Doctolib

Doctolib ofrece servicios de salud digital seguros y fiables en la Unión Europea con Cloudflare

Doctolib es el servicio de salud digital de mayor crecimiento en Europa. Fundada en Francia en 2013, la empresa se ha expandido rápidamente y ahora también atiende a pacientes en Alemania e Italia. Los pacientes pueden utilizar la plataforma para concertar citas y realizar visitas de telemedicina con profesionales sanitarios.

Doctolib era un servicio de salud digital bien establecido antes de 2019, pero la pandemia de la COVID-19 propició un crecimiento significativo y rápido. Antes de la pandemia, la plataforma contaba con aproximadamente 1000 empleados, una cifra que aumentó hasta 3000 en un par de años. Doctolib también permite a más de 390 000 profesionales sanitarios atender a 90 millones de pacientes en Francia, Alemania e Italia.

Desafío: Garantizar la accesibilidad del servicio y la privacidad y seguridad de los datos

Doctolib se enfrentaba a un desafío multidimensional: proteger datos confidenciales en un entorno de nube complejo y adaptarse al mismo tiempo a una plantilla híbrida en crecimiento. Dado que incorporaban a más de 200 empleados al mes, Doctolib necesitaba garantizar el mantenimiento de su sólida postura en materia de seguridad y la conformidad normativa. La organización tenía acceso a grandes volúmenes de datos confidenciales de pacientes y empleados y estaba sujeta a los estrictos requisitos del RGPD para la protección y localización de datos.

"Durante la pandemia, tuvimos que adaptarnos a un nuevo modelo de trabajo, y ofrecimos opciones que incluían la modalidad de trabajo presencial, híbrido o remoto", explica Cédric Voisin, CISO de Doctolib. Garantizar la conformidad y gestionar las ciberamenazas se volvió aún más crítico a medida que nos adentrábamos en este nuevo entorno laboral. Un gran desafío era garantizar que, sin importar desde dónde trabajaran nuestros empleados, pudieran acceder a los recursos de forma segura.

Además, necesitaban proteger datos confidenciales en una amplia gama de aplicaciones SaaS, como Google Workspace, Microsoft 365 y Salesforce. Con varias integraciones en marcha, les preocupaba el acceso seguro, la gestión de configuraciones erróneas y la posible exposición de datos en estas plataformas.

Además de estas preocupaciones de seguridad diarias, la empresa también necesitaba garantizar la disponibilidad de su plataforma durante los picos de tráfico en la pandemia de la COVID-19. La mayor visibilidad aumentó el número de visitantes a la plataforma y la convirtió en un objetivo más importante para los ciberdelincuentes.

Gestionar el rápido crecimiento y los picos repentinos de tráfico

Durante la pandemia de la COVID-19, el interés en Doctolib creció rápidamente. La empresa ofrecía servicios de salud en línea y participó en la campaña de vacunación en Francia y Alemania. Como resultado, el tráfico al sitio de la empresa creció drásticamente durante ese periodo de tiempo. Este aumento del tráfico fue el principal motivo por el que Doctolib pasó del plan gratuito de Cloudflare a convertirse en un cliente Enterprise. Esta transición garantizó que la infraestructura de la empresa pudiera escalar y adaptarse a la demanda, al tiempo que ofrecía protección contra el creciente número de ciberataques que acompañaron a la mayor visibilidad de la empresa.

Esta escalabilidad y resiliencia adicionales eran especialmente importantes ante los picos repentinos de tráfico en la página de la empresa. Ocasionalmente, el consejero delegado de Doctolib aparecía en directo en la televisión, lo que provocaba que el tráfico del sitio se triplicara poco después.

Sin embargo, estos picos fueron insignificantes en comparación con los aumentos que se produjeron cuando el presidente de Francia mencionó a la empresa en directo por televisión. Según Cédric Voisin, CISO de Doctolib, "cuando el presidente de Francia habló de nosotros, nuestro tráfico se multiplicó por 10 sin previo aviso. Necesitábamos una solución que pudiera soportar la carga de trabajo adicional que no podíamos prever, y ahí es donde Cloudflare fue realmente útil".

Garantizar la seguridad de los datos y la conformidad normativa

Zero trust es un componente clave de la estrategia de seguridad de datos y conformidad normativa de Doctolib. "No queremos confiar implícitamente en el hardware ni en las personas en ningún momento de la conexión. Si quieres acceder a uno de nuestros activos, debes demostrar que eres quien dices ser y que estás utilizando el dispositivo que afirmas utilizar", afirma Voisin.

Para alcanzar estos objetivos Zero Trust, Doctolib utiliza el servicio de Acceso a la red Zero Trust de Cloudflare. Todos los empleados y contratistas reciben un ordenador portátil de la empresa con el agente de dispositivo de Cloudflare preinstalado. Esto permite a la organización controlar el acceso a los datos de los pacientes y otros recursos conforme a los requisitos normativos y su propia política de seguridad.

Para complementar estas defensas a nivel de red, Doctolib también utiliza Crowdstrike para la seguridad de los puntos finales. Como parte del proceso de validación Zero Trust, Cloudflare verifica que Crowdstrike esté activo y actualizado, protegiendo el dispositivo contra malware y otras amenazas a la seguridad de los puntos finales. "Trabajamos con proveedores que tienen acceso a activos muy sensibles. Juntos, Cloudflare y Crowstrike garantizan que son quienes dicen ser y que sus dispositivos están seguros", señala Voisin.

La solución Data Localization Service (DLS) de Cloudflare es también crucial para la estrategia de conformidad de la empresa, ya que le permite demostrar a los clientes y reguladores que los datos de los pacientes nunca abandonan la Unión Europea (UE). Almacenar y procesar los datos de los sujetos de datos de la UE dentro de la UE facilita el cumplimiento del RGPD. DLS también garantiza que los proveedores no pertenecientes a la UE y terceros no tengan acceso a los datos de los pacientes, que solo los usuarios autorizados por Doctolib puedan acceder y ver los datos de los pacientes, los registros o las direcciones IP, y que estos metadatos nunca salgan de la UE. "DLS es muy valioso para nosotros porque nos permite utilizar Cloudflare mientras seguimos cumpliendo con la normativa. Y nadie más en Europa tiene las capacidades de Cloudflare para gestionar la enorme cantidad de tráfico que tenemos", sostiene Voisin.

Aumentar la visibilidad de los datos y de los riesgos de errores de configuración

"La visibilidad que ofrece Cloudflare es importante para ayudarnos a reducir el riesgo de filtraciones de datos", explica Voisin. "Sus productos nos permiten abordar rápidamente las configuraciones incorrectas y asegurar la conformidad con las regulaciones de protección de datos como el RGPD".

Voisin afirma que Cloudflare ha sido fundamental para mejorar la seguridad de los datos de Doctolib y que planean seguir colaborando estrechamente con los expertos de Cloudflare para reforzar la protección tanto de sus empleados como de sus clientes. Cloudflare allana el camino para un crecimiento futuro acelerado con un enfoque escalable para la conformidad. "Ahora queremos expandir nuestro negocio a más países. Por lo tanto, tendremos que adaptarnos a una mayor regulación. Eso es un hecho. Sin embargo, desarrollamos en Cloudflare, lo que nos será útil para entrar rápidamente en el mercado sin muchas limitaciones".

Para obtener más información sobre cómo Cloudflare ayuda a Doctolib más allá de la seguridad de los datos y la conformidad, lee este artículo de Medium en el que ellos mismos describen nuestros servicios de aplicaciones.