Türkçe 
English 
Deutsch 
Français 
Italiano 
Español 
Português 
Nederlands 
Русский 
العربية 
فارسی 
Azərbaycanca 
日本語 
简体中文 
한국어 
हिन्दी 本页内容
WIO CLINIC 的信任与安全
如同它所服务的诊所:严肃、分层、负责任。
医疗数据高度敏感、受监管机构监督且不可替代。本页面面向需要了解我们实际做了什么的安全官、IT 负责人和采购团队——而非营销手册所说的内容。如果具体合同细节属于保密协议范围,我们会指出这一点,而非捏造数字。
1. 安全概述
WIO CLINIC 是一个多租户临床运营平台,围绕医疗数据的现实设计:高度敏感性、监管复杂性、严格的每诊所隔离,以及患者数据绝对不得丢失、泄露或损坏的要求。
安全不是单一功能。它是涵盖身份验证、授权、加密、审计日志、输入验证、基础设施加固和运营规范的分层架构。每层都假设其他层可能失败,因此一层的违规不会演变为全面违规。
平台从架构层面构建为多租户,机构和诊所之间具有严格的数据隔离。审计追踪从客户端不可变,可通过诊所管理控制台查询。
2. 身份验证
签名令牌身份验证
行业标准签名身份验证令牌,存储在 HttpOnly Cookie 中——客户端 JavaScript 永远无法访问,从而消除了整类令牌窃取攻击。令牌绑定到明确的账户类型和定义的会话过期窗口,在活动时刷新,并在每次受保护请求时针对诊所上下文进行验证。
多门户授权
平台支持五种不同的门户类别——临床、机构管理员、实验室合作伙伴、系统管理员和患者。为一个门户认证的用户无法访问另一个门户的端点。分离在网关层强制执行,而非通过应用程序代码。
每诊所会话策略
每家诊所选择其会话策略:多设备(用户可同时从多台设备登录)或单设备(从新设备登录时自动终止上一会话)。这是诊所管理员控制的设置,在机构控制台的安全设置下显示。
设备指纹识别与可疑登录检测
每个已认证会话都与从请求特征计算出的设备指纹关联。不熟悉的设备模式、异常地理位置和不可能的旅行事件可以被标记以供审查或触发强制重新身份验证。
多因素身份验证
多因素身份验证为诊所管理员和机构管理员角色提供支持并推荐使用,在尝试失败时具有渐进退避和锁定功能。
4. 加密
传输中加密
所有 API 和 Web 流量均使用现代传输层密码学加密传输。任何端点均不接受未加密的 HTTP。
静态加密,含字段级保护
敏感个人身份信息和受保护健康信息在数据库中以字段级别加密,超出存储层提供的磁盘级加密保护。单独获取的数据库备份文件不会暴露解密的患者数据。
文件存储加密
患者文档、临床影像和其他上传文件存储在对静态数据进行加密的云对象存储中。文件通过短期签名 URL 访问——每次下载均可审计且有时间限制。
加密密钥轮换
系统通过运营工具支持加密密钥轮换。密钥可以定期轮换而无需停机,系统在过渡窗口期间保持与先前密钥的向后兼容性。
5. 审计日志
平台维护所有敏感操作的完整审计追踪。审计日志从客户端不可变——最终用户可以查询和导出,但无法修改或删除。它们按诊所范围划分,诊所管理员可通过机构控制台查看。
身份验证与授权事件
登录、注销、失败尝试、密码重置、MFA 挑战、权限授予、角色变更。
患者数据访问与修改
患者访问事件作为审计追踪的一部分被记录。每次创建、编辑和删除都携带前/后值、操作用户和时间戳。
财务操作
每次付款、退款、发票生成和收银操作都以高度详细的信息记录,便于会计对账和审计准备。
系统管理
角色变更、权限更新和诊所配置变更与运营日志分开追踪,并按诊所策略保留。
6. 多租户
平台从架构层面构建为多租户。跨租户数据泄漏在架构上是不可能的,而非仅仅是政策禁止的。
层级结构
机构 → 租户 → 诊所 → 分院 → 科室 → 诊室。每个层级提供自己的配置、数据隔离和用户分配选项。同一平台为个人从业者和跨国牙科集团提供服务,单人执业无需任何特殊处理。
隔离保证
数据库中的每条记录都携带其租户 ID 和(如适用)诊所 ID。每个查询都自动按用户的租户和诊所上下文范围划分。通过标准 API 路径无法进行跨租户查询。
共享与隔离数据
患者人口统计、治疗库和设置可以在明确配置时在机构或租户级别共享。临床记录和财务记录默认隔离到诊所。跨诊所患者访问受权限控制并经过审计。
7. 合规状况
WIO CLINIC 提供医疗平台所期望的技术保障。特定诊所的合规性是组合系统的属性——您的政策、我们的平台和工作流程执行。我们提供平台级基础;您维护合规计划。
隐私设计原则
数据最小化(仅收集临床运营所需数据)、目的限制(患者数据仅用于明确同意的目的)、存储限制(保留规则可按诊所配置)以及一流的患者权利(导出、删除、更正)。
GDPR 对齐能力
访问权(完整患者数据导出)、更正权(含审计追踪)、删除权(含级联删除和删除本身的审计日志)、数据可携带权(机器可读格式)、隐私审计日志。
HIPAA 对齐能力
访问控制、审计日志、加密、完整性控制和传输安全。每次患者数据访问均有按用户可追责性。适合临床环境的会话管理。
区域医疗合规
在区域法规要求的地方与国家医疗和处方系统集成。税务和开票合规可按司法管辖区配置。适合该地区的身份文件验证。
患者知情同意管理
版本化同意模板、含时间戳和身份绑定的电子签名、归档 PDF 生成、多语言知情同意书,以及按诊所的同意合规验证。
数据主权
平台部署在不同的区域基础设施集群中。除非客户明确启用,否则客户数据不会跨越区域边界。每家诊所的数据驻留在适合其监管环境的区域。
8. 备份与灾难恢复
可靠性通过持续的运营规范赢得,而非仅仅作为数字陈述。具体频率、保留窗口、RTO/RPO 目标和基础设施区域详情可在保密协议下的安全数据包中获取——通过您的销售联系人或 security@wio.clinic 申请。
持续备份计划
定期自动备份数据库和文件存储,保留策略符合临床和监管需求。备份是受监控的计划,而非有人希望仍在运行的脚本。
将恢复测试作为规范
恢复备份是备份有效的唯一证明。恢复演练是运营节奏的一部分——备份是为了恢复而存在,而非仅仅保存。
文件存储的多区域冗余
患者文档和临床影像存储在地理分布式对象存储中,以确保单个设施故障不会带走患者数据。
记录在案的事件响应
当出现问题时,响应是经过演练的,而非即兴的。事件响应程序由运营团队维护,并定期审查。
运营卫生
启动时的配置验证(系统拒绝在缺少或无效密钥时启动)、持续负载下的内存安全后台处理、过期会话和陈旧信号数据的自动清理,以及可以无需协调地添加或删除的无状态应用服务器。
9. 负责任披露
我们欢迎安全研究人员和客户提交在 WIO CLINIC 中发现的潜在漏洞报告。
如何报告
将安全发现通过电子邮件发送至 security@wio.clinic,清楚描述问题、复现步骤以及您观察到的任何影响。如需加密通信,可根据请求提供。
预期流程
我们及时确认初始报告,根据严重性进行分类,并在修复过程中持续通知报告人进展。我们不会对遵循负责任披露原则的善意研究人员采取法律行动。
范围
在范围内:生产 WIO CLINIC 服务和面向客户的 API。范围外:社会工程学、对办公室的物理攻击、未事先协调的拒绝服务测试,以及对您不拥有的租户数据进行测试。
本页描述平台级功能。医疗服务提供商的最终合规性是客户 + 平台 + 工作流程系统组合的属性。平台本身不是合规计划——它是可以构建合规计划的基础。
WIO CLINIC
一个平台,适用于所有诊所
WIO CLINIC 是一个综合健康管理平台,致力于在全球范围内改变诊所运营方式。本网站及其服务仅供参考。所有医疗和健康相关信息均应由合格的医疗专业人员核实。WIO CLINIC 遵守包括 HIPAA、GDPR 和当地卫生法规在内的国际医疗数据保护标准。我们的平台已通过 ISO/IEC 9001(质量管理)、ISO/IEC 27001(信息安全)、ISO/IEC 27017(云安全)、ISO/IEC 27018(云隐私)、ISO 13606(电子健康记录通信)、ISO/HL7 27931(数据交换标准)、ISO 9241-210(以人为中心的设计)、ISO 25010(软件质量)、ISO 18308(电子健康记录架构要求)和 ISO 21549(患者健康卡数据)认证。所有商标、服务标志和徽标均为其各自所有者的财产。使用本平台即表示接受我们的服务条款和隐私政策。