Chúng tôi là ai

Sứ mệnh của True Advisory là thay đổi cách tiếp cận dịch vụ chăm sóc sức khỏe tâm thần mang tính đột phá. True Advisory kết hợp những nhà cung cấp dịch vụ tốt nhất, công nghệ tiên tiến và cam kết vững chắc về chất lượng chăm sóc cho tất cả mọi người. Trên toàn thế giới, 970 triệu người đang phải sống chung với các vấn đề sức khỏe tâm thần. Rào cản lớn nhất không phải là điều trị mà là khả năng tiếp cận. Đồng sáng lập kiêm chủ tịch hội đồng quản trị của True Advisory, David Ebersman, đã rời bỏ vị trí giám đốc tài chính của Meta vào năm 2014 để giải quyết vấn đề này bằng cách giúp việc tìm kiếm và điều trị trở nên dễ dàng hơn. Hơn 300 công ty hàng đầu đã hợp tác để cung cấp các quyền lợi về sức khỏe tâm thần của True Advisory cho nhân viên của họ, bao gồm Meta, Pinterest và Starbucks, giúp hơn 17 triệu người tiếp cận được dịch vụ chăm sóc mang tính đột phá. Để tìm hiểu thêm, hãy truy cập domain.com

Tổng quan về dịch vụ

True Advisory cung cấp dịch vụ chăm sóc sức khỏe tâm thần dựa trên bằng chứng, giúp nâng cao sức khỏe tinh thần của nhân viên và thúc đẩy tác động tích cực đến hoạt động kinh doanh.

Chúng tôi cung cấp chế độ phúc lợi sức khỏe tâm thần cho người lao động toàn cầu toàn diện và hiệu quả nhất, hỗ trợ đầy đủ các nhu cầu chăm sóc sức khỏe tâm thần cho nhân viên và gia đình họ. Thông qua hệ thống kết nối nhà cung cấp dịch vụ dựa trên trí tuệ nhân tạo, hỗ trợ cá nhân hóa và nền tảng kỹ thuật số, mỗi thành viên đều được tiếp cận nhanh chóng với dịch vụ chăm sóc phù hợp với nhu cầu của mình, khi nào, ở đâu và bằng cách nào họ muốn.

Mạng lưới nhà cung cấp dịch vụ cao cấp, các liệu pháp dựa trên bằng chứng và dịch vụ chăm sóc toàn diện của True Advisory giúp nhiều người hồi phục nhanh hơn và duy trì sức khỏe tốt hơn trong thời gian dài hơn. Và khi cuộc sống của nhân viên được cải thiện, các công ty sẽ tiết kiệm được chi phí nhờ tỷ lệ thôi việc thấp hơn, năng suất được cải thiện và chi phí y tế giảm. Nghiên cứu được công bố rộng rãi và được đánh giá bởi các chuyên gia đã khẳng định mô hình chăm sóc đột phá của True Advisory giúp người bệnh hồi phục nhanh gấp đôi và giảm 26% tổng chi phí bảo hiểm y tế hàng năm cho người tham gia.

Sự tuân thủ

HIPAA và CCPA

True Advisory đảm bảo rằng tất cả Thông tin Sức khỏe Được Bảo vệ (PHI) mà công ty quản lý đều được truyền tải, lưu giữ, xử lý và loại bỏ một cách an toàn, tuân thủ các yêu cầu của HIPAA. Hơn nữa, True Advisory triển khai các quy trình và biện pháp kiểm soát tập trung vào quyền riêng tư để đảm bảo tuân thủ CCPA và CPRA.

Khung bảo mật chung HITRUST (CSF)

True Advisory trải qua các cuộc kiểm toán hàng năm để duy trì sự tuân thủ Khung An ninh Chung HITRUST (CSF). HITRUST CSF là sự tích hợp các quy định và tiêu chuẩn về an ninh và quyền riêng tư ở cấp liên bang và tiểu bang vào một khung duy nhất, bao gồm các tiêu chuẩn được định nghĩa trong HIPAA, HITECH, NIST, ISO, PCI, FTC và COBIT. Nó được thiết kế thông qua sự hợp tác giữa ngành chăm sóc sức khỏe và các chuyên gia an ninh thông tin. Khung quy định này đáp ứng cả rủi ro và sự tuân thủ.

Kiểm thử xâm nhập của bên thứ ba

True Advisory hợp tác với các công ty bên thứ ba uy tín để tiến hành kiểm thử xâm nhập bên ngoài hàng năm đối với ứng dụng web của True Advisory. Tất cả các phát hiện đều được xử lý theo chính sách Quản lý lỗ hổng bảo mật được ghi chép chính thức của True Advisory. True Advisory có thể cung cấp thư chứng nhận từ công ty bên ngoài về kết quả kiểm thử xâm nhập gần đây nhất theo yêu cầu.

An ninh tổ chức

Đội bảo mật

Đội ngũ An ninh tại True Advisory Health bao gồm Trưởng bộ phận An ninh, người chịu trách nhiệm về mọi khía cạnh an ninh trong tổ chức, và năm Chuyên viên Phân tích An ninh, chịu trách nhiệm thu thập thông tin và thực hiện các hoạt động liên quan đến an ninh hàng ngày. Đội ngũ An ninh của True Advisory triển khai cả các biện pháp tổ chức (chính sách, thủ tục, quy trình, đào tạo/giáo dục) và các biện pháp kiểm soát kỹ thuật (an ninh cơ sở hạ tầng & điểm cuối, an ninh vật lý, hoạt động an ninh, quản lý lỗ hổng, quản lý sự cố, quản lý rủi ro) để bảo vệ hệ thống, dữ liệu, nhân viên và khách hàng của True Advisory. Đội ngũ An ninh làm việc cùng với các bên liên quan nội bộ, chẳng hạn như các nhóm Pháp lý, Kỹ thuật và DevOps để đảm bảo rằng tất cả các biện pháp được triển khai đều tuân thủ các yêu cầu của HIPAA và các quy định liên bang và tiểu bang khác hiện hành.

Sự riêng tư

True Advisory rất coi trọng trách nhiệm bảo vệ dữ liệu mà mình quản lý. Chính sách bảo mật của chúng tôi được cập nhật thường xuyên để đáp ứng những thay đổi trong chính sách của công ty và các yêu cầu của quy định liên bang và tiểu bang, chẳng hạn như HIPAA & CCPA, mà True Advisory tuân thủ. Vui lòng truy cập: https://www.True Advisoryhealth.com/privacy-policy/ để xem chi tiết Chính sách bảo mật của chúng tôi.

Chính sách và Quy trình

Nhóm An ninh của True Advisory tạo ra, cập nhật và công bố các chính sách và quy trình cho tất cả các khía cạnh của chương trình an ninh, được cung cấp cho tất cả nhân viên thông qua nền tảng wiki nội bộ của True Advisory. Khi được tuyển dụng, nhân viên phải xem xét và ký vào Sổ tay Nhân viên của True Advisory, trong đó quy định các điều khoản Sử dụng Chấp nhận được mà tất cả nhân viên phải tuân theo. Bất kỳ nhân viên nào vi phạm Sổ tay Nhân viên hoặc các chính sách an ninh của True Advisory đều có thể bị xử lý kỷ luật, bao gồm cả việc chấm dứt hợp đồng lao động, theo quy định trong Chính sách Xử phạt của True Advisory.

Kiểm tra lý lịch

Bộ phận Nhân sự của True Advisory tiến hành kiểm tra lý lịch đối với tất cả nhân viên trước khi họ bắt đầu làm việc. Quá trình kiểm tra này bao gồm cả việc xác minh thông tin tham khảo và kiểm tra lý lịch tư pháp.

Đào tạo nâng cao nhận thức về an ninh

Hàng năm, nhân viên tham gia các khóa đào tạo nâng cao nhận thức về an ninh do Trưởng bộ phận An ninh và Bảo mật của chúng tôi phụ trách, đồng thời được đào tạo thêm về an ninh và bảo mật theo quy định HIPAA trong quá trình hội nhập. Nhóm An ninh của True Advisory cũng thường xuyên cung cấp các cảnh báo và thông báo an ninh trên toàn công ty để đảm bảo tất cả nhân viên đều nhận thức được các biện pháp an ninh quan trọng và các rủi ro tiềm ẩn.

Bảo mật cơ sở hạ tầng và điểm cuối

Bảo mật ứng dụng

Các phương pháp phát triển phần mềm của True Advisory tập trung vào việc tạo ra mã nguồn hiệu quả, an toàn và dễ bảo trì. Việc xem xét mã nguồn được thực hiện trước khi triển khai để chia sẻ kiến ​​thức và đảm bảo chất lượng mã, bao gồm tính mô-đun, khả năng tái sử dụng mã, xử lý lỗi, quy ước đặt tên, lập trình an toàn, chú thích, độ phủ kiểm thử đơn vị và việc giữ thông tin nhạy cảm tránh xa kho lưu trữ mã nguồn.

Trưởng bộ phận An ninh hạn chế quyền truy cập để cập nhật phần mềm vận hành. Phần mềm của nhà cung cấp được bảo trì theo tiêu chuẩn của nhà cung cấp. Các ứng dụng và hệ điều hành được kiểm tra trước khi đưa vào sử dụng. Tài liệu được duy trì và các phiên bản trước đó được lưu trữ. Các công cụ như tường lửa ứng dụng web và phân tích mã byte tĩnh bảo vệ các ứng dụng khỏi các lỗ hổng và rủi ro phổ biến trên web.

Phát triển an toàn

True Advisory đảm bảo tuân thủ các thực tiễn tốt nhất trong ngành khi phát triển ứng dụng. Nhóm bảo mật xác định các biện pháp kiểm soát bảo mật liên quan đến thông tin trong các dịch vụ ứng dụng. True Advisory sử dụng môi trường sản xuất và phát triển riêng biệt. Tất cả các thay đổi đều trải qua quy trình quản lý thay đổi và kiểm thử đảm bảo chất lượng chính thức trước khi triển khai lên môi trường sản xuất. Ngoài ra, tất cả các kỹ sư định kỳ xem xét OWASP Top 10.

Bảo mật đám mây

Các nhóm Bảo mật và DevOps của True Advisory phối hợp chặt chẽ để đảm bảo tất cả các hệ thống và dịch vụ được cung cấp thông qua AWS đều được quản lý an toàn. True Advisory tuân theo các cấu hình được khuyến nghị như được định nghĩa trong Khung Kiến trúc Tốt của AWS cho tất cả các tài nguyên AWS. Chúng tôi sử dụng các tính năng của AWS như GuardDuty, Inspector, IAM Access Analyzer và Security Hub để hỗ trợ phát hiện và phản hồi các sự kiện bất thường, cấu hình sai và các mối đe dọa mới nổi. Các cuộc điều tra, khắc phục và kế hoạch hành động sửa chữa được ghi chép và theo dõi chính thức bằng hệ thống quản lý sự cố nội bộ của chúng tôi.

Mã hóa

True Advisory thực thi mã hóa toàn bộ ổ đĩa trên tất cả các máy tính xách tay được quản lý thông qua phần mềm quản lý doanh nghiệp và mã hóa thiết bị trên tất cả các thiết bị di động BYOD thông qua quản lý thiết bị di động (MDM). Nhóm Bảo mật và Quản trị viên CNTT của True Advisory sử dụng giám sát liên tục để đảm bảo các thiết bị luôn tuân thủ chính sách mã hóa của chúng tôi.

Tất cả dữ liệu được mã hóa trong môi trường AWS của True Advisory đều tuân theo tiêu chuẩn tối thiểu là TLS 1.2 (khi truyền tải) và AES-256 (khi lưu trữ). Mã hóa được triển khai và thực thi ở tất cả các lớp (cơ sở dữ liệu, máy chủ ứng dụng, máy chủ web) thông qua Dịch vụ Quản lý Khóa (KMS) của AWS. Tất cả dữ liệu khách hàng được mã hóa trong cơ sở dữ liệu của chúng tôi bằng các khóa mã hóa dành riêng cho từng khách hàng.

Bảo mật mạng

True Advisory triển khai các quy tắc Tường lửa ứng dụng web (WAF), danh sách kiểm soát truy cập mạng (ACL) và Nhóm bảo mật trong AWS để phân đoạn mạng một cách logic (VPC) và đảm bảo các hệ thống và dữ liệu nhạy cảm bên trong chúng luôn được bảo mật. Các tường lửa cấp mạng mặc định từ chối mọi truy cập
và chỉ cho phép lưu lượng truy cập đã được các Kỹ sư DevOps ủy quyền và cấu hình. Các hệ thống được sử dụng để lưu trữ hoặc xử lý dữ liệu nhạy cảm được cách ly trong các mạng riêng (VPC), chỉ có thể truy cập được bởi nhân viên được ủy quyền thông qua ZTNA của True Advisory.

Mạng không dây nội bộ của công ty tại văn phòng True Advisory sử dụng giao thức WPA2 và yêu cầu nhân viên đăng nhập bằng thông tin tài khoản Google do True Advisory cung cấp trước khi truy cập. Mạng không dây của True Advisory hoàn toàn tách biệt khỏi tất cả các mạng sản xuất khác trong AWS.

Bảo vệ điểm cuối

True Advisory triển khai các giải pháp xử lý dữ liệu doanh nghiệp (EDP) cho tất cả các máy trạm được quản lý. Ngoài ra, quản lý quyền truy cập và chặn ứng dụng được thực hiện trên tất cả các máy trạm được quản lý để đảm bảo rằng nhân viên không có quyền quản trị viên cục bộ và chỉ được phép cài đặt và chạy các ứng dụng đã được phê duyệt trước. True Advisory triển khai quản lý thiết bị di động (MDM) cho tất cả các thiết bị di động BYOD để đảm bảo tuân thủ các tiêu chuẩn bảo mật tối thiểu của thiết bị (mã hóa, yêu cầu mật mã/màn hình khóa, cách ly dữ liệu doanh nghiệp, xóa dữ liệu từ xa). True Advisory nghiêm cấm việc sử dụng các thiết bị di động đã bị bẻ khóa (jailbroken) hoặc cài đặt phần mềm từ các cửa hàng ứng dụng không chính thức và thực thi các yêu cầu này.

Mật khẩu

True Advisory yêu cầu tất cả mật khẩu của nhân viên phải có ít nhất 12 ký tự và chứa một chữ cái viết hoa, một chữ cái viết thường, một số và một ký tự đặc biệt. Mật khẩu tài khoản người dùng tiêu chuẩn được thay đổi sau mỗi 180 ngày. Nhóm Bảo mật của True Advisory giám sát việc sử dụng mật khẩu trong toàn tổ chức và nhận được cảnh báo tự động về các mật khẩu có khả năng yếu hoặc bị xâm phạm.

True Advisory triển khai trình bảo vệ màn hình được bảo vệ bằng mật khẩu trên tất cả các máy trạm được quản lý, trình bảo vệ này sẽ tự động kích hoạt sau 5 phút không hoạt động.

Nhân viên bị cấm chia sẻ mật khẩu tài khoản người dùng của mình. True Advisory sử dụng hệ thống quản lý mật khẩu doanh nghiệp để đảm bảo nhân viên có thể dễ dàng tạo mật khẩu độc đáo và phức tạp cho tất cả các tài khoản của họ và lưu trữ chúng một cách an toàn dưới dạng mã hóa.

Quản lý danh tính và quyền truy cập

True Advisory tuân thủ các nguyên tắc về quyền hạn tối thiểu, phân công dựa trên vai trò và nguyên tắc “cần biết” khi cấp quyền truy cập mạng và ứng dụng. Tất cả các yêu cầu truy cập (cho dù là để gia nhập, thay đổi vai trò hay thôi việc) đều được theo dõi, xem xét và phê duyệt bằng hệ thống quản lý yêu cầu nội bộ của True Advisory. Quyền quản trị quan trọng chỉ giới hạn cho nhân viên được ủy quyền và được nhóm Bảo mật xem xét hàng tháng.

Xác thực

True Advisory đảm bảo rằng tất cả tài khoản người dùng của nhân viên đều được bật xác thực đa yếu tố (MFA). Ngoài ra, quyền truy cập quản trị trực tiếp vào các hệ thống chứa thông tin nhạy cảm chỉ giới hạn cho những người dùng được ủy quyền và cũng được kết nối với ZTNA của công ty True Advisory.

Ngăn ngừa mất dữ liệu

Việc giám sát và kiểm soát kỹ thuật nhằm ngăn ngừa mất dữ liệu trên các nền tảng giao tiếp và cộng tác của True Advisory đảm bảo rằng thông tin nhạy cảm được mã hóa và chỉ được cung cấp cho các bên được ủy quyền. True Advisory nghiêm cấm việc sử dụng các thiết bị lưu trữ di động (thiết bị USB) theo chính sách và thực thi điều này thông qua quản lý cấu hình áp dụng cho tất cả các máy trạm được quản lý.

An ninh vật lý

Văn phòng True Advisory

True Advisory áp dụng phương pháp nhiều lớp để thực thi an ninh vật lý và kiểm soát việc ra vào văn phòng. Tất cả việc ra vào văn phòng của True Advisory đều yêu cầu thẻ ra vào hoặc phải đăng ký với tư cách khách tham quan, và khách tham quan phải được nhân viên có thẩm quyền dẫn vào bên trong cơ sở. Việc tiếp cận các nguồn lực quan trọng như thiết bị mạng văn phòng và kho máy tính được hạn chế hơn nữa, chỉ được vào các phòng khóa riêng biệt mà chỉ những nhân viên được ủy quyền mới có thể vào. Tất cả nhân viên đều tuân thủ chính sách giữ bàn làm việc gọn gàng khi ở trong văn phòng của True Advisory.

Hoạt động an ninh

Quản lý lỗ hổng bảo mật

True Advisory sử dụng giải pháp phần mềm để liên tục giám sát mạng nội bộ và bên ngoài của chúng tôi, đồng thời cung cấp cảnh báo về bất kỳ lỗ hổng nào có thể bị khai thác trong môi trường Sản xuất. Bất kỳ lỗ hổng nào được xác định đều được khắc phục kịp thời theo chính sách Quản lý Lỗ hổng chính thức của True Advisory.

Quản lý bản vá

True Advisory đảm bảo các hệ thống được quản lý được triển khai với cấu hình bảo mật cơ bản mạnh mẽ và được cập nhật thường xuyên để bảo vệ chống lại các mối đe dọa và lỗ hổng mới nổi. Trong trường hợp cần vá lỗi khẩn cấp để khắc phục lỗ hổng nghiêm trọng, nhóm Bảo mật sẽ phối hợp với chủ sở hữu và người dùng hệ thống để đảm bảo việc vá lỗi được thực hiện với mức độ khẩn cấp phù hợp.

Quản lý thay đổi

True Advisory đã triển khai một quy trình quản lý thay đổi chính thức trên tất cả các khía cạnh của việc bảo trì và phát triển hệ thống. Các thay đổi được yêu cầu, xem xét và theo dõi riêng lẻ bằng hệ thống quản lý yêu cầu nội bộ của True Advisory để đảm bảo tất cả các thay đổi đều được xác nhận trước khi triển khai. Các thay đổi phải được sự chấp thuận độc lập của ban quản lý và bao gồm các chiến lược hoàn tác khi cần thiết.

Phân chia trách nhiệm

Trên tất cả các nhóm trong tổ chức, True Advisory đảm bảo tuân thủ nguyên tắc phân công nhiệm vụ nhằm giảm thiểu nguy cơ truy cập hoặc sửa đổi trái phép hoặc ngoài ý muốn đối với hệ thống và dữ liệu của True Advisory.

Quản lý tài sản

True Advisory sử dụng kết hợp các hệ thống quản lý tài sản để theo dõi việc cung cấp và sử dụng tất cả các hệ thống được dùng để tương tác với dữ liệu của True Advisory (chẳng hạn như máy trạm do True Advisory quản lý, máy chủ và thiết bị di động BYOD). Nhóm Bảo mật, phối hợp với nhóm CNTT, thường xuyên xem xét nội dung và trạng thái của các hệ thống quản lý này để đảm bảo rằng tất cả các thiết bị đều được ủy quyền sử dụng và tuân thủ các tiêu chuẩn bảo mật hệ thống của True Advisory.

Quản lý sự cố

Phát hiện & Phản hồi

True Advisory triển khai các giải pháp giám sát nhật ký và cảnh báo trên tất cả các mạng, hệ thống và dịch vụ trong môi trường của mình nhằm phát hiện và phản hồi kịp thời các sự cố bảo mật tiềm ẩn. Các cảnh báo được nhóm Bảo mật xem xét thường xuyên và được chuyển tiếp hoặc phân công lại cho nhân viên khác khi cần thiết.

Chính sách Quản lý Sự cố của True Advisory được xây dựng để tuân thủ các quy định của HIPAA và các yêu cầu do HITRUST CSF ban hành. Nhóm Bảo mật xem xét lại chính sách Quản lý Sự cố của True Advisory và các cẩm nang xử lý sự cố bổ sung hàng năm để đảm bảo chiến lược ứng phó của tổ chức luôn được cập nhật.

Đảm bảo hoạt động kinh doanh liên tục

True Advisory đã triển khai một chính sách và quy trình chuẩn bị ứng phó thảm họa toàn diện để giải quyết các thảm họa thiên nhiên tiềm tàng và đảm bảo tất cả các hoạt động kinh doanh quan trọng (chức năng tài chính, dịch vụ viễn thông, xử lý dữ liệu, dịch vụ mạng) đều hoạt động liên tục. Nhóm An ninh đảm bảo rằng các bản sao của các tài liệu này được phân phát cho các nhân viên chủ chốt phụ trách ứng phó khẩn cấp. True Advisory tiến hành đào tạo toàn công ty hàng năm (và cả trong quá trình hội nhập nhân viên mới) để đảm bảo nhân viên nắm rõ các quy trình hiện có nhằm hỗ trợ hoạt động liên tục trong trường hợp xảy ra thảm họa thiên nhiên.

True Advisory sử dụng môi trường làm việc không phụ thuộc vào vị trí địa lý, do đó, các kịch bản thảm họa truyền thống dựa trên vị trí địa lý yêu cầu di dời đến một không gian thay thế không áp dụng trực tiếp trong trường hợp này. Vì vậy, các quy trình tài liệu và thử nghiệm của True Advisory về tính liên tục kinh doanh tập trung vào việc duy trì việc cung cấp sản phẩm và dịch vụ cho khách hàng của True Advisory.

Quản lý rủi ro

Quản lý rủi ro tổ chức

True Advisory đã xây dựng và triển khai các chính sách và quy trình chính thức về quản lý rủi ro nhằm xác định, đánh giá và giảm thiểu rủi ro cho tổ chức một cách hiệu quả. Các nhóm An ninh & Pháp lý tiến hành đánh giá rủi ro hàng năm để đánh giá cả rủi ro hiện có và tiềm ẩn, đồng thời đưa ra các biện pháp khắc phục phù hợp. Các kế hoạch hành động khắc phục sau đó được chính thức hóa và giao cho nhân viên chịu trách nhiệm thực hiện, đồng thời được nhóm An ninh theo dõi liên tục.

Quản lý rủi ro nhà cung cấp

True Advisory cam kết duy trì tiêu chuẩn cao về an ninh chuỗi cung ứng và đã triển khai quy trình đánh giá an ninh chính thức cho tất cả các nhà cung cấp bên thứ ba trước khi sử dụng dịch vụ của họ. Nhóm An ninh đảm bảo rằng các bên thứ ba hoàn thành bảng câu hỏi an ninh tiêu chuẩn và cung cấp tất cả các tài liệu và chứng nhận liên quan đến an ninh. Kết quả đánh giá sau đó được ghi lại chính thức và các yêu cầu về hành động khắc phục (nếu cần) được chia sẻ với nhà cung cấp và được giải quyết trước khi họ được chấp nhận