HealthWatch Global
DasborPenyakitNegaraPeringatanBandingkanLaporanHargaTentang
MasukPilot →Buat akun
HealthWatch Global·© 2026
TentangMetodologi dataKebijakan PrivasiSyarat PenggunaanPemberitahuan hukumKontakPilot InstitusionalDPAInstitusionalRSScontact@healthwatch-global.com

Kami menggunakan penyimpanan lokal untuk mengingat preferensi Anda dan mengukur audiens secara anonim (Vercel Analytics — tidak ada data pribadi yang dikumpulkan). Kebijakan Privasi

Kembali
IT Security

Keamanan & Kepatuhan IT

Dokumen untuk tim IT dan keamanan informasi

Data dihosting di UEEnkripsi AES-256 + TLS 1.3Notifikasi breach < 24jGDPR Pasal 28 & 32 patuh

Halaman ini menjawab pertanyaan keamanan IT yang paling sering diajukan saat mengevaluasi HealthWatch Global. Jika tim IT Anda memiliki checklist standar, kirimkan langsung — kami merespons secara tertulis dalam 2 hari kerja.

Kirim checklist IT Anda →

Respons tertulis dalam 2 hari kerja, dalam format yang kompatibel dengan proses pengadaan Anda.

Baca DPA lengkap (GDPR Pasal 28) →Proses pengadaan institusional →

Hosting & lokasi data

Di mana data dihosting?

Database dan autentikasi: Supabase, region AWS eu-central-1 (Frankfurt, Jerman). Aplikasi web dan API: Vercel, region edge Eropa diaktifkan. Email transaksional: Brevo (Sendinblue SAS), Paris, Prancis. Semua data tetap berada di Uni Eropa.

Apakah data ditransfer di luar UE?

Tidak untuk data pengawasan kesehatan dan akun. Log infrastruktur dapat melewati node CDN edge global Vercel, yang dicakup oleh Standard Contractual Clauses (SCCs). Tidak ada transfer ke negara ketiga yang tidak dicakup oleh keputusan kecukupan atau SCCs.

Apakah tersedia deployment offline atau on-premise?

Tidak. HealthWatch Global adalah layanan SaaS cloud saja. Deployment on-premise tidak tersedia pada tahap ini.

Enkripsi

Enkripsi saat transit

HTTPS wajib di semua rute. TLS 1.2 minimum, TLS 1.3 disarankan. Koneksi HTTP tidak aman diarahkan ulang secara otomatis ke HTTPS.

Enkripsi saat disimpan

AES-256 dikelola oleh Supabase (volume AWS RDS terenkripsi). Kata sandi pengguna tidak pernah disimpan dalam teks biasa — di-hash dengan bcrypt melalui Supabase Auth.

Enkripsi backup

Backup otomatis Supabase dienkripsi pada level yang sama dengan data produksi (AES-256, region AWS yang sama).

Kontrol akses

Bagaimana akses data dikontrol?

Row-Level Security (RLS) Supabase diaktifkan di semua tabel: setiap pengguna hanya dapat mengakses data dalam organisasinya. Rute API menggunakan service role Supabase hanya untuk operasi sistem (crons, webhooks) — tidak pernah diekspos ke sisi klien.

Prinsip hak istimewa minimum

Peran aplikasi terpisah: peran pengguna (hanya baca, org sendiri), peran layanan (operasi cron, baca-tulis terbatas pada tabel sistem), peran admin (terbatas pada antarmuka /admin, dilindungi oleh Supabase Auth + pemeriksaan peran di DB).

Autentikasi multi-faktor (MFA) tersedia?

Tidak secara bawaan pada tahap ini. Autentikasi bergantung pada Supabase Auth (JWT aman, sesi berakhir). MFA ada di peta jalan Enterprise.

Manajemen sesi

Sesi JWT dengan kedaluwarsa dan rotasi otomatis melalui Supabase Auth. Saat keluar atau penghentian akun, token segera dibatalkan.

Backup & ketersediaan

Frekuensi backup

Backup database harian otomatis melalui Supabase. Point-in-time recovery (PITR) tersedia pada paket Supabase Pro (retensi 7 hari).

SLA ketersediaan

Target uptime 99,9% (infrastruktur gabungan Vercel + Supabase). SLA tertulis disertakan dalam langganan Team dan Enterprise.

Recovery time objective (RTO / RPO)?

RTO estimasi: < 4 jam untuk pemulihan penuh. RPO: < 24 jam (frekuensi backup harian). Nilai-nilai ini indikatif dan dapat diformalkan dalam kontrak untuk langganan Enterprise.

Notifikasi breach & respons insiden

Jadwal notifikasi pelanggaran data

Notifikasi kepada Pengontrol dalam 24 jam setelah menyadari, sesuai GDPR Pasal 33. Notifikasi mencakup: sifat pelanggaran, kategori dan volume data yang terpengaruh, tindakan yang diambil dan tindakan korektif yang direncanakan.

Proses respons insiden

1) Deteksi (monitoring Sentry + alert Supabase) → 2) Penahanan (cabut akses yang disusupi) → 3) Notifikasi Pengontrol < 24j → 4) Notifikasi otoritas pengawas jika risiko tinggi < 72j → 5) Laporan pasca-insiden tersedia atas permintaan.

Pengungkapan kerentanan

Laporan kerentanan dapat dikirim ke security@healthwatch-global.com. Kami merespons dalam 5 hari kerja dengan konfirmasi penerimaan dan estimasi jadwal perbaikan.

Sub-pemroses & rantai pasokan

Daftar sub-pemroses (sub-processors GDPR)

Supabase Inc. (DB & Auth, Frankfurt), Brevo/Sendinblue SAS (email, Paris), Vercel Inc. (hosting & CDN, edge UE), Stripe Inc. (pembayaran, UE/AS — SCCs). Daftar lengkap dengan DPA setiap sub-pemroses tersedia dalam DPA Pasal 28 GDPR kami.

Notifikasi perubahan sub-pemroses

Sesuai GDPR Pasal 28(2), Pengontrol akan diberitahu tentang penambahan atau penggantian sub-pemroses yang direncanakan dengan pemberitahuan awal yang wajar, memberi Pengontrol kesempatan untuk menolak.

Sertifikasi & audit

Apakah Anda bersertifikat ISO 27001?

Tidak. HealthWatch Global adalah infrastruktur tahap awal. Kami menerapkan kontrol teknis yang setara (enkripsi, RLS, RBAC, monitoring, backup) dan mendokumentasikannya secara dapat diverifikasi. Sertifikasi ISO 27001 direncanakan mulai 2027.

Apakah audit keamanan atau uji penetrasi telah dilakukan?

Tidak ada pentest formal pada tahap ini. Audit kode sumber dapat diatur untuk langganan Enterprise atas permintaan. Kami menyediakan akses ke repositori privat untuk tinjauan teknis.

Laporan SOC 2 tersedia?

Tidak. Supabase (penyedia database kami) bersertifikat SOC 2 Type II — laporannya tersedia melalui Trust Center mereka. Vercel juga memiliki atestasi SOC 2.

Tim IT Anda punya checklist spesifik?

Kirimkan daftar pertanyaan standar Anda (format apa pun — Word, PDF, atau email). Kami merespons poin per poin secara tertulis dalam 2 hari kerja, dalam format yang dibutuhkan oleh proses pengadaan Anda.

Kirim checklist IT →