Dataskydds- och GDPR-granskning för digital hälsoplattform
En digital hälsoplattform som behandlade PHI för patienter i Tyskland, Sverige och Indien behövde en omfattande dataskyddsrevision innan den lanserade sitt program för efterlevnad av EU:s GDPR och Indiens DPDP-lag. Plattformen saknade datakatalog och hade osäkra dataflöden mellan nio tredjepartsintegrationer.
Klient
Confidential, Digital Health Client
Industri
Hälsovård och hälsoteknikTeamledare
Arjun Mehta
Datum
Q3 2024
Affärsutmaning
En digital hälsoplattform som behandlade PHI för patienter i Tyskland, Sverige och Indien behövde en omfattande dataskyddsrevision innan den lanserade sitt program för efterlevnad av EU:s GDPR och Indiens DPDP-lag. Plattformen saknade datakatalog och hade osäkra dataflöden mellan nio tredjepartsintegrationer.
Lösning och tillvägagångssätt
Phronex™ genomförde en omfattande datasekretessrevision: kartläggning av dataflöden över alla 9 integrationer, PHI-inventering med klassificering, riskbedömning av integritet hos tredjepartsleverantörer, gapanalys mot GDPR och DPDP-lagens krav samt en prioriterad åtgärdsplan.
Förmågor levererade
- Kartläggning av dataflöden över 9 tredjepartsintegrationer
- PHI-inventering och dataklassificering
- Riskbedömning av integritet hos tredjepartsleverantörer
- Analys av gap i GDPR och DPDP-lagen
- Prioriterad färdplan för efterlevnadsåtgärder
Affärsresultat
Revisionen identifierade 34 brister i efterlevnaden, varav 8 var kritiska PHI-exponeringsrisker. Alla kritiska brister åtgärdades inom 60 dagar. Plattformen lanserade sitt EU-efterlevnadsprogram enligt tidsplanen, och inga regulatoriska förfrågningar har mottagits under 12 månaders drift.
34
Identifierade brister i efterlevnaden
60 days
Kritiska brister åtgärdade
0
Regulatoriska förfrågningar efter lansering
Relaterade projekt
Hantering av molnsäkerhetsposition för SaaS-plattform
Alla 47 fynd i penetrationstestet åtgärdades inom 90 dagar, varav 23 kritiska fynd åtgärdades inom de första två veckorna. Molnsäkerhetspoängen (CIS AWS Benchmark) förbättrades från 34 % till 91 %. Ett efterföljande oberoende penetrationstest fann noll kritiska eller höga fynd.
0
Kritiska/höga fynd vid uppföljande penetrationstest
91%
CIS AWS Benchmark-efterlevnadspoäng
Dataskydds- och GDPR-granskning för digital hälsoplattform
Revisionen identifierade 34 brister i efterlevnaden, varav 8 var kritiska PHI-exponeringsrisker. Alla kritiska brister åtgärdades inom 60 dagar. Plattformen lanserade sitt EU-efterlevnadsprogram enligt tidsplanen, och inga regulatoriska förfrågningar har mottagits under 12 månaders drift.
34
Identifierade brister i efterlevnaden
60 days
Kritiska brister åtgärdade
Implementering av Enterprise Security Operations Center (SOC)
MTTD minskade från veckor till under 4 timmar, och MTTR förbättrades till under 2 timmar för nivå 1-incidenter. SOC upptäckte och begränsade 3 aktiva hot under sina första 90 dagar. Banken klarade sin nästa myndighetsgranskning med beröm för säkerhetskontroller.
<4h
Medeltid till detektion (MTTD)
<2h
Medeltid till svar (MTTR)
Omfattande penetrationstestning för Fintech-betalningsplattform
Penetrationstestet identifierade 12 brister (2 kritiska, 5 allvarliga) vilka åtgärdades inom 3 veckor. Bankpartnern godkände API-anslutningen efter bevis på åtgärd, vilket gjorde det möjligt för klienten att gå live enligt schema och börja behandla ₹50Cr dagligen från dag ett.
12
Identifierade och åtgärdade fynd
3 weeks
Fullständig sanering slutförd