Сигурност и съответствие

Сигурността е в основата на платформата Doctorita. Обработваме чувствителни здравни данни и разбираме критичната отговорност да защитаваме поверителността на пациентите и интегритета на данните.

Тази страница детайлизира нашите технически мерки за сигурност, рамки за съответствие и най-добри практики за защита на вашата информация.

**Криптиране при предаване:**

- TLS 1.3 за всички мрежови комуникации

- HTTPS задължително (пренасочване HTTP → HTTPS)

- Сигурни връзки към всички услуги от трети страни

**Криптиране в покой:**

- AES-256 за съхранение на аудио файлове и документи

- Криптиране за структурирани данни (записи на пациенти, транскрипции)

- Сигурно съхранение на ключове с помощта на Kubernetes тайни

**Криптиране на ниво приложение:**

- Асиметрично криптиране за токени за удостоверяване

- Хеширане на пароли използвайки bcrypt (за локални акаунти)

**Удостоверяване:**

- Токени с асиметрично криптиране

- Изтичане на токени след 24 часа с автоматично опресняване

- Многофакторно удостоверяване (MFA) налично за всички акаунти

**Контрол на достъпа базиран на роли (RBAC):**

- Администратори: Пълен достъп до настройки на организацията

- Практикуващи: Достъп до назначени пациенти и посещения

- Медицински сестри: Ограничен достъп за преглед и транскрипция

**Сегрегация на данни:**

- Строга изолация между организации (мулти-наемане)

- Всеки потребител вижда само данните на собствената си организация

- Изолация на ниво база данни използвайки филтри organization_id

**Местоположение на данните:**

- ЕС данни съхранени в ЕС региона

- Клъстери на бази данни в ЕС региона

- Без трансфери на данни извън ЕС

**Време на работа и наличност:**

- SLA за 99,9% време на работа

- Резервна архитектура с автоматично аварийно превключване

- Редовни резервни копия (ежедневно) със задържане от 30 дни

- План за възстановяване при бедствие (RPO: 24 часа, RTO: 4 часа)

**Предварително подписани URL адреси:**

- Всички файлове достъпни чрез предварително подписани URL адреси (изтичане след 1 час)

- Без директен достъп до URL адреси на файлове - контрол на достъпа прилаган чрез бекенд

**Задържане на аудио файлове:**

- Аудио файлове изтрити в рамките на 30 дни от транскрипция

- Запазване на текстова транскрипция (без биометрични аудио данни)

**Сканиране за злонамерен софтуер:**

- Всички качени файлове сканирани за вируси и злонамерен софтуер

- Блокиране на файлове с неоторизирани типове файлове

Работим със сертифицирани процесори от трети страни, които спазват стандартите за сигурност и съответствие.

Всички процесори са съвместими с GDPR и имат сертификати SOC 2 Type II и ISO 27001.

**Дневници за одит:**

- Всички действия на потребителя записани (достъп до пациенти, изтривания, модификации)

- Дневници запазени 2 години

- Неизменяеми дневници (не могат да бъдат променяни или изтривани от потребители)

**Наблюдение на сигурността:**

- Наблюдение и оповестяване на подозрителна активност в реално време

- Автоматично блокиране на IP адреси след неуспешни опити за влизане (5 опита)

- Откриване на аномалии за необичайни модели на достъп

**План за реагиране при инциденти:**

- Специален екип за реагиране при инциденти наличен 24/7

- Ясни процедури за ескалация при нарушения

- Уведомяване в рамките на 24 часа на засегнатите страни

**Уведомяване за нарушение:**

- Уведомяване на GDPR надзорния орган в рамките на 72 часа

- Незабавно уведомяване на засегнати потребители при висок риск

Докладвайте инциденти за сигурност на security@doctorita.com.

**GDPR (ЕС):**

- Пълно съответствие с GDPR с наличен DPA

- Определено длъжностно лице по защита на данните (DPO)

- Редовни оценки на въздействието върху защитата на данните (DPIA)

**HIPAA (САЩ):**

- HIPAA годен (BAA наличен при поискване)

- Технически предпазни мерки за PHI

- Обучение на служителите за HIPAA

**ISO 27001:**

- Система за управление на информационната сигурност (ISMS)

- Годишен одит от трета страна (в процес)

**SOC 2 Type II:**

- В процес на сертифициране (очаквано завършване: Q2 2026)

**Обучение за сигурност:**

- Задължително обучение за осведоменост за сигурността за всички служители

- Годишно обучение за GDPR и HIPAA

- Симулации на фишинг и тестване на реагиране при инциденти

**Политика за достъп:**

- Достъп с минимални привилегии (само необходимото)

- Преглед на достъпа на всеки 90 дни

- Незабавно оттегляне на достъпа при прекратяване на работата

**Редовно сканиране:**

- Седмични автоматизирани сканирания за уязвимости

- Месечни сканирания на зависимости (npm, pip)

- Годишно тестване на проникване от експерти от трети страни

**Управление на корекции:**

- Критични корекции за сигурност приложени в рамките на 48 часа

- Корекции със средна тежест приложени в рамките на 7 дни

- Редовни актуализации на системата и уведомления за поддръжка