Türkçe 
English 
Deutsch 
Français 
Italiano 
Español 
Português 
Nederlands 
Русский 
العربية 
فارسی 
Azərbaycanca 
日本語 
简体中文 
한국어 
हिन्दी 이 페이지에서
WIO CLINIC의 신뢰 및 보안
서비스하는 클리닉처럼 구축됨: 진지하고, 계층화되고, 책임감 있음.
의료 데이터는 민감도가 높고, 규제 기관의 감시를 받으며, 대체 불가능합니다. 이 페이지는 마케팅 브로셔가 아닌 실제로 무엇을 하는지 알아야 하는 보안 책임자, IT 리더, 조달 팀을 위한 것입니다. 특정 계약적 세부 사항이 NDA 하에 있어야 하는 경우, 숫자를 발명하는 대신 그것을 알려드립니다.
1. 보안 개요
WIO CLINIC은 의료 데이터의 현실을 중심으로 설계된 멀티테넌트 임상 운영 플랫폼입니다: 높은 민감도, 규제 복잡성, 엄격한 클리닉별 격리, 환자 데이터가 절대 손실되거나 유출되거나 손상되지 않아야 한다는 절대적 요구 사항.
보안은 단일 기능이 아닙니다. 인증, 권한 부여, 암호화, 감사 로그, 입력 검증, 인프라 강화, 운영 규율에 걸친 계층화된 아키텍처입니다. 각 레이어는 다른 것들이 실패할 수 있다고 가정하므로, 하나의 침해가 모든 곳의 침해가 되지 않습니다.
플랫폼은 스키마 수준에서 멀티테넌트로 구축되어 조직과 클리닉 간에 엄격한 데이터 격리를 제공합니다. 감사 추적은 고객 측에서 변경 불가능하며 클리닉 관리 콘솔을 통해 쿼리할 수 있습니다.
2. 인증
서명된 토큰 인증
HttpOnly 쿠키에 저장된 업계 표준 서명 인증 토큰 — 클라이언트 측 JavaScript에서 접근할 수 없어 토큰 도용 공격의 전체 클래스를 제거합니다. 토큰은 명시적 계정 유형과 정의된 세션 만료 창에 바인딩되고, 활동 시 새로 고침되며, 모든 보호된 요청에서 클리닉 컨텍스트에 대해 검증됩니다.
다중 포털 권한 부여
플랫폼은 임상, 조직 관리자, 검사실 파트너, 시스템 관리자, 환자의 다섯 가지 고유 포털 클래스를 지원합니다. 하나의 포털에 인증된 사용자는 다른 포털의 엔드포인트에 접근할 수 없습니다. 분리는 애플리케이션 코드가 아닌 게이트웨이에서 시행됩니다.
클리닉별 세션 정책
각 클리닉은 세션 정책을 선택합니다: 다중 기기(사용자가 여러 기기에서 동시에 로그인 가능) 또는 단일 기기(새 기기에서 로그인 시 이전 세션 자동 종료). 이것은 클리닉 관리자가 제어하는 설정으로, 보안 설정의 조직 콘솔에 표시됩니다.
기기 지문 인식 및 의심스러운 로그인 감지
모든 인증된 세션은 요청 특성에서 계산된 기기 지문과 연결됩니다. 낯선 기기 패턴, 비정상적인 지역, 불가능한 여행 이벤트는 검토를 위해 표시되거나 강제 재인증을 트리거할 수 있습니다.
다중 요소 인증
다중 요소 인증은 클리닉 관리자 및 조직 관리자 역할에 지원되고 권장되며, 실패한 시도에 대한 점진적 백오프 및 잠금이 있습니다.
4. 암호화
전송 중 암호화
모든 API 및 웹 트래픽은 현대적인 전송 계층 암호화를 사용하여 전송 중에 암호화됩니다. 암호화되지 않은 HTTP는 어떤 엔드포인트에서도 수락되지 않습니다.
저장 중 암호화, 필드 수준 보호 포함
민감한 개인식별정보 및 보호된 건강 정보는 스토리지 레이어에서 제공하는 디스크 수준 암호화를 넘어 데이터베이스의 필드 수준에서 암호화됩니다. 단독으로 가져간 데이터베이스 백업 파일은 복호화된 환자 데이터를 노출하지 않습니다.
파일 스토리지 암호화
환자 문서, 임상 이미지, 기타 업로드는 저장 시 데이터를 암호화하는 클라우드 오브젝트 스토리지에 저장됩니다. 파일은 단기 서명된 URL을 통해 접근됩니다 — 모든 다운로드는 감사 가능하고 시간 제한이 있습니다.
암호화 키 순환
시스템은 운영 도구를 통한 암호화 키 순환을 지원합니다. 키는 다운타임 없이 주기적으로 순환될 수 있으며, 시스템은 전환 창 동안 이전 키와의 하위 호환성을 유지합니다.
5. 감사 로그
플랫폼은 모든 민감한 작업의 종합적인 감사 추적을 유지합니다. 감사 로그는 고객 측에서 변경 불가능합니다 — 최종 사용자가 쿼리하고 내보낼 수 있지만 수정하거나 삭제할 수 없습니다. 클리닉별로 범위가 지정되며 조직 콘솔을 통해 클리닉 관리자가 볼 수 있습니다.
인증 및 권한 부여 이벤트
로그인, 로그아웃, 실패한 시도, 비밀번호 재설정, MFA 챌린지, 권한 부여, 역할 변경.
환자 데이터 접근 및 수정
환자 접근 이벤트는 감사 추적의 일부로 기록됩니다. 모든 생성, 편집, 삭제는 이전/이후 값, 작업 사용자, 타임스탬프를 포함합니다.
재무 운영
모든 결제, 환불, 청구서 생성, 현금 등록 운영은 회계 조정 및 감사 준비를 위한 상세한 내용과 함께 기록됩니다.
시스템 관리
역할 변경, 권한 업데이트, 클리닉 구성 변경은 운영 로그와 별도로 추적되며 클리닉 정책에 따라 보존됩니다.
6. 멀티테넌시
플랫폼은 스키마 수준에서 멀티테넌트로 구축됩니다. 테넌트 간 데이터 유출은 아키텍처적으로 불가능하며, 단순히 정책상 금지된 것이 아닙니다.
계층 구조
조직 → 테넌트 → 클리닉 → 지점 → 부서 → 룸. 각 수준은 자체 구성, 데이터 격리, 사용자 할당 옵션을 제공합니다. 동일한 플랫폼이 개인 의료진과 다국적 치과 그룹 모두를 개인 사례에 대한 어려움 없이 서비스합니다.
격리 보장
데이터베이스의 모든 기록은 테넌트 ID와 (해당되는 경우) 클리닉 ID를 포함합니다. 모든 쿼리는 사용자의 테넌트 및 클리닉 컨텍스트에 의해 자동으로 범위가 지정됩니다. 테넌트 간 쿼리는 표준 API 경로를 통해 가능하지 않습니다.
공유 대 격리 데이터
환자 인구통계, 치료 라이브러리, 설정은 명시적으로 구성할 때 조직 또는 테넌트 수준에서 공유될 수 있습니다. 임상 기록과 재무 기록은 기본적으로 클리닉에 격리됩니다. 클리닉 간 환자 접근은 권한 게이트이며 감사됩니다.
7. 규정 준수 현황
WIO CLINIC은 의료 플랫폼에 기대되는 기술적 보호 조치를 제공합니다. 특정 클리닉에 대한 규정 준수는 결합된 시스템의 속성입니다 — 귀하의 정책, 저희 플랫폼, 워크플로 실행. 저희는 플랫폼 수준의 기반을 제공하며; 귀하는 프로그램을 유지합니다.
프라이버시 바이 디자인 원칙
데이터 최소화(임상 운영에 필요한 데이터만 수집), 목적 제한(환자 데이터는 명시적으로 동의된 목적에만 사용), 저장 제한(클리닉별로 구성 가능한 보존 규칙), 일급 환자 권리(내보내기, 삭제, 수정).
GDPR 준수 기능
접근권(전체 환자 데이터 내보내기), 수정권(감사 추적 포함), 삭제권(계단식 삭제 및 삭제 자체의 감사 로그 포함), 데이터 이동성권(기계 판독 가능 형식), 프라이버시 감사 로그.
HIPAA 준수 기능
접근 제어, 감사 로그, 암호화, 무결성 제어, 전송 보안. 모든 환자 데이터 접근에 대한 사용자별 책임. 임상 환경에 적합한 세션 관리.
지역 의료 규정 준수
지역 규정에 따라 필요한 경우 국가 의료 및 처방 시스템과의 연동. 관할권별로 구성 가능한 세금 및 청구 준수. 지역에 적합한 신분증 확인.
환자 동의 관리
버전 관리된 동의 템플릿, 타임스탬프 및 신원 바인딩이 있는 전자 서명, 보관을 위한 PDF 생성, 다국어 동의서, 클리닉별 동의 준수 검증.
데이터 주권
플랫폼은 별도의 지역 인프라 클러스터에 배포됩니다. 고객 데이터는 고객이 명시적으로 활성화하지 않는 한 지역 경계를 넘지 않습니다. 각 클리닉의 데이터는 규제 환경에 적합한 지역에 있습니다.
8. 백업 및 재해 복구
신뢰성은 숫자로 명시될 뿐 아니라 일관된 운영 규율을 통해 얻어집니다. 특정 주기, 보존 기간, RTO/RPO 목표, 인프라 지역 세부 사항은 NDA 하의 보안 패킷에서 제공됩니다 — 영업 담당자 또는 security@wio.clinic을 통해 요청하십시오.
지속적인 백업 프로그램
임상 및 규제 요구에 맞춘 보존 정책을 가진 데이터베이스 및 파일 스토리지의 정기 자동 백업. 백업은 누군가가 여전히 실행되기를 희망하는 스크립트가 아닌 모니터링된 프로그램입니다.
규율로서 복원 테스트
백업 복원이 백업이 작동했다는 유일한 증거입니다. 복원 훈련은 운영 리듬의 일부입니다 — 백업은 단순히 보관되는 것이 아니라 복원되기 위해 존재합니다.
파일 스토리지를 위한 다중 지역 중복성
환자 문서와 임상 이미지는 지리적으로 분산된 오브젝트 스토리지에 있으므로 단일 시설 장애가 환자 데이터를 가져가지 않습니다.
문서화된 인시던트 대응
무언가가 잘못될 때 대응은 즉흥적이 아닌 연습된 것입니다. 인시던트 대응 절차는 운영 팀에 의해 유지되며 반복적인 주기로 검토됩니다.
운영 위생
시작 시 구성 검증(시스템은 누락되거나 잘못된 비밀로 부팅을 거부), 지속적인 부하 하에서 메모리 안전 백그라운드 처리, 만료된 세션 및 오래된 신호 데이터의 자동 정리, 조정 없이 추가하거나 제거할 수 있는 상태 비저장 애플리케이션 서버.
9. 책임감 있는 공개
WIO CLINIC에서 잠재적 취약점을 식별하는 보안 연구원 및 고객으로부터의 보고서를 환영합니다.
보고 방법
문제에 대한 명확한 설명, 재현 단계, 관찰한 영향과 함께 security@wio.clinic으로 보안 소견을 이메일로 보내십시오. 요청 시 암호화된 통신을 이용할 수 있습니다.
기대할 수 있는 것
초기 보고서를 신속하게 확인하고, 심각도에 따라 분류하며, 해결까지의 진행 상황을 보고자에게 알립니다. 책임감 있는 공개 원칙을 따르는 선의의 연구원에 대해 법적 조치를 취하지 않습니다.
범위
범위 내: 프로덕션 WIO CLINIC 서비스 및 고객 대면 API. 범위 외: 소셜 엔지니어링, 사무소에 대한 물리적 공격, 사전 조정 없는 서비스 거부 테스트, 소유하지 않은 테넌트 데이터에 대한 테스트.
이 페이지는 플랫폼 수준의 기능을 설명합니다. 의료 공급자에 대한 최종 규정 준수는 결합된 고객 + 플랫폼 + 워크플로 시스템의 속성입니다. 플랫폼 단독으로는 규정 준수 프로그램이 아닙니다 — 규정 준수 프로그램을 구축할 수 있는 기반입니다.
WIO CLINIC
모든 클리닉을 위한 하나의 플랫폼
WIO CLINIC은 전 세계 클리닉 운영을 혁신하기 위해 노력하는 종합 의료 관리 플랫폼입니다. 본 웹사이트 및 그 서비스는 정보 제공 목적으로 제공됩니다. 모든 의료 및 건강 관련 정보는 자격을 갖춘 의료 전문가와 확인하시기 바랍니다. WIO CLINIC은 HIPAA, GDPR 및 현지 의료 규정을 포함한 국제 의료 데이터 보호 기준을 준수합니다. 당사 플랫폼은 ISO/IEC 9001(품질 경영), ISO/IEC 27001(정보 보안), ISO/IEC 27017(클라우드 보안), ISO/IEC 27018(클라우드 개인정보), ISO 13606(전자 건강 기록 통신), ISO/HL7 27931(데이터 교환 표준), ISO 9241-210(인간 중심 설계), ISO 25010(소프트웨어 품질), ISO 18308(EHR 아키텍처 요구사항), ISO 21549(환자 건강 카드 데이터) 인증을 받았습니다. 모든 상표, 서비스 마크 및 로고는 해당 소유자의 재산입니다. 본 플랫폼을 사용하면 이용 약관 및 개인정보처리방침에 동의하는 것으로 간주됩니다.