Communication médciale sécurisée

Communications par courriel conformes aux exigences de la PHIPA pour les organisations du secteur de la santé en Ontario

Soutenir les organisations assujetties à la PHIPA

Les organisations du secteur de la santé partout en Ontario font confiance à Cyberimpact pour communiquer de façon sécuritaire avec leurs patients, membres, employés et parties prenantes grâce à une plateforme conçue selon des normes élevées de sécurité et de protection des renseignements personnels. 

Cyberimpact soutient les organisations assujetties à la Loi de 2004 sur la protection des renseignements personnels sur la santé (PHIPA) en maintenant des mesures de protection administratives, techniques et organisationnelles conçues pour protéger les renseignements personnels sur la santé et soutenir les obligations de conformité en matière de confidentialité.

Professionnelle de la santé utilisant la plateforme Cyberimpact pour communiquer de façon sécurisée.

Conçu pour la confidentialité des soins de santé à travers le Canada

Bien que cette page soit axée sur la PHIPA, Cyberimpact soutient également des organisations du secteur de la santé partout au Canada, y compris celles assujetties à la Health Information Act (HIA) de l'Alberta, à la Health Information Protection Act (HIPA) de la Saskatchewan, aux diverses lois provinciales sur les renseignements personnels sur la santé (PHIA) ainsi qu'à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE/PIPEDA).

 

Bien que la conformité à la PHIPA dépende ultimement de la façon dont chaque organisation utilise et encadre ses propres processus et données, Cyberimpact met en œuvre des contrôles de sécurité et des engagements contractuels conçus pour soutenir les organisations qui traitent des renseignements personnels sur la santé.

Le rôle de Cyberimpact

Cyberimpact fournit des services de communication par courriel aux organisations du secteur de la santé et traite les renseignements conformément aux ententes applicables et aux instructions de ses clients.

Les organisations du secteur de la santé demeurent responsables de déterminer comment les renseignements personnels sur la santé sont recueillis, utilisés, communiqués, transmis et conservés conformément à la PHIPA et aux autres lois et règlements applicables.

Cyberimpact ne détermine pas l'objectif ni la pertinence des renseignements que ses clients choisissent de recueillir, de conserver ou de transmettre au moyen de la plateforme.

Cyberimpact
Deux employés consultent des données sur un ordinateur portable devant un rack de serveurs

Soutien aux exigences de la PHIPA

Cyberimpact maintient des pratiques de sécurité conçues pour aider les organisations du secteur de la santé à protéger les renseignements personnels sur la santé conformément aux exigences de la PHIPA en matière de mesures de protection, de confidentialité et de sécurité de l'information.

Notre approche comprend notamment :

BulletAligning

Le chiffrement des données en transit et au repos

BulletAligning

Des contrôles d'accès basés sur les rôles

BulletAligning

L'authentification multifacteur pour les systèmes internes

BulletAligning

La surveillance de la sécurité et la journalisation

BulletAligning

Des tests d'intrusion et évaluations de sécurité réalisés régulièrement

BulletAligning

Des procédures de gestion des incidents et de sécurité

BulletAligning

L'évaluation de la sécurité des fournisseurs et de l'infrastructure

BulletAligning

La gestion des accès selon le principe du moindre privilège

BulletAligning

Une infrastructure d'hébergement sécurisée

BulletAligning

La formation des employés en matière de sécurité

BulletAligning

Des politiques formelles de confidentialité et de sécurité

Nos pratiques de sécurité et de gouvernance sont continuellement révisées dans le cadre de notre engagement à protéger les données de nos clients et à assurer l'intégrité de notre plateforme.

Attestation SOC 2 Type 2

SOC 2 Type 2

Chiffrement des données

Chiffrement  via TLS 1.2/1.3 et AES-256

Authentification multifacteur

Authentification multifacteur (MFA)

Données hébergées au Canada

Données hébergées au Canada

Pare-feu applicatif

Pare-feu applicatif (WAF)

Protection contre les attaques DDoS

Protection contre les attaques DDoS

Sauvegardes chiffrées quotidiennes

Sauvegardes chiffrées quotidiennes

Conformité aux lois

Conformité Loi 25, LPRPDE, RGPD, LCAP

Infrastructure réseau sécurisée illustrant la protection des données et la sécurité des systèmes.

Notre engagement envers la sécurité et la confidentialité

La protection de vos données est au cœur de tout ce que nous construisons. Découvrez comment Cyberimpact gère la sécurité de l'information, traite les incidents, partage les responsabilités avec ses clients et soutient la conformité aux exigences canadiennes en matière de confidentialité.

Programme de confidentialité et de sécurité

Cyberimpact maintient un programme complet de sécurité de l'information conçu pour soutenir la confidentialité, l'intégrité et la disponibilité des données de ses clients.

Les principales composantes de ce programme comprennent :

  • La gouvernance de la sécurité et la gestion des risques
  • Les pratiques de développement logiciel sécurisé
  • La gestion des vulnérabilités
  • Les procédures de gestion des incidents
  • La planification de la continuité des activités et de la reprise après sinistre
  • Les évaluations de sécurité réalisées par des tiers
  • La surveillance et la journalisation continues
  • Les obligations de confidentialité des employés
  • Les révisions périodiques des accès
  • La formation en sécurité et en protection des renseignements personnels

Gestion des incidents de confidentialité et de sécurité

Cyberimpact maintient des procédures documentées permettant de détecter, d'analyser, de gérer et de traiter les incidents de sécurité et de confidentialité.

Nos processus de gestion des incidents comprennent :

  • La détection et la surveillance des incidents
  • L'enquête et l'évaluation des impacts
  • Les mesures de confinement et de correction
  • Les procédures d'escalade interne
  • L'analyse post-incident et les actions correctives

Lorsque requis par contrat ou par la loi applicable, les clients seront avisés des incidents touchant leurs renseignements.

Gestion des risques liés aux fournisseurs

Cyberimpact évalue les fournisseurs et prestataires de services qui contribuent à la prestation de ses services au moyen de processus d'évaluation des risques et de la sécurité.

Lorsque pertinent, les fournisseurs sont assujettis à des exigences contractuelles, de sécurité, de confidentialité et de protection des renseignements personnels conçues pour protéger les renseignements des clients et soutenir le programme de sécurité de Cyberimpact.

L'accès aux renseignements des clients est limité aux personnes autorisées ayant un besoin d'affaires légitime et est encadré par des contrôles de sécurité appropriés.

Modèle de responsabilité partagée

La protection des renseignements personnels sur la santé est une responsabilité partagée entre Cyberimpact et ses clients.

Cyberimpact fournit des mesures de protection et des contrôles opérationnels conçus pour soutenir la protection des renseignements personnels sur la santé. Les clients demeurent responsables de :

  • Configurer et utiliser la plateforme de façon appropriée
  • Gérer les accès et les permissions des utilisateurs
  • Déterminer quels renseignements sont recueillis, conservés ou transmis
  • Établir leurs politiques internes de confidentialité et de sécurité
  • Gérer les exigences relatives au consentement lorsque cela est applicable
  • Assurer leur conformité aux lois et règlements applicables
  • Former leur personnel sur les exigences en matière de confidentialité et de sécurité

Bonnes pratiques recommandées

Afin d'aider à protéger les renseignements personnels sur la santé et à réduire les risques liés à la confidentialité, Cyberimpact recommande à ses clients de :

  • Limiter la collecte et l'utilisation des renseignements personnels sur la santé à ce qui est nécessaire
  • Éviter d'inclure des renseignements sensibles non essentiels dans les communications par courriel
  • Appliquer le principe du moindre privilège
  • Réviser régulièrement les accès des utilisateurs
  • Mettre en place des programmes de formation en confidentialité et en sécurité
  • Utiliser des portails sécurisés ou des environnements à accès contrôlé pour les renseignements hautement sensibles
  • Mettre en œuvre des procédures internes de gestion des incidents et atteintes à la vie privée
  • Maintenir des pratiques appropriées de conservation et de destruction des renseignements

Documentation de sécurité disponible

Sur demande et sous réserve des mesures de confidentialité appropriées, Cyberimpact peut fournir de la documentation supplémentaire en matière de sécurité et de conformité, notamment :

  • Rapport SOC 2 Type II
  • Plan de sécurité des systèmes (System Security Plan - SSP)
  • Sommaire des tests d'intrusion
  • Questionnaires de sécurité
  • Documentation additionnelle de sécurité et de conformité

Les organisations souhaitant obtenir davantage d'information peuvent communiquer avec notre équipe afin de discuter de leurs exigences en matière de sécurité, de protection des renseignements personnels et de conformité.

Hébergement des données et opérations canadiennes

Cyberimpact est une entreprise canadienne qui exploite sa plateforme à partir d'infrastructures situées au Canada.

Les données des clients sont hébergées dans des centres de données canadiens, ce qui aide les organisations à répondre à leurs exigences en matière de résidence des données et soutient le respect des exigences canadiennes en matière de protection des renseignements personnels.

Avis important concernant la PHIPA

La PHIPA ne prévoit aucun programme officiel de certification.

Cyberimpact ne prétend pas être certifiée en vertu de la PHIPA. Nous maintenons plutôt des mesures de protection administratives, techniques et organisationnelles conçues pour soutenir les organisations du secteur de la santé dans la protection des renseignements personnels sur la santé et dans le respect de leurs obligations en matière de confidentialité.

La conformité à la PHIPA dépend ultimement de la façon dont chaque organisation configure, utilise et encadre son propre environnement, ses processus et ses données.

Foire aux questions

Cyberimpact est-elle certifiée PHIPA?

Non. La PHIPA ne prévoit aucun programme officiel de certification. Cyberimpact maintient des mesures de protection conçues pour soutenir les organisations assujetties aux exigences de la PHIPA.

Les données des clients sont-elles hébergées au Canada?

Oui. Les données des clients sont hébergées dans des centres de données situés au Canada.

Cyberimpact peut-elle fournir de la documentation de sécurité et de conformité?

Oui. De la documentation supplémentaire, incluant le rapport SOC 2 Type II et d'autres documents de sécurité, peut être fournie sur demande et sous réserve des mesures de confidentialité appropriées.

Les organisations du secteur de la santé peuvent-elles utiliser Cyberimpact pour communiquer avec leurs patients?

De nombreuses organisations du secteur de la santé utilisent Cyberimpact pour communiquer avec leurs patients, membres, employés et parties prenantes. Chaque organisation demeure responsable de déterminer la pertinence des renseignements qu'elle choisit de transmettre et de respecter les lois et règlements applicables.

Cyberimpact participe-t-elle aux évaluations de sécurité et de conformité?

Oui. Notre équipe travaille régulièrement avec des organisations du secteur de la santé afin de répondre à leurs questions en matière de confidentialité, de sécurité, d'approvisionnement et de conformité.

Contactez-nous

Vous avez des questions concernant la PHIPA, l'utilisation de Cyberimpact dans le secteur de la santé, les exigences en matière de confidentialité ou nos pratiques de sécurité?

Communiquez avec notre équipe afin de discuter des besoins de votre organisation en matière de sécurité, de protection des renseignements personnels et de conformité.

Contactez-nous

Documents que nous pouvons fournir

Cyberimpact met à votre disposition un ensemble de documents destinés aux équipes de sécurité, de conformité et de gouvernance TI.

Certains documents, en raison de leur sensibilité, nécessitent la signature d’un accord de confidentialité (NDA). Selon leur nature ou les exigences liées aux audits et certifications, certains peuvent également être disponibles uniquement en anglais.

Pour obtenir un document soumis à un NDA, veuillez remplir le formulaire ci-dessous.

Icône représentant des documents confidentiels accessibles sous accord de confidentialité (NDA).

Documents disponibles sous NDA

(informations sensibles)


Pratiques de sécurité et préparation à la PHIPA de Cyberimpact
Présente les mesures administratives, techniques et organisationnelles mises en place pour soutenir les organisations assujetties à la PHIPA et autres lois canadiennes sur la protection des renseignements de santé.


Pratiques de sécurité HIPAA de Cyberimpact
Présente les principales mesures administratives, techniques et organisationnelles mises en place afin de soutenir les organisations assujetties à la HIPAA.


Business Associate Agreements (BAA)
Entente encadrant le traitement des renseignements de santé protégés (PHI) conformément aux exigences de la HIPAA.


Rapport SOC 2 Type 2 complet
Contient les tests détaillés de l’auditeur, les contrôles évalués et les résultats d’efficacité opérationnelle.


System Security Plan (SSP)
Description structurée de notre architecture, de nos contrôles, de nos processus et de notre modèle opérationnel de sécurité.


GDPR Compliance Assessment
Analyse des pratiques liées à la gestion des données personnelles et de leur alignement avec le GDPR.


Architecture technique (diagramme haut niveau)
Aperçu de l’architecture du service, incluant les principaux composants, les flux de données et l’organisation générale du système.


HECVAT lite 2.11
Questionnaire standardisé d’évaluation de la sécurité et de la confidentialité (Higher Education Community Vendor Assessment Toolkit), utilisé par les établissements d’enseignement pour évaluer les risques liés aux fournisseurs de services technologiques.


VPAT 2.5 (Accessibilité)
Déclare le niveau de conformité de notre plateforme en matière d’accessibilité numérique.

Icône représentant des documents accessibles sans accord de confidentialité (NDA).

Documents disponibles sans NDA


SOC 2 Type 2 - Lettre sommaire
Fournit un aperçu de l’attestation SOC 2 Type 2, incluant la portée de l’audit et la confirmation de sa réussite.
Accéder maintenant


Politique de confidentialité
Présente nos pratiques de gestion et de protection des renseignements personnels.
Accéder maintenant


Politique anti-pourriel
Explique les mécanismes mis en place pour respecter la législation canadienne anti-pourriel.
Accéder maintenant


Termes et conditions d’utilisation
Décrit les obligations contractuelles, les responsabilités et les limites d’utilisation du service.
Accéder maintenant

Formulaire de demande de documents


Pour obtenir l’un de nos documents officiels nécessitant un NDA, tels que notre rapport SOC 2 complet, notre SSP, notre évaluation GDPR ou notre VPAT, veuillez remplir le formulaire ci-dessous.

Nous vous invitons à fournir les informations nécessaires afin de nous permettre de traiter votre demande efficacement et de vous transmettre les documents adaptés à votre contexte.

Nous répondons généralement aux demandes dans un délai de 3 à 5 jours ouvrables*.

*Cyberimpact se réserve le droit de ne pas donner suite à une demande jugée non pertinente ou insuffisamment justifiée, afin de protéger la confidentialité des informations sensibles.

Cyberimpact — Tous droits réservés.