Ασφάλεια δεδομένων - GDPR


Από το 2018 έχει τεθεί σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679, ή αλλιώς GDPR. Το κανονιστικό πλαίσιο καθορίζει σε ποιες περιπτώσεις και με ποιον τρόπο επιτρέπεται ένας οργανισμός να συλλέγει, χρησιμοποιεί, αποθηκεύει και επεξεργάζεται δεδομένα τρίτων. Μάλιστα, τα ευαίσθητα προσωπικά δεδομένα (εδώ συμπεριλαμβάνονται και τα δεδομένα υγείας) χρήζουν ειδικής προστασίας καθότι σχετίζονται με τα θεμελιώδη δικαιώματα και τις ελευθερίες του ατόμου. Όροι όπως κρυπτογράφηση, ψευδωνυμοποίηση και ομαλή λειτουργία συστήματος απαντώνται για πρώτη φορά στον Γενικό Κανονισμό Προστασίας Δεδομένων στα πλαίσια λήψης μέτρων ασφαλείας για την προστασία των προσωπικών δεδομένων.

Η Ergobyte εφαρμόζει, μεταξύ άλλων, την τεχνική Zero Knowledge για τη διασφάλιση της ομαλής λειτουργίας του Γαληνός Office, την προστασία από κακόβουλες επιθέσεις και την προστασία των δεδομένων έναντι υποκλοπών.

Zero Knowledge

Το Zero Knowledge αποτελεί μια από τις πιο πρόσφατες και σύγχρονες τεχνολογίες στην ασφάλεια δεδομένων. Εξασφαλίζει την κρυπτογράφηση των ευαίσθητων ιατρικών και προσωπικών δεδομένων χρησιμοποιώντας έναν κωδικό ο οποίος είναι γνωστός αποκλειστικά και μόνο στον χρήστη. Έτσι, όλες οι ευαίσθητες πληροφορίες αποθηκεύονται κρυπτογραφημένες (άρα και μη αναγνώσιμες) στους server.

Βασικές έννοιες:

  • Κωδικός κρυπτογράφησης: κωδικός ο οποίος εισάγεται από τον χρήστη κατά την αρχικοποίηση της εφαρμογής και απαιτείται για την είσοδό του σε αυτή.
  • Κλειδί κρυπτογράφησης: μοναδικός αριθμός ο οποίος παράγεται αυτόματα από τον κωδικό κρυπτογράφησης και χρησιμοποιείται για την κρυπτογράφηση και αποκρυπτογράφηση των δεδομένων από την τεχνολογία Zero Knowledge. Παραμένει πάντα στη συσκευή του χρήστη.

Πως λειτουργεί;

Όταν αποθηκεύεται ένα στοιχείο, τα δεδομένα κρυπτογραφούνται με τη χρήση του κλειδιού κρυπτογράφησης και στη συνέχεια μεταφέρονται προς αποθήκευση στον κεντρικό διακομιστή (server). Για το χρονικό διάστημα που τα δεδομένα δεν χρησιμοποιούνται, παραμένουν κρυπτογραφημένα και είναι αδύνατον να έχει οποιοσδήποτε πρόσβαση σε αυτά. Στην περίπτωση που ο χρήστης ζητήσει να τα προβάλει στον υπολογιστή του, και μόνο τότε, επιστρέφουν και αποκρυπτογραφούνται με τη χρήση του κλειδιού ώστε να μπορούν να είναι αναγνώσιμα.

Diagram

Πλεονεκτήματα

  1. Ο κωδικός κρυπτογράφησης δεν γίνεται ποτέ και για κανέναν λόγο γνωστός στην Ergobyte. Ο κωδικός αυτός ναι μεν αποθηκεύεται από την εταιρεία αλλά δεν είναι αναγνώσιμος. Πως είναι δυνατόν αυτό; Ακόμα και ο κωδικός κρυπτογράφησης κρυπτογραφείται! Στον server λοιπόν αποθηκεύεται ο κρυπτογραφημένος κωδικός ο οποίος αποκρυπτογραφείται μόνο από το κλειδί που διαθέτει ο υπολογιστής του χρήστη. Με αυτόν τον τρόπο, τα αποθηκευμένα δεδομένα δεν μπορούν να διαβασθούν ούτε από την Ergobyte.
  2. Δύο επίπεδα ασφαλείας: πρωτόκολλο HTTPS και Zero Knowledge. Το πρωτόκολλο HTTPS διασφαλίζει πως οι πληροφορίες «ταξιδεύουν» με ασφάλεια στο διαδίκτυο καθώς τις προστατεύει από υποκλοπές. Η τεχνολογία Zero Knowledge εξασφαλίζει πως κανένας τρίτος δεν μπορεί να διαβάσει και να καταλάβει τις πληροφορίες.
  3. Τα πολλαπλά επίπεδα ασφαλείας προσφέρουν πλήρη εναρμόνιση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) εξασφαλίζοντας και τη συμμόρφωση του ιατρείου με το νέο νομοθετικό πλαίσιο.

Καταγραφή ενεργειών

Προκειμένου ένα σύστημα να είναι ασφαλές, χρειάζεται να είναι γνωστό ποιες καταχωρήσεις, μεταβολές και διαγραφές πραγματοποιούνται από κάθε χρήστη. Στο Γαληνός Office καταγράφονται τα δεδομένα ενέργειας των χρηστών ώστε να διασφαλίζεται πως όλες οι εργασίες έχουν γίνει σωστά και αποδοτικά. Το αρχείο καταγραφής είναι προσβάσιμο μόνο από τον διαχειριστή του προγράμματος και δεν επιδέχεται αλλαγές για λόγους διαφάνειας. Με αυτόν τον τρόπο, κάθε χρήστης είναι υπεύθυνος για τις πράξεις του και κατ’ επέκταση μειώνονται τα λάθη και αυξάνεται η συνολική απόδοση. Τέλος, τα αρχεία καταγραφής ενεργειών χρησιμεύουν και ως εργαλεία διερεύνησης κατόπιν ενός προβλήματος ή μιας παρεξήγησης.

Ελευθερία δεδομένων

Ένα ακόμα σημαντικό ζήτημα είναι αυτό της κυριότητας των δεδομένων. Ακολουθώντας την τάση «data liberation», η Ergobyte δεσμεύεται πως η κυριότητα των δεδομένων ανήκει αποκλειστικά και μόνο σε εσάς. Έτσι, διατηρείτε το δικαίωμα να λάβετε σε αρχείο μορφής excel ή csv όλα τα αποθηκευμένα δεδομένα σας ανά πάσα στιγμή, ακόμη και μετά τη λήξη της συνδρομής σας. Το αρχείο δεδομένων μπορείτε να το κατεβάσετε απευθείας μέσα από το πρόγραμμα και όσες φορές το επιθυμείτε, χωρίς να απαιτείται κάποιο ειδικό αίτημα προς εμάς.

Σύνδεση με τη χρήση token

Το token αποτελεί μία γεννήτρια κωδικών η οποία είναι σε θέση να αντικαταστήσει την παραδοσιακή εισαγωγή κωδικού κρυπτογράφησης στο σύστημα. Πρόκειται για μια μικρή συσκευή με ένα κουμπί και μια υποδοχή USB με την οποία συνδέεται στον υπολογιστή. Για την είσοδο στο πρόγραμμα, το μόνο που χρειάζεται να κάνει ο χρήστης είναι να συνδέσει το token στην θύρα USB και να πατήσει το κουμπί. Με αυτόν τον τρόπο συμπληρώνεται αυτόματα ο κωδικός κρυπτογράφησης και ο χρήστης μπορεί να χρησιμοποιήσει την εφαρμογή.