Política de Segurança da Informação da SDI

Versão 1.3
Aprovado pela Direcção da SDI em 10 de Abril de 2022

Introdução
SafeDose, Inc. (“SDI”) documenta a nossa Política de Segurança da Informação da SDI, que rege a SafeDose (solução de software da SDI), os sistemas administrativos da SDI e processos relacionados.

SafeDose é uma ferramenta autónoma, baseada na web, de referência em linha para informação de dosagem de medicamentos pediátricos e outras informações de dosagem de medicamentos pediátricos. SafeDose não se integra com sistemas EHR ou quaisquer outras aplicações ou bases de dados na rede dos nossos clientes. SafeDose não recolhe nem armazena informações de PHI, e portanto não está sujeita aos regulamentos HIPAA ou GDPR. SafeDose mantém uma base de dados de utilização de medicamentos apropriada, organizada por peso e indicação, e fornece essa informação aos utilizadores através de uma interface de utilizador padrão. medida que o sistema é utilizado, SafeDose recolhe informações gerais sobre a utilização, tais como os medicamentos pesquisados ou a utilização de características específicas, com as quais poderia ser utilizada pela SDI para melhorar o produto no futuro. SafeDose está alojado na Amazon Web Services (AWS) e aproveita os princípios do AWS Well-architected Framework, que define práticas comuns da indústria para aplicação e alojamento de dados na AWS. A SDI aproveita a Google G-Suite para comunicações internas, alavancando as práticas estabelecidas pela Google. A SDI alavanca algumas soluções de terceiros (Jira, GitHub, etc.) no desenvolvimento da solução de software SafeDose, alavancando as práticas estabelecidas para cada um desses fornecedores.

A Política
A SDI
leva a sério a importância de manter a integridade dos nossos sistemas e soluções de software, em benefício da indústria da saúde. Por conseguinte, a SDI Management estabelece a seguinte Política de Segurança da Informação da SDI:

  1. Todos os dispositivos utilizados pela SDI devem manter actualizados os patches do sistema operativo e utilizar o software antimalware actual.
  2. Os membros da SDI devem usar de cuidado razoável para proteger todos os dispositivos propriedade da SDI e na sua posse para proteger software ou dados relacionados com o negócio da SDI.
  3. A SDI não faz, por Carta, a manutenção ou armazenamento de PHI em forma electrónica ou física, incluindo meios removíveis. Não obstante, se qualquer membro da SDI entrar na posse de DCC, tal membro não divulgará ou partilhará tal informação, e tomará medidas razoáveis para remover tal informação dos sistemas da SDI.
  4. Os únicos dados PII que a SDI mantém são informações básicas de contacto profissional, para comunicar com os nossos clientes. A SDI não mantém nem armazena, por Carta, PII do paciente em forma electrónica ou física, incluindo meios removíveis. Não obstante, se qualquer membro da SDI entrar na posse de informações que identificam pessoalmente o paciente, esse membro não deve divulgar ou partilhar essas informações e deve tomar medidas razoáveis para remover essas informações dos sistemas da SDI
  5. Os recursos electrónicos (computadores, servidores, computadores portáteis, tablets, telemóveis, bases de dados e outros servidores de aplicações que são propriedade da SDI) são propriedade da SDI e estão sujeitos às políticas da SDI.
  6. A SDI realiza periodicamente avaliações de risco de segurança para identificar áreas que possam requerer protecção adicional ou remediação. Os métodos, técnicas, calendário e resultados destas avaliações não são publicados ou partilhados fora da SDI, por política.
  7. Todos os dispositivos móveis utilizados pelos membros da SDI para SDI Business devem ser protegidos por palavra-passe.
  8. A SDI efectuará cópias de segurança de dados e software de acordo com um calendário estabelecido e manterá cópias de segurança de uma forma consistente com as práticas comuns da indústria. Em caso de catástrofe, a SDI envidará os melhores esforços para recuperar sistemas e dados, e notificará os clientes do impacto externo, caso exista, quando razoavelmente praticável.
  9. A SDI administrará aplicações de produção de SDI e bases de dados utilizando ferramentas e técnicas que sejam consistentes com as práticas e ferramentas comuns da indústria, incluindo o registo da utilização e monitorização.
  10. Todos os membros da SDI devem reportar incidentes de segurança que observem tão rapidamente quanto possível a um membro da Direcção da SDI.
  11. A SDI autenticará os administradores do sistema utilizando a protecção por palavra-passe nos sistemas de desenvolvimento de software e aplicações de produção e bases de dados da SDI.
  12. A SDI autorizará o acesso por parte dos administradores de sistemas e programadores de software, de acordo com o seu papel e responsabilidade de trabalho.
  13. A SDI revogará prontamente os direitos de acesso dos administradores de sistemas e dos programadores de software se deixarem a empresa ou já não estiverem envolvidos no negócio da SDI.
  14. A SDI deve investigar prontamente quaisquer incidentes de segurança comunicados ou identificados, trabalhar para identificar a(s) causa(s) raiz(s) na medida do possível e ajustar a postura de segurança da SDI conforme necessário.
  15. A SDI deve formar periodicamente todos os funcionários da SDI relativamente à Política de Segurança da Informação da SDI.
  16. A SDI reserva-se o direito de alterar ou alargar a Política de Segurança da Informação da SDI em qualquer altura, com ou sem aviso prévio.
  17. Os clientes da SDI têm a obrigação de manter um ambiente seguro, incluindo uma gestão adequada de senhas e controlos físicos dos dispositivos de acesso.
  18. A SDI pode, de tempos a tempos, celebrar acordos com terceiros para ajudar no desenvolvimento de software ou bases de dados, através de acordos contratuais, acordos de subcontratação e/ou acordos de associação empresarial. A SDI envidará os melhores esforços para assegurar que esses terceiros estejam cientes da Política de Segurança da Informação da SDI e adiram a ela.
  19. Quaisquer excepções à Política de Segurança da Informação da SDI devem ser aprovadas pela Direcção da SDI.
  20. Para além do acima referido, os clientes da SDI são responsáveis por envidar os melhores esforços para
    • salvaguardar as suas credenciais de acesso à SafeDose;
    • assegurar que os dados de PHI ou de PII do paciente não sejam partilhados com a SDI;
    • assegurar que os dispositivos que acedem ao SafeDose são seguros;
    • não pedir à SDI para iniciar sessão ou aceder de outra forma aos sistemas do cliente; e
    • comunicar quaisquer riscos ou preocupações de segurança da informação que possam estar relacionados com a SDI, logo que sejam identificados.

As perguntas relativas à Política de Segurança da Informação da SDI devem ser dirigidas a INFO@SAFEDOSEINC.COM

Definições
“Informação Sanitária Protegida” ou “DCC” é qualquer informação sanitária, sob qualquer forma ou meio, seja electrónico, em papel ou oral, relativa a um paciente criada como consequência da prestação de cuidados de saúde, contendo elementos suficientes para identificar o indivíduo, tais como o nome, morada, endereço electrónico, número de telefone, ou número de segurança social do paciente.

“Informação Pessoal Identificável” ou “PII” refere-se a informação que pode ser utilizada para identificar, localizar, ou contactar um indivíduo, tal como nome, endereço postal, endereço electrónico, número de telefone, número de segurança social, número de passaporte, número de carta de condução, número de conta bancária, número de cartão de crédito, ou imagem pessoal.

“SDI Management” significa um ou mais do CEO, CFO, COO, CTO, na medida em que tais posições sejam ocupadas.

“Membro da SDI” significa qualquer empregado, empreiteiro ou associado autorizado, envolvido na condução de negócios da SDI.