Co ze zdjęciami przed/po w chmurze (Google Drive, Dropbox)?”

Standardowy Google Drive czy Dropbox (wersje konsumenckie) nie spełniają wymagań art. 9 RODO dla zdjęć pacjentek: brak umowy powierzenia, brak gwarancji hostingu w UE, brak audit logu. Dopuszczalne bywają wyłącznie wersje biznesowe z podpisaną umową powierzenia i regionem danych w UE. Sprawdzamy, gdzie faktycznie żyją Państwa zdjęcia i które konfiguracje przeszłyby kontrolę, a które nie.

Czy pacjentka musi wyrazić zgodę na skanowanie?”

Nie. PreScan i CyberAudyt badają wyłącznie infrastrukturę widoczną z Internetu - domenę, systemy rezerwacji, ekspozycję kont. Nie sięgamy do dokumentacji medycznej ani danych konkretnych pacjentek, więc nie jest potrzebna ich zgoda. Oceniamy to, co już teraz widzi potencjalny atakujący, nie treść kart.

Czy NIS2 dotyczy kliniki medycyny estetycznej?”

Najczęściej nie. Większość klinik medycyny estetycznej jest poza zakresem NIS2 - dyrektywa obejmuje duże podmioty ochrony zdrowia i infrastrukturę krytyczną, nie typową prywatną klinikę. Niezależnie od NIS2 obowiązują Państwa pełne wymogi RODO (w tym art. 9), prawa wizerunku i tajemnicy lekarskiej - i to one, a nie NIS2, są realnym standardem należytej staranności w tej branży.

Co jeśli wycieknie zdjęcie pacjentki - jakie są moje obowiązki?”

Wyciek zdjęć "przed/po" niemal zawsze oznacza wysokie ryzyko dla praw pacjentki, co uruchamia art. 34 RODO - obowiązek bezpośredniego powiadomienia poszkodowanych pacjentek, obok zgłoszenia do UODO w ciągu 72 godzin (art. 33). Najlepsza obrona to działanie zapobiegawcze: PreScan i CyberAudyt znajdują ryzyka, zanim staną się naruszeniem, a jeśli wykryjemy istniejący wyciek danych logowania, dostają Państwo listę kont do natychmiastowej zmiany.

Jak wygląda test przy podwójnej lokalizacji?”

Każda lokalizacja ma własną powierzchnię ataku - osobny adres IP, czasem osobne kamery, osobny zdalny dostęp do systemu. CyberAudyt obejmuje obie lokalizacje w jednym raporcie, ze szczególną uwagą na współdzielone konta i loginy do systemu rezerwacji, które przy kilku lokalizacjach są typowym słabym punktem. Dla większych sieci przygotowujemy wycenę indywidualną z rozszerzonym zakresem.

Czy test nie zakłóci pracy przy zabiegach?”

Nie. PreScan jest w pełni zewnętrzny i pasywny - nie dotykamy systemu rezerwacji, kamer ani sieci kliniki, pracujemy na tych samych informacjach, które zebrałby atakujący z zewnątrz. Pełny CyberAudyt również nie wymaga przerw w grafiku ani wizyty w klinice. Zabiegi odbywają się normalnie, my pracujemy w tle.

Czy raport będzie przydatny dla mojego ubezpieczyciela OC?”

Tak. Coraz więcej polis cyber i OC dla podmiotów medycznych wymaga wykazania środków bezpieczeństwa - MFA, kopii zapasowych, zewnętrznego audytu. Raport CyberAudyt (lub raport z retestu po naprawach) jest sformułowany tak, by można go było okazać ubezpieczycielowi jako dowód należytej staranności - często warunek korzystniejszej składki lub w ogóle objęcia ochroną.

Czy dostajemy raport w języku polskim?”

Tak. Raport CyberAudyt jest po polsku i napisany peer-level - dla lekarki prowadzącej klinikę, nie dla specjalisty IT: streszczenie, lista ustaleń z oceną krytyczności, plan napraw i osobna sekcja techniczna dla Państwa informatyka. Wersja angielska na życzenie.

Jeśli coś znajdziecie, musimy naprawiać to u Was?”

Nie. Ocena wskazuje, co wymaga naprawy i w jakiej kolejności. Wdrożenie może wykonać Państwa informatyk, dostawca systemu rezerwacji albo dowolna firma od cyberbezpieczeństwa. Jeśli nie mają Państwo zaufanego informatyka, wskażemy sprawdzone rozwiązanie - ale nie ma żadnego lock-inu.

Kliniki medycyny estetycznej

Zdjęcia pacjentek, dokumentacja leczeń, dane wrażliwe.
Sprawdzamy, czy nic nie wyciekło.

Ocena cyberbezpieczeństwa kliniki medycyny estetycznej w stałej cenie. Sprawdzamy systemy rezerwacji, przechowywanie zdjęć "przed/po", konta w mediach społecznościowych i zdalny dostęp - dokładnie tam, gdzie atakujący szuka wejścia. Bezpłatny PreScan w 24 godziny, pełny raport po polsku w 5 dni roboczych. Bez działu IT po Państwa stronie.

Zamów bezpłatne skanowanie wstępne

Znamy systemy, na których pracuje Państwa klinika

Booksy
Versum
Moment
Vago
Visido
SOMA
ZnanyLekarz
Doctoralia

Model zagrożenia

Dlaczego klinika medycyny estetycznej jest celem innego rodzaju

Model ryzyka kliniki estetycznej różni się od stomatologii czy księgowości. Tu pierwszą stawką jest reputacja, a dopiero potem regulacja - i to widać w czterech wzorcach, które raporty Verizon DBIR⁴ potwierdzają o placówkach trzymających wrażliwy materiał wizualny.

Szantaż reputacyjny zamiast sprzedaży danych.

Atakujący nie musi sprzedawać zdjęć "przed/po" pacjentek - wystarczy groźba publikacji jednego rozpoznawalnego kadru. To najczystszy model wymuszenia, jaki istnieje, i żadna inna placówka medyczna tej skali nie trzyma materiału o tak wysokim stosunku intymności do wartości szantażu.

Pacjentka rozpoznawalna podnosi stawkę.

Część Państwa pacjentek to osoby publiczne - dziennikarki, influencerki, osoby ze świata kultury czy polityki. Dla atakującego ich dokumentacja to nie jeden rekord, lecz dźwignia: wyciek pojedynczego zdjęcia może być wymuszeniem o sześciocyfrowej kwocie. To podnosi profil ryzyka całej kliniki.

Loginy i konta social to wspólny, słaby punkt.

Lekarki prowadzące kilka lokalizacji często współdzielą dostęp do systemu rezerwacji, a konto Instagram - główny kanał przychodów - bywa jednym loginem dla całego zespołu. Przejęcie tego jednego konta to natychmiastowa przerwa w przychodach i dostęp do bazy pacjentek naraz.

Kanał marketingowy jako bezpośredni cel.

Przejęcie konta Instagram lub Facebook kliniki da się szybko spieniężyć - przez okup za zwrot konta albo wykorzystanie zaufanego profilu do oszustw wobec obserwujących. Dla placówki, gdzie 60-80% rezerwacji pochodzi z social mediów, to uderzenie w samo serce działalności.

Zakres oceny

Co sprawdzamy w Państwa klinice

Bezpieczeństwo systemu rezerwacji

Booksy, Versum, Moment, Vago, Visido, SOMA - sprawdzamy znane podatności, ekspozycję paneli administracyjnych, kontrolę dostępu personelu i to, czy z dostawcą jest podpisana umowa powierzenia (DPA). System rezerwacji to baza pacjentek z historią wizyt w jednym miejscu.

Przechowywanie i backup zdjęć „przed/po”

Sprawdzamy, gdzie faktycznie trafiają i jak są zabezpieczone zdjęcia pacjentów - czy są bezpieczne w systemie gabinetowym, czy też „krążą” na prywatnych telefonach pracowników, w chmurach (Google Drive, Dropbox) lub na dyskach komputerów. Weryfikujemy metody szyfrowania danych na urządzeniach oraz sprawdzamy, czy kopie zapasowe (backupy) są skutecznie odizolowane od internetu, aby w razie ataku hakerskiego nie wpadły w niepowołane ręce.

Bezpieczeństwo social media i ochrona wizerunku pacjentów

audytujemy integracje Twoich kont na Instagramie i Facebooku oraz aplikacje do planowania postów. Eliminujemy ryzykowne, współdzielone loginy i wdrażamy zaawansowane zabezpieczenia (MFA), które chronią profil przed przejęciem przez hakerów. Od strony procesowej sprawdzamy ścieżkę publikacji zdjęć „przed/po" - weryfikujemy techniczne mechanizmy kontroli, które uniemożliwiają pracownikom wrzucenie wizerunku pacjenta do sieci bez wcześniejszego odnotowania i potwierdzenia zgody w systemie.

Zdalny dostęp do systemu gabinetowego

Zdalny pulpit i połączenia VPN do systemu z dokumentacją medyczną. Sprawdzamy, czy dostęp nie jest wystawiony publicznie, czy jest aktualny i czy chroni go MFA - a nie samo hasło. Dotyczy zwłaszcza klinik z więcej niż jedną lokalizacją.

Transfer transgraniczny danych

Pacjentki przylatujące z UK, Niemiec czy Włoch oznaczają równoległe UK GDPR / DSGVO obok polskiego RODO. Sprawdzamy, czy klauzula informacyjna wskazuje jurysdykcję i podstawę prawną oraz czy ewentualne przesłanie dokumentacji do lekarza pacjentki ma odrębną podstawę.

Bezpieczeństwo poczty i konsultacji

Konfiguracja SPF, DKIM i DMARC dla domeny kliniki oraz kanał, którym wysyłają Państwo konsultacje i zalecenia do pacjentek. Bez poprawnego DMARC ktoś podszyje się pod klinikę; konsultacja przez WhatsApp lub zwykły mail to dane medyczne poza kontrolą.

Szczególna ochrona

Jedno zdjęcie pacjentki, cztery reżimy prawne

Zdjęcie "przed/po" nie jest zwykłym plikiem. Te same dane chroni równolegle kilka niezależnych reżimów - dlatego pojedynczy wyciek bywa potrójną ekspozycją prawną. Warstwy nakładają się; spełnienie jednej nie zwalnia z pozostałych.

RODO - dane osobowe

Rozpoznawalna twarz na zdjęciu to dane osobowe. Obowiązują klauzula informacyjna, podstawa prawna, prawa pacjentki i procedura naruszeń.

RODO art. 9 - dane o zdrowiu

Zdjęcie powiązane z zabiegiem to szczególna kategoria danych. Wymaga wyraźnej zgody i podwyższonych środków technicznych - szyfrowania, kontroli dostępu, audit logu.

Wizerunek (prawo autorskie + KC)

Rozpowszechnianie wizerunku wymaga osobnej zgody (art. 81 prawa autorskiego), a dobra osobiste chroni art. 23 Kodeksu cywilnego - niezależnie od RODO.

Tajemnica lekarska

Fakt leczenia i jego przebieg objęte są tajemnicą zawodową lekarza. Jej naruszenie to odpowiedzialność zawodowa, odrębna od sankcji RODO.

Materiał informacyjny, nie porada prawna. W kwestiach szczegółowych warto skonsultować się z radcą prawnym specjalizującym się w prawie medycznym lub prawie wizerunku.

Realne koszty

Co realnie traci klinika - w kolejności wagi

Kapitał kliniki

Utrata zaufania pacjentek

Reputacja jest głównym aktywem kliniki medycyny estetycznej. Wyciek rozpoznawalnych zdjęć potrafi trwale naruszyć zaufanie pacjentek nawet przy skutecznej reakcji prawnej - a w branży opartej na poleceniach to przekłada się wprost na zapełnienie grafiku. To ryzyko, które wyprzedza każdą karę.

Do 20 mln €1

Potrójna ekspozycja prawna

Jeden wyciek zdjęcia pacjentki może uruchomić trzy reżimy naraz: RODO art. 9 (kara UODO), prawo wizerunku i dobra osobiste (roszczenia cywilne pacjentki), plus odpowiedzialność zawodowa za tajemnicę lekarską. Do tego 72-godzinny zegar zgłoszenia naruszenia (art. 33) rusza w chwili wykrycia.

Przerwa w rezerwacjach

Przejęcie kanału przychodów

Utrata konta Instagram lub Facebook to utrata głównego kanału pozyskania pacjentek z dnia na dzień. Odzysk przez Meta liczy się w tygodniach - jeśli w ogóle nastąpi. Dla kliniki, gdzie większość rezerwacji pochodzi z social mediów, koszt tygodniowej przerwy dorównuje żądaniu okupu.

Zobacz, jak wygląda prawdziwy raport

Tak wygląda raport PreScan dla kliniki medycyny estetycznej

Zredagowaliśmy nazwę kliniki i domenę. Reszta to realne wyjście - wykryte podatności, analiza luk przechowywania zdjęć pod art. 9 RODO, checklista utwardzenia kont social i priorytetyzowana lista działań, którą można tego samego dnia przekazać informatykowi.

Zobacz przykładowy raport …albo pomiń przykład - zamów własny PreScan bez opłat

Rezultaty

Co dostają Państwo

Każda klinika, która zamawia pełną ocenę, dostaje podobny w strukturze, ale znacznie obszerniejszy raport.

Raport PDF po polsku, peer-level - bez żargonu, dla lekarki, nie dla działu IT
Pełna lista podatności z oceną krytyczności (Krytyczna / Wysoka / Średnia / Niska), z CVSS tam, gdzie to adekwatne
Analiza przechowywania zdjęć "przed/po" pod kątem zgodności z art. 9 RODO
Ocena systemu rezerwacji i kont social z konkretnymi krokami utwardzenia (MFA, role, DPA)
Przewodnik konfiguracji bezpieczeństwa poczty (SPF, DKIM, DMARC) dla domeny kliniki
Raport o wyciekach danych logowania - które adresy zespołu, w jakich naruszeniach, kiedy
30-minutowa rozmowa końcowa z osobą prowadzącą ocenę, przejście przez wyniki punkt po punkcie

Cennik

Stała cena, widoczna z góry

Zaczynają Państwo za darmo. Płacą tylko, jeśli jest co naprawiać. Cena CyberAudyt jest stała - niezależnie od liczby pacjentek czy stanowisk; sieci wielolokalizacyjne wyceniamy indywidualnie.

Zacznij tutaj

PreScan

Bezpłatny

wynik w 24 h

Pasywny skan zewnętrzny kliniki. Pokazujemy, co widać z Internetu - bez żadnego dostępu z Państwa strony. Odpowiada na pytanie, czy w ogóle jest się czym zajmować.

Najczęściej wybierany

CyberAudyt

2 900 zł

raport w 5 dni roboczych

Pełna ocena zewnętrzna z ręczną weryfikacją: system rezerwacji, przechowywanie zdjęć, konta social, zdalny dostęp, poczta. Raport po polsku, peer-level, z priorytetami napraw i 30-minutową rozmową. Stała cena niezależnie od liczby pacjentek.

Sieć / multi-lokalizacja

Wycena indywidualna

zakres dopasowany

Dla klinik z kilkoma lokalizacjami, dużym wolumenem pacjentek-influencerek (wyższa ekspozycja reputacyjna) lub wymogiem ubezpieczyciela - zakres rozszerzony, w tym pełny pentest. Po retescie po naprawach: 50% ceny CyberAudyt.

Gwarancja: jeśli CyberAudyt nie znajdzie żadnej podatności do naprawy - zwrócimy Ci pieniądze.

Stała cena - bez stawek godzinowych, bez niespodzianek. Solo-praktyka, pojedynczy gabinet bez systemu rezerwacji online: zapytajcie o uproszczony zakres. Sieć klinik lub wymóg ubezpieczyciela: wycena indywidualna, w tym pełny pentest.

Zacznij od bezpłatnego PreScan

Pytania, które słyszymy najczęściej

Najczęstsze pytania lekarek prowadzących kliniki

„Czy test bezpieczeństwa obejmuje mój system Booksy lub Versum?”: Tak. Sprawdzamy Booksy, Versum, Moment, Vago, Visido, SOMA oraz profile typu ZnanyLekarz i Doctoralia - znane podatności, ekspozycję paneli administracyjnych, kontrolę dostępu personelu i to, czy z dostawcą jest podpisana umowa powierzenia. Nie zaglądamy do kart pacjentek; oceniamy powierzchnię ataku, czyli to, co widać i czego można dosięgnąć z zewnątrz.
„Co ze zdjęciami przed/po w chmurze (Google Drive, Dropbox)?”: Standardowy Google Drive czy Dropbox (wersje konsumenckie) nie spełniają wymagań art. 9 RODO dla zdjęć pacjentek: brak umowy powierzenia, brak gwarancji hostingu w UE, brak audit logu. Dopuszczalne bywają wyłącznie wersje biznesowe z podpisaną umową powierzenia i regionem danych w UE. Sprawdzamy, gdzie faktycznie żyją Państwa zdjęcia i które konfiguracje przeszłyby kontrolę, a które nie.
„Czy pacjentka musi wyrazić zgodę na skanowanie?”: Nie. PreScan i CyberAudyt badają wyłącznie infrastrukturę widoczną z Internetu - domenę, systemy rezerwacji, ekspozycję kont. Nie sięgamy do dokumentacji medycznej ani danych konkretnych pacjentek, więc nie jest potrzebna ich zgoda. Oceniamy to, co już teraz widzi potencjalny atakujący, nie treść kart.
„Czy NIS2 dotyczy kliniki medycyny estetycznej?”: Najczęściej nie. Większość klinik medycyny estetycznej jest poza zakresem NIS2 - dyrektywa obejmuje duże podmioty ochrony zdrowia i infrastrukturę krytyczną, nie typową prywatną klinikę. Niezależnie od NIS2 obowiązują Państwa pełne wymogi RODO (w tym art. 9), prawa wizerunku i tajemnicy lekarskiej - i to one, a nie NIS2, są realnym standardem należytej staranności w tej branży.
„Co jeśli wycieknie zdjęcie pacjentki - jakie są moje obowiązki?”: Wyciek zdjęć "przed/po" niemal zawsze oznacza wysokie ryzyko dla praw pacjentki, co uruchamia art. 34 RODO - obowiązek bezpośredniego powiadomienia poszkodowanych pacjentek, obok zgłoszenia do UODO w ciągu 72 godzin (art. 33). Najlepsza obrona to działanie zapobiegawcze: PreScan i CyberAudyt znajdują ryzyka, zanim staną się naruszeniem, a jeśli wykryjemy istniejący wyciek danych logowania, dostają Państwo listę kont do natychmiastowej zmiany.
„Jak wygląda test przy podwójnej lokalizacji?”: Każda lokalizacja ma własną powierzchnię ataku - osobny adres IP, czasem osobne kamery, osobny zdalny dostęp do systemu. CyberAudyt obejmuje obie lokalizacje w jednym raporcie, ze szczególną uwagą na współdzielone konta i loginy do systemu rezerwacji, które przy kilku lokalizacjach są typowym słabym punktem. Dla większych sieci przygotowujemy wycenę indywidualną z rozszerzonym zakresem.
„Czy test nie zakłóci pracy przy zabiegach?”: Nie. PreScan jest w pełni zewnętrzny i pasywny - nie dotykamy systemu rezerwacji, kamer ani sieci kliniki, pracujemy na tych samych informacjach, które zebrałby atakujący z zewnątrz. Pełny CyberAudyt również nie wymaga przerw w grafiku ani wizyty w klinice. Zabiegi odbywają się normalnie, my pracujemy w tle.
„Czy raport będzie przydatny dla mojego ubezpieczyciela OC?”: Tak. Coraz więcej polis cyber i OC dla podmiotów medycznych wymaga wykazania środków bezpieczeństwa - MFA, kopii zapasowych, zewnętrznego audytu. Raport CyberAudyt (lub raport z retestu po naprawach) jest sformułowany tak, by można go było okazać ubezpieczycielowi jako dowód należytej staranności - często warunek korzystniejszej składki lub w ogóle objęcia ochroną.
„Czy dostajemy raport w języku polskim?”: Tak. Raport CyberAudyt jest po polsku i napisany peer-level - dla lekarki prowadzącej klinikę, nie dla specjalisty IT: streszczenie, lista ustaleń z oceną krytyczności, plan napraw i osobna sekcja techniczna dla Państwa informatyka. Wersja angielska na życzenie.
„Jeśli coś znajdziecie, musimy naprawiać to u Was?”: Nie. Ocena wskazuje, co wymaga naprawy i w jakiej kolejności. Wdrożenie może wykonać Państwa informatyk, dostawca systemu rezerwacji albo dowolna firma od cyberbezpieczeństwa. Jeśli nie mają Państwo zaufanego informatyka, wskażemy sprawdzone rozwiązanie - ale nie ma żadnego lock-inu.

Zamów bezpłatny skan swojej kliniki

Wysyłają nam Państwo tylko nazwę domeny. W 24 godziny powiemy, co widzi atakujący z zewnątrz - system rezerwacji, ekspozycja kont social, luki w przechowywaniu zdjęć. Jeśli nic poważnego - zatrzymują Państwo raport i znikamy. Jeśli coś poważnego - dostają propozycję pełnej oceny. Bez presji, bez abonamentu.

Zamów bezpłatne skanowanie wstępne Wolą Państwo najpierw porozmawiać? Napiszcie

Bez karty. Bez dostępu do Państwa systemów. Bez miesięcznych opłat.

Źródła

¹RODO art. 83 - administracyjne kary pieniężne; art. 9 - szczególne kategorie danych (eur-lex.europa.eu)
²IBM Cost of a Data Breach Report 2024 (ibm.com/reports/data-breach)
³RODO art. 33 i art. 34 - zgłoszenie i zawiadomienie o naruszeniu (eur-lex.europa.eu)
⁴Verizon Data Breach Investigations Report 2024 (verizon.com/dbir)

Zdjęcia pacjentek, dokumentacja leczeń, dane wrażliwe. Sprawdzamy, czy nic nie wyciekło.