Sécurité
Sécurité de niveau médical pour les déploiements institutionnels. Une documentation de sécurité détaillée est disponible sur demande pour l'évaluation institutionnelle.
Infrastructure et hébergement
Jamie fonctionne entièrement sur AWS ca-central-1 (Montréal, Canada). Tous les services opèrent dans la région canadienne. Les données au repos sont chiffrées avec AES-256. Les données en transit utilisent TLS 1.2+. Les ressources statiques sont servies via un réseau de diffusion de contenu. Le trafic API ne passe pas par le CDN.
Contrôles d'accès
L'authentification utilise le protocole SRP (Secure Remote Password). Les mots de passe ne sont jamais transmis en texte clair. Le SSO entreprise est pris en charge pour les déploiements institutionnels. Les contrôles d'accès basés sur les rôles limitent l'exposition des données selon le rôle organisationnel. Les jetons de session ont une expiration définie. Tous les événements d'accès sont enregistrés.
Traitement des données
Les renseignements personnels sur la santé sont stockés au Canada. Les données de session sont traitées sur une base sessionnelle et ne sont pas conservées au-delà des exigences opérationnelles. Jamie n'utilise pas les données de santé des patients pour l'entraînement de modèles d'IA. Des données dépersonnalisées et agrégées peuvent être utilisées pour l'amélioration du service.
Réponse aux incidents
Nous maintenons un processus de réponse aux incidents pour les événements de sécurité. En cas de violation affectant des renseignements personnels sur la santé, nous aviserons les parties concernées conformément à la législation canadienne applicable sur la protection de la vie privée (LPRPDE et équivalents provinciaux). Les incidents de sécurité peuvent être signalés à security@jamieapp.com.
Divulgation responsable
Nous gérons un programme de divulgation responsable. Si vous avez identifié une vulnérabilité de sécurité dans la plateforme Jamie, veuillez contacter security@jamieapp.com avec une description du problème. Nous demandons une divulgation responsable — 90 jours pour la remédiation avant la divulgation publique. Nous accuserons réception de votre rapport dans les 5 jours ouvrables.