Birdie ha obtenido la certificación Cyber Essentials Plus y cumple las normas del NHS Data Security and Protection Toolkit.
El inicio de sesión en Birdie está protegido por un enlace de autenticación única.
Permitimos establecer niveles de permiso dentro de la aplicación para tu personal, de modo que solo los cuidadores invitados por ti puedan acceder a la información de un cliente. Los permisos se configuran de forma predeterminada a los niveles de permiso más seguros y solo pueden habilitarse mediante acción afirmativa de tu parte.
Uptime del 99,9 % o superior.
Los servicios y datos de Birdie se encuentran alojados en las instalaciones de Amazon Web Services (AWS) (eu-west-2) en el Reino Unido.
Birdie se construyó pensando en la recuperación en caso de catástrofe. Toda nuestra infraestructura y datos están repartidos en 2 zonas de disponibilidad de AWS y seguirán funcionando en caso de que alguno de esos centros de datos falle.
Todos nuestros servidores están dentro de nuestra propia nube privada virtual (VPC) con listas de control de acceso a la red (ACL) que impiden que las solicitudes no autorizadas lleguen a nuestra red interna.
Se realizan regularmente copias de seguridad de la base de datos del sistema de producción de Birdie y antes de cualquier actualización o cambio de configuración importante en el entorno de producción de Birdie. Estas copias de seguridad permiten, en caso de catástrofe, crear un entorno de réplica en un periodo de tiempo mínimo. Las copias de seguridad se almacenan en un entorno y una región de AWS diferentes (eu-west-1).
Birdie utiliza múltiples herramientas internas y de terceros para supervisar su entorno de producción y protegerlo contra posibles amenazas o errores:
Un panel de control de producción interno añade información de los múltiples sistemas de Birdie y proporciona al personal de operaciones de Birdie una visión clara del estado del entorno de producción de Birdie. Birdie también cuenta con un sistema de tickets de soporte técnico que permite a los administradores y usuarios finales informar de cualquier problema o error que encuentren al utilizar la solución web de Birdie.
Los datos personales confidenciales solo son accesibles para el personal que los necesita para su función actual y el acceso se elimina en cuanto deja de ser necesario.
Todos los accesos a datos personales confidenciales en los sistemas informáticos pueden atribuirse a individuos y registrarse. Se aplica el principio de «mínimo privilegio», para que los usuarios no tengan acceso a los datos que no tienen necesidad de ver.
Contamos con Single Sign-on (SSO), autenticación de 2 factores (2FA) y políticas de contraseñas fuertes en GitHub, Google y AWS para garantizar que el acceso a los servicios en la nube esté protegido.
Nuestro equipo de infraestructuras se encarga de garantizar que nuestra plataforma sea segura y esté disponible en todo momento. Una vez al año contratamos a expertos en seguridad de terceros para que realicen pruebas de penetración detalladas en la aplicación y la infraestructura de Birdie (la última prueba de penetración fue realizada en noviembre de 2021 por KPMG).
Sabemos que Birdie puede ser fundamental para el bienestar de tus clientes y tu empresa. Por eso tenemos ingenieros de guardia disponibles en todo momento.
Birdie aplica un protocolo de gestión de eventos de seguridad que incluye procedimientos de escalada, mitigación rápida y post mortem. Todos los empleados están informados de nuestras políticas.
Todos los empleados completan anualmente la formación en materia de seguridad y concienciación como parte del compromiso con el conjunto de herramientas DSP del NHS.
Nuestro personal encargado del tratamiento y procesamiento de los datos personales compartidos cuenta con la formación adecuada para hacerlo de acuerdo con la legislación de protección de datos.
Birdie ha desarrollado un amplio conjunto de políticas de seguridad que aborda diferentes cuestiones. Estas políticas se actualizan periódicamente y se comparten con todos los empleados.
Todos los contratos de los empleados incluyen un acuerdo de confidencialidad.
Todos los pagos realizados a Birdie pasan por uno de nuestros socios, GoCardless o Stripe. Los detalles sobre tu configuración de seguridad se pueden encontrar en la página de seguridad de GoCardless o en la página de seguridad de Stripe.
Seguimos los requisitos de la CQC, la ICO, el GDPR y la Ley de Protección de Datos de 2018. Contamos con un delegado de la protección de datos (DPO) que supervisa y nos asesora sobre nuestra gestión de datos utilizando el marco de responsabilidad de la OIC. Consulta nuestra política de privacidad para saber cómo gestionamos tus datos.
La protección de datos por diseño y por defecto está integrada en todo el trabajo que hacemos en Birdie.
No pedimos ni recogemos datos personales a menos que sea absolutamente necesario. Todos nuestros sistemas están creados para cumplir las últimas normativas. Para ello seguimos las recomendaciones del ICO. Contamos con un DPO dedicado a supervisar y asesorar sobre nuestra gestión de datos (dpo@birdie.care).
Siempre que sea posible, tratamos los datos de forma anónima. Por ejemplo, todos los datos procesados por la canalización de datos del hardware se anonimizan. Los datos se consolidan a nivel de aplicación.
La EIPD se realiza antes de cualquier nuevo proyecto en el que el tratamiento de datos «pueda suponer un riesgo elevado para los derechos y libertades de los interesados». Lo hacemos para asegurarnos de que siempre controlamos nuestros riesgos y disponemos de procedimientos para mitigarlos. También estamos a tu disposición para ayudarte con tus EIPD, si lo requieres.
Birdie no controla los datos introducidos por su personal, sino que los procesa en su nombre. Utilizamos herramientas (por ejemplo, análisis de productos) para ofrecerte nuestros servicios y mejorar el producto. Si proporcionamos servicios adicionales (por ejemplo, supervisión del hardware), pedimos el consentimiento del titular o de su representante antes de recopilar los datos, ya que pueden utilizarse con nuestros algoritmos para prestar el servicio. Si utilizamos los datos con fines de investigación, será de forma anónima y comunicaremos y obtendremos el consentimiento necesario del cliente.
Como la mayoría de las empresas, utilizamos servicios de terceras partes como parte de nuestro procesamiento de datos, por ejemplo, servicios en la nube y servicios tecnológicos. Aplicamos un procedimiento de diligencia debida con todos nuestros proveedores, y todos los subprocesadores de datos personales cuentan con un acuerdo de procesamiento de datos. Estos APD son analizados por nuestro DPO y deben ser aprobados por el equipo directivo antes de su firma. Cuando los datos se transfieren fuera del EEE, nos aseguramos de que existe la protección y los mecanismos adecuados, por ejemplo, la cláusula contractual estándar y la correspondiente diligencia debida.
No vendemos tus datos a nadie.
Hemos realizado una verificación de todos nuestros proveedores, comprobando su cumplimiento del GDPR, y hemos firmado con ellos los correspondientes acuerdos de procesamiento de datos.
Si crees que puedes haber encontrado una vulnerabilidad de seguridad, ponte en contacto con nuestro equipo en support@birdie.care.