Transparence sur l’Hébergement de Données de Santé (HDS)
Conformité au référentiel de l’Agence du Numérique en Santé (ANS)
Certification HDS
ON-X Groupe est certifiée Hébergeur de Données de Santé (HDS) conformément au référentiel publié par l’Agence du Numérique en Santé (ANS). Cette certification atteste de la mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI) conforme à la norme ISO/CEI 27001 et aux exigences spécifiques relatives à la protection des Données de Santé à Caractère Personnel (DSCP).
Domaine et périmètre certifiés
L’activité certifiée couvre :
- l’hébergement d’applications et de données de santé de clients tiers,
- la sauvegarde et la restauration des environnements applicatifs,
- la gestion des accès sécurisés et des opérations d’administration,
- les services de continuité d’activité et de supervision de la sécurité.
Les infrastructures sont situées exclusivement sur le territoire français, au sein des datacenters Equinix France, bénéficiant d’un haut niveau de sécurité physique et environnementale.
Transferts de données de santé
Aucun transfert de données de santé à caractère personnel vers un pays tiers à l’Espace Économique Européen.
L’ensemble des traitements, des sauvegardes et des opérations d’administration est réalisé sur des infrastructures situées en France.
Tableau des garanties HDS
|
Raison sociale de l’acteur |
Rôle dans le cadre de la prestation d’hébergement |
Localisation |
Certifié HDS |
Qualifié SecNumCloud 3.2 |
Activités d’hébergement sur laquelle l’acteur intervient |
Accès aux données de santé depuis pays tiers |
Risque d’accès par une législation étrangère |
|
ON-X Groupe |
Hébergeur |
France |
Oui |
Non |
1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. La sauvegarde des données de santé.
|
Non, aucun accès aux données depuis un pays tiers à l’Espace Economique Européen |
Non |
|
Equinix |
Sous-traitant |
France |
Oui |
Non |
1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. |
Non, aucun accès aux données depuis un pays tiers à l’Espace Economique Européen |
Oui (modéré), société de droit français appartenant à un groupe américain ; risque théorique d’accès soumis au droit extraterritorial US (Cloud Act), maîtrisé par contractualisation et chiffrement des actifs. |
|
TrustBuilder |
Sous-traitant |
France |
Non |
Non |
Protection et filtrage du trafic réseau (prévention DDoS) – Niveau réseau uniquement, sans accès au contenu applicatif ni aux données de santé |
Non, le service opère sur des flux chiffrés et ne permet pas d’accès au contenu |
Non |
|
Wallix |
Sous-traitant |
France |
Non |
Non |
Bastion d’administration sécurisé |
Non, aucun accès aux données depuis un pays tiers à l’Espace Economique Européen |
Non |
|
Passbolt |
Sous-traitant |
France |
Non |
Non |
Coffre-fort de secrets (mots de passe, clés) |
Non, aucun accès aux données depuis un pays tiers à l’Espace Economique Européen |
Non |
|
Veeam Backup |
Sous-traitant |
France |
Non |
Non |
Sauvegarde chiffrée des serveurs |
Non, aucun accès aux données depuis un pays tiers à l’Espace Economique Européen |
Non |
|
Nakivo |
Sous-traitant |
France |
Non |
Non |
Sauvegarde chiffrée des serveurs |
Non, aucun accès aux données depuis un pays tiers à l’Espace Economique Européen |
Non |
Mise à jour et contact
Contact DPO: dpo@on-x.com