Politique de sécurité
Protection des données patients et conformité
TabibPro applique des mesures alignées sur la loi marocaine 09-08, les bonnes pratiques ISO 27001 et, lorsque applicable, le RGPD. Les données de santé bénéficient d'un niveau de protection renforcé.
Chiffrement & rotation des clés
Données patients chiffrées AES-256 au repos, TLS 1.3 en transit, gestion de clés via HSM/équivalent. Les clés sont renouvelées automatiquement tous les 3 mois lors des dimanches de maintenance.
Hébergement & localisation
Hébergement sur infrastructure cloud certifiée (ISO 27001/HDS ou équivalent) avec redondance régionale Maroc/UE. Les localisations précises sont communiquées dans les contrats et sur demande, conformément aux exigences de la CNDP.
Contrôle d’accès
Modèle Zero Trust, RBAC fin, MFA obligatoire, journaux d’accès immuables, sessions limitées dans le temps et séparation des environnements (prod/staging).
Tests & pare-feu applicatif
Tests d'intrusion trimestriels, revues de code sécurité, WAF avec détection proactive des menaces et règles anti-DDoS. Escalade 24/7 pour les incidents critiques.
Sauvegardes & continuité
Sauvegardes automatiques chiffrées, rétention par paliers, procédures de restauration testées régulièrement. Plan de continuité et PRA pour garantir la disponibilité des dossiers patients et de l’agenda.
Journalisation & traçabilité
Logs horodatés, signés et conservés conformément aux exigences légales. Export et audit disponibles pour les clients, dans le respect du secret médical.
Droits des personnes
Conformément à la loi 09-08 (et au RGPD pour les utilisateurs concernés), les patients peuvent exercer leurs droits d’accès, rectification, opposition et effacement via contact@tabibpro.ma. Les demandes sont traitées après vérification d’identité et validation médicale lorsque nécessaire.
Sous-traitants & transferts
Les sous-traitants sont soumis à des clauses de confidentialité, de sécurité et à des audits. Tout transfert de données hors Maroc/UE respecte la réglementation applicable (clause contractuelle type, localisation équivalente) et l’autorisation/notification à la CNDP lorsque requise.
Gestion des incidents
Processus d’alerte, confinement, correction et notification. En cas de violation de données à caractère personnel, notification des autorités compétentes (notamment CNDP) et des personnes concernées dans les délais légaux.
Contact sécurité
Pour toute question ou signalement sécurité : contact@tabibpro.ma. Un canal de divulgation responsable est disponible pour les chercheurs en sécurité.
Dernière mise à jour : 14/12/2025.