Les organisations du secteur de la santé partout en Ontario font confiance à Cyberimpact pour communiquer de façon sécuritaire avec leurs patients, membres, employés et parties prenantes grâce à une plateforme conçue selon des normes élevées de sécurité et de protection des renseignements personnels.
Cyberimpact soutient les organisations assujetties à la Loi de 2004 sur la protection des renseignements personnels sur la santé (PHIPA) en maintenant des mesures de protection administratives, techniques et organisationnelles conçues pour protéger les renseignements personnels sur la santé et soutenir les obligations de conformité en matière de confidentialité.
Bien que cette page soit axée sur la PHIPA, Cyberimpact soutient également des organisations du secteur de la santé partout au Canada, y compris celles assujetties à la Health Information Act (HIA) de l'Alberta, à la Health Information Protection Act (HIPA) de la Saskatchewan, aux diverses lois provinciales sur les renseignements personnels sur la santé (PHIA) ainsi qu'à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE/PIPEDA).
Bien que la conformité à la PHIPA dépende ultimement de la façon dont chaque organisation utilise et encadre ses propres processus et données, Cyberimpact met en œuvre des contrôles de sécurité et des engagements contractuels conçus pour soutenir les organisations qui traitent des renseignements personnels sur la santé.
Cyberimpact fournit des services de communication par courriel aux organisations du secteur de la santé et traite les renseignements conformément aux ententes applicables et aux instructions de ses clients.
Les organisations du secteur de la santé demeurent responsables de déterminer comment les renseignements personnels sur la santé sont recueillis, utilisés, communiqués, transmis et conservés conformément à la PHIPA et aux autres lois et règlements applicables.
Cyberimpact ne détermine pas l'objectif ni la pertinence des renseignements que ses clients choisissent de recueillir, de conserver ou de transmettre au moyen de la plateforme.
Cyberimpact maintient des pratiques de sécurité conçues pour aider les organisations du secteur de la santé à protéger les renseignements personnels sur la santé conformément aux exigences de la PHIPA en matière de mesures de protection, de confidentialité et de sécurité de l'information.
Notre approche comprend notamment :
Le chiffrement des données en transit et au repos
Des contrôles d'accès basés sur les rôles
L'authentification multifacteur pour les systèmes internes
La surveillance de la sécurité et la journalisation
Des tests d'intrusion et évaluations de sécurité réalisés régulièrement
Des procédures de gestion des incidents et de sécurité
L'évaluation de la sécurité des fournisseurs et de l'infrastructure
La gestion des accès selon le principe du moindre privilège
Une infrastructure d'hébergement sécurisée
La formation des employés en matière de sécurité
Des politiques formelles de confidentialité et de sécurité
Nos pratiques de sécurité et de gouvernance sont continuellement révisées dans le cadre de notre engagement à protéger les données de nos clients et à assurer l'intégrité de notre plateforme.
SOC 2 Type 2
Chiffrement via TLS 1.2/1.3 et AES-256
Authentification multifacteur (MFA)
Données hébergées au Canada
Pare-feu applicatif (WAF)
Protection contre les attaques DDoS
Sauvegardes chiffrées quotidiennes
Conformité Loi 25, LPRPDE, RGPD, LCAP
La protection de vos données est au cœur de tout ce que nous construisons. Découvrez comment Cyberimpact gère la sécurité de l'information, traite les incidents, partage les responsabilités avec ses clients et soutient la conformité aux exigences canadiennes en matière de confidentialité.
Cyberimpact maintient un programme complet de sécurité de l'information conçu pour soutenir la confidentialité, l'intégrité et la disponibilité des données de ses clients.
Les principales composantes de ce programme comprennent :
Cyberimpact maintient des procédures documentées permettant de détecter, d'analyser, de gérer et de traiter les incidents de sécurité et de confidentialité.
Nos processus de gestion des incidents comprennent :
Lorsque requis par contrat ou par la loi applicable, les clients seront avisés des incidents touchant leurs renseignements.
Cyberimpact évalue les fournisseurs et prestataires de services qui contribuent à la prestation de ses services au moyen de processus d'évaluation des risques et de la sécurité.
Lorsque pertinent, les fournisseurs sont assujettis à des exigences contractuelles, de sécurité, de confidentialité et de protection des renseignements personnels conçues pour protéger les renseignements des clients et soutenir le programme de sécurité de Cyberimpact.
L'accès aux renseignements des clients est limité aux personnes autorisées ayant un besoin d'affaires légitime et est encadré par des contrôles de sécurité appropriés.
La protection des renseignements personnels sur la santé est une responsabilité partagée entre Cyberimpact et ses clients.
Cyberimpact fournit des mesures de protection et des contrôles opérationnels conçus pour soutenir la protection des renseignements personnels sur la santé. Les clients demeurent responsables de :
Afin d'aider à protéger les renseignements personnels sur la santé et à réduire les risques liés à la confidentialité, Cyberimpact recommande à ses clients de :
Sur demande et sous réserve des mesures de confidentialité appropriées, Cyberimpact peut fournir de la documentation supplémentaire en matière de sécurité et de conformité, notamment :
Les organisations souhaitant obtenir davantage d'information peuvent communiquer avec notre équipe afin de discuter de leurs exigences en matière de sécurité, de protection des renseignements personnels et de conformité.
Cyberimpact est une entreprise canadienne qui exploite sa plateforme à partir d'infrastructures situées au Canada.
Les données des clients sont hébergées dans des centres de données canadiens, ce qui aide les organisations à répondre à leurs exigences en matière de résidence des données et soutient le respect des exigences canadiennes en matière de protection des renseignements personnels.
La PHIPA ne prévoit aucun programme officiel de certification.
Cyberimpact ne prétend pas être certifiée en vertu de la PHIPA. Nous maintenons plutôt des mesures de protection administratives, techniques et organisationnelles conçues pour soutenir les organisations du secteur de la santé dans la protection des renseignements personnels sur la santé et dans le respect de leurs obligations en matière de confidentialité.
La conformité à la PHIPA dépend ultimement de la façon dont chaque organisation configure, utilise et encadre son propre environnement, ses processus et ses données.
Non. La PHIPA ne prévoit aucun programme officiel de certification. Cyberimpact maintient des mesures de protection conçues pour soutenir les organisations assujetties aux exigences de la PHIPA.
Oui. Les données des clients sont hébergées dans des centres de données situés au Canada.
Oui. De la documentation supplémentaire, incluant le rapport SOC 2 Type II et d'autres documents de sécurité, peut être fournie sur demande et sous réserve des mesures de confidentialité appropriées.
De nombreuses organisations du secteur de la santé utilisent Cyberimpact pour communiquer avec leurs patients, membres, employés et parties prenantes. Chaque organisation demeure responsable de déterminer la pertinence des renseignements qu'elle choisit de transmettre et de respecter les lois et règlements applicables.
Oui. Notre équipe travaille régulièrement avec des organisations du secteur de la santé afin de répondre à leurs questions en matière de confidentialité, de sécurité, d'approvisionnement et de conformité.
Vous avez des questions concernant la PHIPA, l'utilisation de Cyberimpact dans le secteur de la santé, les exigences en matière de confidentialité ou nos pratiques de sécurité?
Communiquez avec notre équipe afin de discuter des besoins de votre organisation en matière de sécurité, de protection des renseignements personnels et de conformité.
Cyberimpact met à votre disposition un ensemble de documents destinés aux équipes de sécurité, de conformité et de gouvernance TI.
Certains documents, en raison de leur sensibilité, nécessitent la signature d’un accord de confidentialité (NDA). Selon leur nature ou les exigences liées aux audits et certifications, certains peuvent également être disponibles uniquement en anglais.
Pour obtenir un document soumis à un NDA, veuillez remplir le formulaire ci-dessous.
(informations sensibles)
Pratiques de sécurité et préparation à la PHIPA de Cyberimpact
Présente les mesures administratives, techniques et organisationnelles mises en place pour soutenir les organisations assujetties à la PHIPA et autres lois canadiennes sur la protection des renseignements de santé.
Pratiques de sécurité HIPAA de Cyberimpact
Présente les principales mesures administratives, techniques et organisationnelles mises en place afin de soutenir les organisations assujetties à la HIPAA.
Business Associate Agreements (BAA)
Entente encadrant le traitement des renseignements de santé protégés (PHI) conformément aux exigences de la HIPAA.
Rapport SOC 2 Type 2 complet
Contient les tests détaillés de l’auditeur, les contrôles évalués et les résultats d’efficacité opérationnelle.
System Security Plan (SSP)
Description structurée de notre architecture, de nos contrôles, de nos processus et de notre modèle opérationnel de sécurité.
GDPR Compliance Assessment
Analyse des pratiques liées à la gestion des données personnelles et de leur alignement avec le GDPR.
Architecture technique (diagramme haut niveau)
Aperçu de l’architecture du service, incluant les principaux composants, les flux de données et l’organisation générale du système.
HECVAT lite 2.11
Questionnaire standardisé d’évaluation de la sécurité et de la confidentialité (Higher Education Community Vendor Assessment Toolkit), utilisé par les établissements d’enseignement pour évaluer les risques liés aux fournisseurs de services technologiques.
VPAT 2.5 (Accessibilité)
Déclare le niveau de conformité de notre plateforme en matière d’accessibilité numérique.
SOC 2 Type 2 - Lettre sommaire
Fournit un aperçu de l’attestation SOC 2 Type 2, incluant la portée de l’audit et la confirmation de sa réussite.
Accéder maintenant
Politique de confidentialité
Présente nos pratiques de gestion et de protection des renseignements personnels.
Accéder maintenant
Politique anti-pourriel
Explique les mécanismes mis en place pour respecter la législation canadienne anti-pourriel.
Accéder maintenant
Termes et conditions d’utilisation
Décrit les obligations contractuelles, les responsabilités et les limites d’utilisation du service.
Accéder maintenant
Pour obtenir l’un de nos documents officiels nécessitant un NDA, tels que notre rapport SOC 2 complet, notre SSP, notre évaluation GDPR ou notre VPAT, veuillez remplir le formulaire ci-dessous.
Nous vous invitons à fournir les informations nécessaires afin de nous permettre de traiter votre demande efficacement et de vous transmettre les documents adaptés à votre contexte.
Nous répondons généralement aux demandes dans un délai de 3 à 5 jours ouvrables*.
*Cyberimpact se réserve le droit de ne pas donner suite à une demande jugée non pertinente ou insuffisamment justifiée, afin de protéger la confidentialité des informations sensibles.
Cyberimpact — Tous droits réservés.