o stanie zdrowia (PHI) są zabezpieczone za pomocą szyfrowania AES-256 w spoczynku. Wszystkie dane w tranzycie — między urządzeniami do obrazowania, przeglądarkami a naszą chmurą — są chronione przez TLS 1.2/1.3.
Kontrola dostępu oparta na rolach (RBAC) pozwala przyznać każdemu członkowi zespołu precyzyjnie określone uprawnienia. Uwierzytelnianie dwuskładnikowe (2FA) jest obsługiwane dla wszystkich kont. Wyświetlenia, przesyłanie, udostępnianie i działania administracyjne są rejestrowane w dzienniku audytu przechowywanym podczas aktywnej subskrypcji.
PostDICOM działa na platformie Microsoft Azure — jednej z najczęściej używanych na świecie platform chmurowych dla przedsiębiorstw. Dane są przechowywane w regionie wybranym przez Pana/Panią podczas zakładania konta. Microsoft Azure posiada certyfikaty zgodności z ISO 27001, SOC 2 i HIPAA w całej swojej globalnej infrastrukturze.
Przetwarzanie płatności jest obsługiwane wyłącznie przez Stripe, dostawcę z certyfikatem PCI DSS Level 1. PostDICOM nie przechowuje, nie przesyła ani nie przetwarza numerów kart kredytowych na własnych serwerach. Wszystkie nowe subskrypcje korzystają z Stripe Setup Intents z uwierzytelnianiem 3D Secure (SCA), weryfikując, czy karta jest ważna i autoryzowana przed rozpoczęciem okresu próbnego.
Tak. PostDICOM wykorzystuje 12 niezależnych regionów Microsoft Azure, dzięki czemu może Pan/Pani wybrać jurysdykcję, w której przechowywane są dane pacjentów — wspierając regionalne przepisy dotyczące danych medycznych, które wymagają, aby dokumentacja pozostawała w określonych granicach geograficznych.
Podczas konfigurowania konta PostDICOM, wybiera Pan/Pani swój główny region. Pliki DICOM, bazy danych i logi są zaprojektowane tak, aby pozostały w wybranej jurysdykcji.
Szkielet Microsoft Azure
Unia Europejska
Frankfurt (Niemcy)
Paryż (Francja)
Stany Zjednoczone
Nowy Jork (USA)
Los Angeles (USA)
Dallas (USA)
Wielka Brytania
Londyn (Wielka Brytania)
Szwajcaria
Zurych (Szwajcaria)
Kanada
Montreal (Kanada)
Azja i Pacyfik
Singapur
Sydney (Australia)
Pune (Indie)
Ameryka Południowa
São Paulo (Brazylia)
Certyfikaty
PostDICOM posiada certyfikaty: Znak CE Klasy IIb, ISO 27001, ISO 13485, ISO 9001 oraz ISO 15504, przyznane przez niezależne jednostki audytujące — nie są to samooceny. Każdy z nich reprezentuje ciągłe zaangażowanie, a nie jednorazowe osiągnięcie.
Certyfikaty Znak CE, ISO 27001, ISO 13485, ISO 9001 i ISO 15504 są posiadane przez Ekstrem Bir Bilgisayar Danışmanlık İç ve Dış Ticaret Limited Şirketi, certyfikowanego prawnego producenta oprogramowania PostDICOM. Wpisy dotyczące HIPAA i RODO odzwierciedlają zgodny projekt architektury, a nie certyfikaty stron trzecich.
Znak CE — Klasa IIb
1984-MDD-10-057
PostDICOM posiada znak CE jako wyrób medyczny klasy IIb zgodnie z Dyrektywą o wyrobach medycznych (MDD 93/42/EEC).
ISO 27001:2022
Zarządzanie bezpieczeństwem informacji
Niezależny audyt zewnętrzny naszego systemu zarządzania bezpieczeństwem informacji (ISMS), obejmujący zarządzanie ryzykiem, kontrolę dostępu, reagowanie na incydenty i ciągłość działania.
ISO 13485:2016
Zarządzanie jakością wyrobów medycznych
Certyfikacja naszego systemu zarządzania jakością specyficznego dla projektowania, rozwoju i nadzoru po wprowadzeniu do obrotu wyrobów medycznych.
ISO 9001:2015
System zarządzania jakością
Ogólna certyfikacja zarządzania jakością obejmująca stałą jakość świadczonych usług, które spełniają wymagania klientów i regulacyjne.
ISO 15504 / SPICE
Poziom 2 — Zdolność procesu oprogramowania
Ocena zdolności naszego procesu rozwoju oprogramowania na Poziomie 2 (Proces zarządzany), potwierdzająca, że rozwój oprogramowania jest planowany, monitorowany i dostosowywany w celu osiągnięcia zdefiniowanych celów.
Architektura zgodna z HIPAA
Dane zdrowotne Stanów Zjednoczonych
Infrastruktura PostDICOM jest zaprojektowana tak, aby wspierać przepływy pracy z danymi medycznymi zgodne z HIPAA. Wszystkie PHI są szyfrowane w spoczynku i w tranzycie, dostęp jest rejestrowany, a systemy są wdrażane na platformie Microsoft Azure w centrach danych zlokalizowanych w USA dla klientów z regionu USA.
Architektura zgodna z RODO
Europejska i globalna ochrona danych
PostDICOM B.V. jest zarejestrowana w Holandii i działa w ramach prawnych Unii Europejskiej. Dane pacjentów dla klientów z UE są przechowywane w regionach Azure zlokalizowanych w UE.
Mapa drogowa regulacji
PostDICOM posiada obecnie znak CE jako wyrób medyczny klasy IIb i aktywnie dąży do uzyskania zgodności z rozporządzeniem MDR UE. Poniżej znajduje się przejrzysty przegląd naszej obecnej sytuacji i planów na przyszłość.
1984-MDD-10-057
PostDICOM posiada obecnie znak CE zgodnie z Dyrektywą o wyrobach medycznych (MDD 93/42/EEC) jako oprogramowanie do obrazowania medycznego klasy IIb. Certyfikat ten jest aktywny i utrzymywany.
Medical Device Regulation (EU) 2017/745
Dyrektywa o wyrobach medycznych jest zastępowana przez Rozporządzenie o wyrobach medycznych (MDR). Prawny producent PostDICOM jest aktywnie zaangażowany w proces przejścia na MDR. Planowane zakończenie: 2028.
Podprocesorzy
PostDICOM polega na niewielkiej liczbie starannie wybranych dostawców — Microsoft Azure dla infrastruktury chmurowej i Stripe do przetwarzania płatności. Poniżej znajduje się pełna lista kluczowych podprocesorów, z których korzystamy.
Transparentność korporacyjna
PostDICOM działa za pośrednictwem dwóch podmiotów: PostDICOM B.V. (Holandia), globalnego podmiotu handlowego i licencyjnego, oraz Ekstrem Bir Bilgisayar Danışmanlık, certyfikowanego prawnego producenta. Ta jasno zdefiniowana struktura oddziela licencjonowanie komercyjne od regulowanej produkcji oprogramowania.
Globalna siedziba główna
PostDICOM B.V. jest podmiotem, z którym zawiera Pan/Pani umowę przy zakupie subskrypcji PostDICOM. Jest odpowiedzialny za umowy z klientami, fakturowanie i kwestie ochrony danych.
Centrum technologiczne i badawczo-rozwojowe
Ekstrem Bir Bilgisayar Danışmanlık İç ve Dış Ticaret Limited Şirketi jest certyfikowanym prawnym producentem oprogramowania PostDICOM. Posiada wszystkie certyfikaty wyrobów medycznych i jest odpowiedzialny za inżynierię oprogramowania, zarządzanie jakością i zgodność regulacyjną platformy PostDICOM.
Proste odpowiedzi na typowe pytania w ramach analizy due diligence.
Tak. Infrastruktura i procesy PostDICOM są zaprojektowane tak, aby wspierać przepływy pracy zgodne z HIPAA: chronione informacje zdrowotne (PHI) są szyfrowane w spoczynku (AES-256) i w tranzycie (TLS 1.2/1.3), dostęp jest kontrolowany za pomocą uprawnień opartych na rolach i uwierzytelniania dwuskładnikowego, a cała aktywność jest rejestrowana w dzienniku audytu. Należy pamiętać, że oficjalny standard „certyfikacji HIPAA” nie istnieje — zgodność z HIPAA to zbiór praktyk, a nie certyfikat przyznawany przez stronę trzecią.
Podczas tworzenia konta PostDICOM, wybiera Pan/Pani główną lokalizację przechowywania danych spośród 12 niezależnych regionów Microsoft Azure: UE (Niemcy (Frankfurt), Francja (Paryż)), USA (Wschód, Zachód, Południowy-Centralny), Wielka Brytania (Londyn), Szwajcaria (Zurych), Kanada (Montreal), Azja i Pacyfik (Singapur, Australia (Sydney), Indie (Pune)) oraz Ameryka Południowa (Brazylia (São Paulo)). Pana/Pani dane są przechowywane w wybranej jurysdykcji, aby pomóc w spełnieniu lokalnych wymogów dotyczących rezydencji danych i zachowaniu zgodności z regionalnymi przepisami o ochronie danych medycznych (takimi jak RODO czy HIPAA).
Przed anulowaniem subskrypcji należy pobrać wszystkie dane pacjentów, które chce Pan/Pani zachować — w tym badania DICOM, obrazy medyczne, dokumenty i wszelkie inne przesłane pliki. Po zakończeniu subskrypcji wszystkie pozostałe dane pacjentów są trwale usuwane z naszych systemów. Po anulowaniu nie ma okresu karencji. Dane Pana/Pani konta są przechowywane wyłącznie w celach księgowych i fakturowych.