HDS/Health Data Hosting

Certification is in progress

Protecting Your Health Data: Xano's Commitment to HDS Compliance

At Xano, trust and security are fundamental pillars of our service. We understand the critical sensitivity of health data and the importance of rigorous compliance standards. For our customers handling Personal Health Information (PHI) related to French citizens, adherence to the French HDS (Hébergement de Données de Santé / Health Data Hosting) regulation is paramount.

Xano is proud to affirm its commitment to meeting the stringent requirements set forth by HDS. This page provides an overview of HDS and details how Xano ensures the confidentiality, integrity, availability, and strict localization of the health data processed on our platform in accordance with this certification.

What is HDS (Hébergement de Données de Santé)?

HDS is a mandatory French certification required for any entity hosting personal health data collected during prevention, diagnosis, care, or social/medico-social monitoring activities on behalf of third parties. Governed by the French Public Health Code (Code de la santé publique) and overseen by the ANS (Agence du Numérique en Santé), the HDS framework aims to ensure the highest level of security and privacy for sensitive health information.

Obtaining HDS certification involves a rigorous audit process conducted by accredited independent bodies, verifying compliance across multiple domains, including:

Secure Infrastructure: Physical and environmental security of data centers.
Secure Platform: Application and network security measures.
Data Management: Procedures for data backup, recovery, and deletion.
Access Control: Strict identity and access management protocols.
Monitoring & Incident Management: Continuous surveillance and defined response plans.
Governance & Training: Robust policies, procedures, and staff awareness.

Why is HDS Compliance Important for You?

Regulatory Requirement: If you process or store French personal health data using a third-party provider like Xano, using an HDS-certified host is often a legal obligation.

Enhanced Trust: Demonstrates a commitment to the highest standards of health data protection, building trust with patients, partners, and regulators.
Risk Mitigation: Reduces the risk of data breaches, associated fines, and reputational damage by adhering to proven security best practices.
Data Security & Sovereignty Assurance: Provides confidence that your sensitive health data is handled within a framework specifically designed for its protection and remains within the designated geographical area.

How Xano Achieves and Maintains HDS Compliance

Xano has implemented a comprehensive set of technical and organizational measures to meet and exceed HDS requirements:

Certified Infrastructure: Xano leverages infrastructure partners whose data centers can be chosen within the EEA, and are HDS-certified directly or through a joint venture, ensuring robust physical and environmental security compliant with HDS location requirements.
Strict Data Residency and Limited Transfers Outside EEA: We implement strict technical and contractual controls to ensure there is limited transfers of personal health data to countries outside the EEA.
Data Encryption: We employ strong encryption protocols for data both in transit (TLS 1.3) and at rest (AES-256), protecting data from unauthorized access.
Strict Access Control: Role-Based Access Control (RBAC), Multi-Factor Authentication (MFA), and principles of least privilege are enforced to ensure only authorized personnel can access sensitive data based on legitimate needs. All access is logged and monitored.
Network Security: Firewalls, intrusion detection/prevention systems, and regular vulnerability scanning protect the Xano platform perimeter and internal network segments.
Resilience and Business Continuity: We maintain robust backup and disaster recovery procedures, regularly tested, to ensure data availability and integrity in the event of an incident, aligned with HDS requirements. Backups are also maintained within the same region as the user's account.
Personnel Security & Training: All Xano employees undergo background checks (where applicable and permitted by law) and receive mandatory, regular training on data privacy, security best practices, and specific HDS requirements.
Secure Development Lifecycle: Security is integrated into our software development process, including code reviews, security testing, and vulnerability management.

Scope of Xano's HDS Certification

Xano's HDS certification scope includes the provisioning and maintenance of the operational platform for hosting information system applications and the virtual infrastructure responsible for processing and backing up health data in accordance with French Public Health Code, Article L1111-8, and the HDS certification framework overseen by the Agence du Numérique en Santé (ANS). Xano is HDS-certified for and provides services covering Activities 4-6 shown in the tables below.

Xano's HDS certification covers the following service activities:

Xano Enterprise (BYOC / managed)
Xano's HDS Add-on feature

This certification applies specifically to personal health data processed and stored within our HDS-certified environment. Users with HDS requirements must sign and return the HDS Customer Contract.

Verification

Xano's HDS certificate is issued by Schellman. The certification can be viewed upon request at the bottom of the page.

Shared Responsibility Model

While Xano provides an HDS-compliant platform with strict data localization controls, security remains a shared responsibility. Customers are responsible for:

Properly configuring access controls and user permissions within their Xano environment.
Ensuring the security and compliance of their own applications and workflows built on Xano.
Managing their end-user data and complying with data subject rights requests (DSARs).
Ensuring their own processes do not inadvertently cause transfers of data outside the EEA (e.g., via integrations they manage).

Subprocessors & Data Transfers

This section describes the subprocessors used by Xano in the provision of HDS services and the conditions for data transfers. This information is provided in accordance with HDS and GDPR requirements.

Description of HDS Activities Covered by Provider

The Provider's services under this Agreement cover the following HDS activities as defined in Article R.1111-9 of the French Public Health Code (CSP), depending on the Customer's selected Xano package and configuration:

Activity 1	The provision and maintenance in operational condition of physical sites for hosting the hardware infrastructure of the information system used to process the health data.
Activity 2	The provision and maintenance in operational condition of the hardware infrastructure of the information system used to process the health data.
Activity 3	The provision and maintenance in operational condition of the virtual infrastructure of the information system used to process the health data.
Activity 4	The provision and maintenance in operational condition of the platform for hosting information system applications.
Activity 5	The management and operation of the information system containing the health data.
Activity 6	Backing up health data.

Third-party processing of Customer health data depends on the Xano package selected. Customers may choose from the following options:

Option 1 – Xano's HDS Add-on: The Customer's account is hosted on Xano's infrastructure. Standard subprocessors may access PHI, including from outside the EEA (see Table 1 for details).
Option 2 – Xano's Managed Enterprise Plan: The Customer's account is hosted on Xano's infrastructure. Standard subprocessors may access PHI, including from outside the EEA (see Table 1 for details).
Option 3 – Xano's Bring Your Own Cloud (BYOC) Enterprise Plan: The Customer's account is hosted on infrastructure controlled by the Customer. Xano will deploy to the Customer's chosen cloud provider, and no PHI will be accessed by Xano or its subprocessors from outside the EEA (see Table 2 for details).

Table 1: Subprocessors for HDS Add-on & Managed Enterprise Accounts

Business name	Role in the hosting services	HDS certified	SecNumCloud 3.2 qualified	Hosting activities	Access to PHI from countries outside of EEA	Subject to risk of access to PHI from countries outside the EEA
Xano, Inc.	Host	Yes	No	Activity 4, 5, 6	Yes* Accessed in the United States of America, covered by an adequacy decision within the meaning of Article 45 of GDPR	No, the organization is aligned with the Data Privacy Framework (DPF).
Google Cloud Platform	Host	Yes	Yes (through joint venture with S3N3), no risk of unauthorised access to data covered by HDS framework requirement No 30	Activity 1, 2, 3, 4, 5, 6	Yes* Accessed in the United States of America, covered by an adequacy decision within the meaning of Article 45 of GDPR	No risk of access imposed by the legislation of a third country in breach of EU law.
Intercom, Inc.	Processor for customer support	Xano ensures use is compliant with Xano's HDS certification via contractual/technical controls	No	5 (limited to support interactions initiated by Customer)	Yes* Accessed in the United States of America, covered by an adequacy decision within the meaning of Article 45 of GDPR	No, the organization is aligned with the Data Privacy Framework (DPF).
Google LLC - Gemini AI	Processor for AI-assisted functionalities (optional use by Customer)	Xano ensures use is compliant with Xano's HDS certification via contractual/technical controls	No	5 (limited to data explicitly provided by Customer to AI features)	Yes** Accessed in the United States of America, covered by an adequacy decision within the meaning of Article 45 of GDPR	No, the organization is aligned with the Data Privacy Framework (DPF).
Google LLC - Gemini 2.5 Flash LLM	Processor for AI-assisted functionalities (optional use by Customer)	Xano ensures use is compliant with Xano's HDS certification via contractual/technical controls	No	5 (limited to data explicitly provided by Customer to AI features)	Yes** Accessed in the United States of America, covered by an adequacy decision within the meaning of Article 45 of GDPR	No, the organization is aligned with the Data Privacy Framework (DPF).

*Personal data may be accessed from outside the EEA only when the Customer initiates a support request and enables the account impersonation setting in their workspace. Xano relies on Standard Contractual Clauses (SCCs) and enforces a Secure Data Access Procedure (SDAP) to ensure equivalent data protection. SDAP is a two-step internal process for accessing customer data involving customer-enabled access followed by VPN/protected RDP access governed by RBAC and the principle of least privilege.

** The use of artificial intelligence features is optional for the Customer. Customers are advised not to include any personal health data in inputs provided to AI functionalities.

Table 2: Subprocessor Examples for Self-Hosted Enterprise Accounts

Business name	Role in the hosting services	HDS certified	SecNumCloud 3.2 qualified	Hosting activities	Access to PHI from countries outside of EEA	Subject to risk of access to PHI from countries outside the EEA
Xano, Inc.	Host	Yes	No	Activity 4	No (managed by Customer)	No (managed by Customer)
Google Cloud Platform*	Host (Customer's Account)	Yes	Yes (through joint venture with S3N3), no risk of unauthorised access to data covered by HDS framework requirement No 30	Activity 1, 2, 3, 4, 5, 6	No (managed by Customer)	No (managed by Customer)
Amazon Web Services*	Host (Customer's Account)	Yes	No	Activity 1, 2, 3, 4, 5, 6	No (managed by Customer)	No (managed by Customer)
Microsoft Azure*	Host (Customer's Account)	Yes	Yes (through joint venture with Bleu), no risk of unauthorised access to data covered by HDS framework requirement No 30	Activity 1, 2, 3, 4, 5, 6	No (managed by Customer)	No (managed by Customer)
OVH Cloud*	Host (Customer's Account)	Yes	Yes, no risk of unauthorised access to data covered by HDS framework requirement No 30	Activity 1, 2, 3, 4, 5, 6	No (managed by Customer)	No (managed by Customer)

*Not a subprocessor of Xano, only shown as examples for self-hosted enterprise accounts.

List of Regulations Outside of EEA

The United States of America has the following laws and regulations that may be relevant where data is accessed from or processed in the USA:

USA PATRIOT Act - Authorizes U.S. law enforcement and intelligence agencies to request access to data held by U.S.-based entities or their affiliates, including under national security investigations.
Foreign Intelligence Surveillance Act (FISA), Section 702 - Permits U.S. intelligence agencies to collect foreign intelligence information from non-U.S. persons located outside the United States through electronic service providers.
Clarifying Lawful Overseas Use of Data (CLOUD) Act - Enables U.S. law enforcement to compel U.S.-based technology companies to provide data stored on servers, even if located outside the U.S., under certain legal processes.
Electronic Communications Privacy Act (ECPA) - Governs the access, use, and disclosure of electronic communications and associated data by service providers and government entities.
Executive Order 12333 - Establishes the framework for U.S. intelligence activities, including the collection of foreign intelligence outside the United States.

Protection de vos données de santé : l'engagement de Xano envers la conformité HDS

Chez Xano, la confiance et la sécurité sont des piliers fondamentaux de notre service. Nous comprenons la sensibilité critique des données de santé et l'importance de normes de conformité rigoureuses. Pour nos clients traitant des informations de santé personnelles (ISP) relatives aux citoyens français, le respect de la réglementation française HDS (Hébergement de Données de Santé) est primordial.

Xano est fier d'affirmer son engagement à respecter les exigences strictes définies par HDS. Cette page présente HDS et explique comment Xano garantit la confidentialité, l'intégrité, la disponibilité et la localisation rigoureuse des données de santé traitées sur notre plateforme, conformément à cette certification.

Qu'est-ce que l'HDS (Hébergement de Données de Santé) ?

L'HDS est une certification obligatoire en France pour toute entité hébergeant des données de santé à caractère personnel recueillies lors d'activités de prévention, de diagnostic, de soins ou de suivi social/médico-social pour le compte de tiers. Régie par le Code de la santé publique et supervisé par l'ANS (Agence du Numérique en Santé), le référentiel HDS vise à garantir le plus haut niveau de sécurité et de confidentialité des informations de santé sensibles.

L'obtention de la certification HDS implique un audit rigoureux effectué par des organismes indépendants accédités, vérifiant la conformité dans plusieurs domaines, notamment :

Infrastructure sécurisée : Sécurité physique et environnementale des centres de données.
Plateforme sécurisée : Mesures de sécurité des applications et du réseau.
Gestion des données : procédures de sauvegarde, de récupération et de suppression des données.
Contrôle d'accès : Protocoles stricts de gestion des identités et des accès.
Surveillance et gestion des incidents : Surveillance continue et plans d'intervention définis.
Gouvernance et formation : politiques, procédures et sensibilisation du personnel solides.

Pourquoi la conformité HDS est-elle importante pour vous ?

Exigence réglementaire : si vous traitez ou stockez des données de santé personnelles françaises en utilisant un fournisseur tiers comme Xano, le recours à un hébergeur certifié HDS est souvent une obligation légale.
Renforcement de la confiance : démontre un engagement envers les normes les plus élevées de protection des données de santé.
Réduction des risques : diminue les risques de violations de données, d'amendes et d'atteinte à la réputation.
Garanties de sécurité et de souveraineté : garantit que les données sont traitées selon un cadre spécialement conçu pour leur protection et qu'elles restent dans la zone géographique désignée.

Comment Xano atteint et maintient la conformité HDS

Xano a mis en œuvre un ensemble complet de mesures techniques et organisationnelles pour satisfaire et dépasser les exigences HDS :

Infrastructure certifiée : Xano s'appuie sur des partenaires d'infrastructure dont les centres de données peuvent être choisis au sein de EEE, et sont certifiés HDS directement ou via une coentreprise, garantissant une sécurité physique et environnementale robuste conforme aux exigences de localisation de l'HDS.
Résidence stricte des données : mesures techniques et contractuelles garantissant des transferts limités en dehors de l'EEE.
Chiffrement des données : protocoles robustes en transit (TLS 1.3) et au repos (AES-256).
Contrôle d'accès strict : RBAC, MFA, journalisation et surveillance de tous les accès.
Sécurité réseau : pare-feu, IDS/IPS, analyses de vulnérabilité régulières.
Continuité d'activité : sauvegardes et plans de reprise alignés avec les exigences HDS.
Sécurité du personnel : vérifications et formations régulières.
Cycle de développement sécurisé : intégration de la sécurité à chaque étape.

Périmètre de la certification HDS de Xano

Le périmètre de la certification HDS de Xano inclut la fourniture et la maintenance de la plateforme opérationnelle destinée à l'hébergement des applications des systèmes d'information, ainsi que de l'infrastructure virtuelle responsable du traitement et de la sauvegarde des données de santé, conformément à l'article L1111-8 du Code de la santé publique français et au référentiel de certification HDS supervisé par l'Agence du Numérique en Santé (ANS). Xano est certifié HDS pour les activités 4 à 6 décrites dans les tableaux ci-dessous.

La certification HDS de Xano couvre les activités de service suivantes :

Xano Enterprise (BYOC / managé)
Fonctionnalité complémentaire HDS de Xano

Cette certification s'applique spécifiquement aux données de santé à caractère personnel traitées et stockées dans notre environnement certifié HDS. Les utilisateurs ayant des exigences HDS doivent signer et retourner le Contrat Client HDS.

Vérification

Le certificat HDS de Xano est délivré par Schellman. Disponible sur demande.

Modèle de responsabilité partagée

Xano fournit une plateforme conforme HDS, mais la sécurité reste une responsabilité partagée. Les clients doivent :

Configurer correctement les accès et permissions.
Garantir la conformité de leurs applications.
Gérer les données de leurs utilisateurs.
Éviter les transferts de données hors EEE par leurs intégrations.

Sous-traitants et transferts de données

Cette section décrit les sous-traitants utilisés dans le cadre des services HDS et les conditions de transfert, en accord avec l'HDS et le RGPD.

Description des activités HDS couvertes par le fournisseur

Les services fournis par le prestataire dans le cadre du présent accord couvrent les activités HDS suivantes telles que définies à l'article R.1111-9 du Code de la Santé Publique (CSP), en fonction du forfait et de la configuration Xano choisis par le client :

Activité 1	Mise à disposition et maintien en condition opérationnelle des sites physiques d'hébergement de l'infrastructure matérielle du système d'information traitant des données de santé.
Activité 2	Mise à disposition et maintien en condition opérationnelle de l'infrastructure matérielle du système d'information traitant des données de santé.
Activité 3	Mise à disposition et maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information traitant des données de santé.
Activité 4	Mise à disposition et maintien en condition opérationnelle de la plateforme d'hébergement des applications du système d'information.
Activité 5	Administration et exploitation du système d'information contenant les données de santé.
Activité 6	Sauvegarde des données de santé.

Le traitement des données de santé du client par des tiers dépend du forfait Xano sélectionné. Les clients peuvent choisir parmi les options suivantes :

Option 1 – Module complémentaire HDS de Xano : le compte client est hébergé sur l'infrastructure de Xano. Des sous-traitants standards peuvent accéder aux PHI, y compris depuis l'extérieur de l'EEE (voir tableau 1).
Option 2 – Plan d'entreprise géré de Xano : le compte client est hébergé sur l'infrastructure de Xano. Des sous-traitants standards peuvent accéder aux PHI, y compris depuis l'extérieur de l'EEE (voir le tableau 1).
Option 3 – Plan d'entreprise BYOC (Bring Your Own Cloud) de Xano : le compte client est hébergé sur l'infrastructure contrôlée par le client. Xano déploie chez le fournisseur cloud choisi par le client et aucune PHI n'est accessible par Xano ou ses sous-traitants hors de l'EEE (voir tableau 2).

Tableau 1 : Sous-traitants pour les comptes d'entreprise HDS complémentaires et gérés

Nom de l'entreprise	Rôle dans les services d'hébergement	Certifié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement	Accès aux PHI hors EEE	Risque d'accès aux PHI hors EEE
Xano, Inc.	Hébergeur	Oui	Non	Activités 4, 5, 6	Oui* Consulté aux États-Unis d'Amérique, couvert par une décision d'adéquation au sens de l'article 45 du RGPD	Non, l'organisation est alignée avec le Certification du Cadre de Protection des Données (DPF).
Google Cloud Platform	Hébergeur	Oui	Oui (via une coentreprise avec S3N3), aucun risque d'accès non autorisé aux données couvertes par l'exigence-cadre HDS n° 30	Activités 1, 2, 3, 4, 5, 6	Oui* Consulté aux États-Unis d'Amérique, couvert par une décision d'adéquation au sens de l'article 45 du RGPD	Aucun risque d'accès imposé par la législation d'un pays tiers en violation du droit de l'Union européenne.
Intercom, Inc.	Traitement pour le support client	Xano garantit que l'utilisation est conforme à la certification HDS de Xano via des contrôles contractuels/techniques	Non	5 (limité aux interactions de support initiées par le client)	Oui* Consulté aux États-Unis d'Amérique, couvert par une décision d'adéquation au sens de l'article 45 du RGPD	Non, l'organisation est alignée avec le Certification du Cadre de Protection des Données (DPF).
Google LLC - Gemini AI	Traitement IA (usage optionnel)	Xano garantit que l'utilisation est conforme à la certification HDS de Xano via des contrôles contractuels/techniques	Non	5 (limité aux données fournies par le client aux fonctionnalités IA)	Oui** Consulté aux États-Unis d'Amérique, couvert par une décision d'adéquation au sens de l'article 45 du RGPD	Non, l'organisation est alignée avec le Certification du Cadre de Protection des Données (DPF).
Google LLC - Gemini 2.5 Flash LLM	Traitement IA (usage optionnel)	Xano garantit que l'utilisation est conforme à la certification HDS de Xano via des contrôles contractuels/techniques	Non	5 (limité aux données fournies par le client aux fonctionnalités IA)	Oui** Consulté aux États-Unis d'Amérique, couvert par une décision d'adéquation au sens de l'article 45 du RGPD	Non, l'organisation est alignée avec le Certification du Cadre de Protection des Données (DPF).

*Les données personnelles sont accessibles depuis l'extérieur de l'EEE uniquement lorsque le client effectue une demande d'assistance et active le paramètre d'usurpation d'identité dans son espace de travail. Xano s'appuie sur des clauses contractuelles types (CCT) et applique une procédure d'accès sécurisé aux données (PSAD) pour garantir une protection équivalente des données. La PSAD est un processus interne en deux étapes pour accéder aux données client : accès activé par le client, suivi d'un accès VPN/RDP protégé, régi par le RBAC et le principe du moindre privilège.

** L'utilisation des fonctionnalités d'intelligence artificielle est facultative pour le Client. Il est conseillé au Client de ne pas inclure de données personnelles de santé dans les données fournies aux fonctionnalités d'IA.

Tableau 2 : Exemples de sous-traitants pour les comptes d'entreprise auto-hébergés

Nom de l'entreprise	Rôle dans les services d'hébergement	Certifié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement	Accès aux PHI hors EEE	Risque d'accès aux PHI hors EEE
Xano, Inc.	Hébergeur	Oui	Non	Activités 4	Non (géré par le client)	Non (géré par le client)
Google Cloud Platform*	Hébergeur (compte client)	Oui	Oui (via une coentreprise avec S3N3), aucun risque d'accès non autorisé aux données couvertes par l'exigence-cadre HDS n° 30	Activités 1, 2, 3, 4, 5, 6	Non (géré par le client)	Non (géré par le client)
Amazon Web Services*	Hébergeur (compte client)	Oui	Non	Activités 1, 2, 3, 4, 5, 6	Non (géré par le client)	Non (géré par le client)
Microsoft Azure*	Hébergeur (compte client)	Oui	Oui (via une coentreprise avec Bleu), aucun risque d'accès non autorisé aux données couvertes par l'exigence-cadre HDS n° 30	Activités 1, 2, 3, 4, 5, 6	Non (géré par le client)	Non (géré par le client)
OVH Cloud*	Hébergeur (compte client)	Oui	Oui, aucun risque d'accès non autorisé aux données couvertes par l'exigence-cadre n° 30 du HDS	Activités 1, 2, 3, 4, 5, 6	Non (géré par le client)	Non (géré par le client)

*Pas un sous-traitant de Xano, présenté uniquement à titre d'exemple pour les comptes d'entreprise auto-hébergés.

Liste des réglementations en dehors de l'EEE

Les États-Unis d'Amérique disposent des lois et réglementations suivantes qui peuvent être pertinentes lorsque des données sont consultées ou traitées aux États-Unis :

USA PATRIOT Act - Autorise les forces de l'ordre et les agences de renseignement américaines à demander l'accès aux données détenues par des entités basées aux États-Unis ou leurs filiales, y compris dans le cadre d'enquêtes de sécurité nationale.
Loi sur la surveillance du renseignement étranger (FISA), article 702 - Autorise les agences de renseignement américaines à collecter des informations de renseignement étranger auprès de personnes non américaines situées en dehors des États-Unis par l'intermédiaire de fournisseurs de services électroniques.
Clarifying Lawful Overseas Use of Data (CLOUD) Act - Permet aux forces de l'ordre américaines d'obliger les entreprises technologiques basées aux États-Unis à fournir des données stockées sur des serveurs, même si elles sont situées en dehors des États-Unis, dans le cadre de certaines procédures légales.
Loi sur la protection des renseignements personnels sur les communications électroniques (ECPA) - Régit l'accès, l'utilisation et la divulgation des communications électroniques et des données associées par les fournisseurs de services et les entités gouvernementales.
Décret exécutif 12333 - Établit le cadre des activités de renseignement américaines, y compris la collecte de renseignements étrangers en dehors des États-Unis.

DPF

CMMC