La confianza del cliente y la seguridad de los datos son fundamentales para la gestión de Birdie.

Birdie ha obtenido la certificación Cyber Essentials Plus y cumple las normas del NHS Data Security and Protection Toolkit.

Seguridad de los productos

Acceso seguro

El inicio de sesión en Birdie está protegido por un enlace de autenticación única.

Permisos

Permitimos establecer niveles de permiso dentro de la aplicación para tu personal, de modo que solo los cuidadores invitados por ti puedan acceder a la información de un cliente. Los permisos se configuran de forma predeterminada a los niveles de permiso más seguros y solo pueden habilitarse mediante acción afirmativa de tu parte.

Uptime

Uptime del 99,9 % o superior.

Seguridad de redes y aplicaciones

Alojamiento y almacenamiento de datos

Los servicios y datos de Birdie se encuentran alojados en las instalaciones de Amazon Web Services (AWS) (eu-west-2) en el Reino Unido.

Failover y RD

Birdie se construyó pensando en la recuperación en caso de catástrofe. Toda nuestra infraestructura y datos están repartidos en 2 zonas de disponibilidad de AWS y seguirán funcionando en caso de que alguno de esos centros de datos falle.

Nube privada virtual (Virtual Private Cloud - VPC)

Todos nuestros servidores están dentro de nuestra propia nube privada virtual (VPC) con listas de control de acceso a la red (ACL) que impiden que las solicitudes no autorizadas lleguen a nuestra red interna.

Copias de seguridad

Se realizan regularmente copias de seguridad de la base de datos del sistema de producción de Birdie y antes de cualquier actualización o cambio de configuración importante en el entorno de producción de Birdie. Estas copias de seguridad permiten, en caso de catástrofe, crear un entorno de réplica en un periodo de tiempo mínimo. Las copias de seguridad se almacenan en un entorno y una región de AWS diferentes (eu-west-1).

Monitorización

Birdie utiliza múltiples herramientas internas y de terceros para supervisar su entorno de producción y protegerlo contra posibles amenazas o errores:

  • Existe un mecanismo de notificación interna para alertar a los equipos de operaciones y soporte de Birdie sobre las diferentes anomalías detectadas en producción.
  • La herramienta de análisis de AWS está configurada para supervisar continuamente el estado del entorno de producción de Birdie, incluida la disponibilidad del servidor, la CPU, la memoria, el espacio en disco y otras métricas fundamentales; la herramienta de monitorización de la nube también envía alertas al equipo de operaciones de Birdie basadas en políticas preconfiguradas.
  • ELK se utiliza para la supervisión y el archivado continuos de registros
  • New Relic se utiliza para la supervisión de la producción en directo
  • Sentry se utiliza para el seguimiento de errores y regresiones en producción

Un panel de control de producción interno añade información de los múltiples sistemas de Birdie y proporciona al personal de operaciones de Birdie una visión clara del estado del entorno de producción de Birdie. Birdie también cuenta con un sistema de tickets de soporte técnico que permite a los administradores y usuarios finales informar de cualquier problema o error que encuentren al utilizar la solución web de Birdie.

Permisos y autenticación

Los datos personales confidenciales solo son accesibles para el personal que los necesita para su función actual y el acceso se elimina en cuanto deja de ser necesario.

Todos los accesos a datos personales confidenciales en los sistemas informáticos pueden atribuirse a individuos y registrarse. Se aplica el principio de «mínimo privilegio», para que los usuarios no tengan acceso a los datos que no tienen necesidad de ver.

Contamos con Single Sign-on (SSO), autenticación de 2 factores (2FA) y políticas de contraseñas fuertes en GitHub, Google y AWS para garantizar que el acceso a los servicios en la nube esté protegido.

Codificación

Todos los datos enviados hacia o desde Birdie se encriptan en tránsito utilizando una encriptación de 256 bits. Nuestros puntos finales de la API y de la aplicación son solo TLS/SSL y obtienen una calificación «A» en las pruebas de Qualys SSL Labs. También ciframos los datos en reposo mediante un algoritmo de cifrado estándar del sector Algoritmo de encriptación AES-256.

Pruebas de penetración

Nuestro equipo de infraestructuras se encarga de garantizar que nuestra plataforma sea segura y esté disponible en todo momento. Una vez al año contratamos a expertos en seguridad de terceros para que realicen pruebas de penetración detalladas en la aplicación y la infraestructura de Birdie (la última prueba de penetración fue realizada en noviembre de 2021 por KPMG).

Respuesta a incidentes 24/7

Sabemos que Birdie puede ser fundamental para el bienestar de tus clientes y tu empresa. Por eso tenemos ingenieros de guardia disponibles en todo momento.

Birdie aplica un protocolo de gestión de eventos de seguridad que incluye procedimientos de escalada, mitigación rápida y post mortem. Todos los empleados están informados de nuestras políticas.

Elementos de seguridad adicionales

Formación

Todos los empleados completan anualmente la formación en materia de seguridad y concienciación como parte del compromiso con el conjunto de herramientas DSP del NHS.

Nuestro personal encargado del tratamiento y procesamiento de los datos personales compartidos cuenta con la formación adecuada para hacerlo de acuerdo con la legislación de protección de datos.

Políticas

Birdie ha desarrollado un amplio conjunto de políticas de seguridad que aborda diferentes cuestiones. Estas políticas se actualizan periódicamente y se comparten con todos los empleados.

Confidencialidad

Todos los contratos de los empleados incluyen un acuerdo de confidencialidad.

Pagos

Todos los pagos realizados a Birdie pasan por uno de nuestros socios, GoCardless o Stripe. Los detalles sobre tu configuración de seguridad se pueden encontrar en la página de seguridad de GoCardless o en la página de seguridad de Stripe.

Protección de datos

Seguimos los requisitos de la CQC, la ICO, el GDPR y la Ley de Protección de Datos de 2018. Contamos con un delegado de la protección de datos (DPO) que supervisa y nos asesora sobre nuestra gestión de datos utilizando el marco de responsabilidad de la OIC. Consulta nuestra política de privacidad para saber cómo gestionamos tus datos.

Protección de datos por diseño

La protección de datos por diseño y por defecto está integrada en todo el trabajo que hacemos en Birdie.

No pedimos ni recogemos datos personales a menos que sea absolutamente necesario. Todos nuestros sistemas están creados para cumplir las últimas normativas. Para ello seguimos las recomendaciones del ICO. Contamos con un DPO dedicado a supervisar y asesorar sobre nuestra gestión de datos (dpo@birdie.care).

Siempre que sea posible, tratamos los datos de forma anónima. Por ejemplo, todos los datos procesados por la canalización de datos del hardware se anonimizan. Los datos se consolidan a nivel de aplicación.

Evaluación del impacto de la protección de datos (EIPD)

La EIPD se realiza antes de cualquier nuevo proyecto en el que el tratamiento de datos «pueda suponer un riesgo elevado para los derechos y libertades de los interesados». Lo hacemos para asegurarnos de que siempre controlamos nuestros riesgos y disponemos de procedimientos para mitigarlos. También estamos a tu disposición para ayudarte con tus EIPD, si lo requieres.

No utilizamos los datos sin el consentimiento del titular

Birdie no controla los datos introducidos por su personal, sino que los procesa en su nombre. Utilizamos herramientas (por ejemplo, análisis de productos) para ofrecerte nuestros servicios y mejorar el producto. Si proporcionamos servicios adicionales (por ejemplo, supervisión del hardware), pedimos el consentimiento del titular o de su representante antes de recopilar los datos, ya que pueden utilizarse con nuestros algoritmos para prestar el servicio. Si utilizamos los datos con fines de investigación, será de forma anónima y comunicaremos y obtendremos el consentimiento necesario del cliente.

Compartir y transferir datos

Como la mayoría de las empresas, utilizamos servicios de terceras partes como parte de nuestro procesamiento de datos, por ejemplo, servicios en la nube y servicios tecnológicos. Aplicamos un procedimiento de diligencia debida con todos nuestros proveedores, y todos los subprocesadores de datos personales cuentan con un acuerdo de procesamiento de datos. Estos APD son analizados por nuestro DPO y deben ser aprobados por el equipo directivo antes de su firma. Cuando los datos se transfieren fuera del EEE, nos aseguramos de que existe la protección y los mecanismos adecuados, por ejemplo, la cláusula contractual estándar y la correspondiente diligencia debida.

No vendemos tus datos a nadie.

Coordinación con todos nuestros proveedores

Hemos realizado una verificación de todos nuestros proveedores, comprobando su cumplimiento del GDPR, y hemos firmado con ellos los correspondientes acuerdos de procesamiento de datos.

¿Preguntas?

Si crees que puedes haber encontrado una vulnerabilidad de seguridad, ponte en contacto con nuestro equipo en support@birdie.care.