Audit de confidentialité des données et de conformité au RGPD pour une plateforme de santé numérique
Une plateforme de santé numérique traitant des données de santé protégées pour des patients en Allemagne, en Suède et en Inde avait besoin d'un audit complet de la protection des données avant de lancer son programme de conformité au RGPD européen et à la loi indienne sur la protection des données (DPDP Act). La plateforme ne disposait d'aucun catalogue de données et les flux de données étaient incertains concernant neuf intégrations tierces.
Client
Confidential, Digital Health Client
Industrie
Santé et technologies de la santéChef d'équipe
Arjun Mehta
Date
Q3 2024
Défi commercial
Une plateforme de santé numérique traitant des données de santé protégées pour des patients en Allemagne, en Suède et en Inde avait besoin d'un audit complet de la protection des données avant de lancer son programme de conformité au RGPD européen et à la loi indienne sur la protection des données (DPDP Act). La plateforme ne disposait d'aucun catalogue de données et les flux de données étaient incertains concernant neuf intégrations tierces.
Solution et approche
Phronex™ a réalisé un audit complet de la confidentialité des données : cartographie des flux de données à travers les 9 intégrations, inventaire des informations de santé protégées avec classification, évaluation des risques liés à la confidentialité des fournisseurs tiers, analyse des écarts par rapport aux exigences du RGPD et de la loi DPDP, et une feuille de route de correction priorisée.
Capacités fournies
- Cartographie des flux de données à travers 9 intégrations tierces
- Inventaire et classification des données de santé protégées
- Évaluation des risques liés à la confidentialité des fournisseurs tiers
- Analyse des écarts entre le RGPD et la loi sur la protection des données (DPD Act)
- Feuille de route prioritaire pour la mise en conformité
Résultats commerciaux
L'audit a relevé 34 non-conformités, dont 8 présentaient des risques critiques d'exposition aux données de santé protégées. Toutes les non-conformités critiques ont été corrigées sous 60 jours. La plateforme a lancé son programme de conformité européen dans les délais prévus et n'a reçu aucune demande d'information des autorités réglementaires au cours des 12 mois d'activité.
34
Des lacunes en matière de conformité ont été identifiées.
60 days
Lacunes critiques comblées
0
Enquêtes réglementaires après le lancement
Projets connexes
Gestion de la posture de sécurité cloud pour les plateformes SaaS
Les 47 failles identifiées lors des tests d'intrusion ont été corrigées en moins de 90 jours, dont 23 critiques résolues dès les deux premières semaines. Le score de sécurité du cloud (CIS AWS Benchmark) est passé de 34 % à 91 %. Un test d'intrusion indépendant réalisé ultérieurement n'a révélé aucune faille critique ou élevée.
0
Résultats critiques/élevés lors du test d'intrusion de suivi
91%
score de conformité au référentiel CIS AWS
Audit de confidentialité des données et de conformité au RGPD pour une plateforme de santé numérique
L'audit a relevé 34 non-conformités, dont 8 présentaient des risques critiques d'exposition aux données de santé protégées. Toutes les non-conformités critiques ont été corrigées sous 60 jours. La plateforme a lancé son programme de conformité européen dans les délais prévus et n'a reçu aucune demande d'information des autorités réglementaires au cours des 12 mois d'activité.
34
Des lacunes en matière de conformité ont été identifiées.
60 days
Lacunes critiques comblées
Mise en œuvre d'un centre opérationnel de sécurité (SOC) d'entreprise
Le délai moyen de détection et de résolution (MTTD) a été réduit de plusieurs semaines à moins de 4 heures, et le délai moyen de résolution (MTTR) est passé sous la barre des 2 heures pour les incidents de niveau 1. Le SOC a détecté et neutralisé 3 menaces actives au cours de ses 90 premiers jours d'activité. La banque a réussi son audit réglementaire suivant et a reçu des félicitations pour ses contrôles de sécurité.
<4h
Temps moyen de détection (MTTD)
<2h
Délai moyen de réponse (MTTR)
Tests d'intrusion complets pour une plateforme de paiements fintech
Le test d'intrusion a identifié 12 failles (2 critiques et 5 importantes) qui ont été corrigées en 3 semaines. Le partenaire bancaire a autorisé la connexion API après vérification de la correction, permettant ainsi au client de démarrer sa production comme prévu et de traiter 50 crores de roupies par jour dès le premier jour.
12
Problèmes identifiés et corrigés
3 weeks
Remise en état complète achevée