Zabezpečení osobních údajů a dat
Vrtá vám hlavou, co jsme udělali pro bezpečnost vašich osobních údajů? Sjeďte okem níž. Dali jsme na jedno místo nejčastější dotazy a odpovědi na ně. Nerozptýlili jsme vaše pochyby? Napište nám na security@ulekare.cz. Rádi odpovíme.
Jak je vaše aplikace ošetřena z bezpečnostního hlediska, třeba proti útoku hackerů?
- Zrušili jsme poštovní holuby a k přenosu dat mezi pacientem, servery uLékaře.cz a lékařem používáme výhradně šifrování pomocí protokolu HTTPS. Tedy žádný Velký bratr, odposlech nebo změna informací.
- Pro přístup k citlivým údajům v našich aplikacích využíváme 2FA (dvoufaktorovou autentizaci). Stejně jako když chcete vstoupit do internetového bankovnictví a oni po vás chtějí kromě přihlašovacích údajů ještě kód z SMS zprávy.
- Neuchováváme žádné platební informace ani čísla karet a pro provádění plateb využíváme dodavatele disponující certifikací PCI DSS.
- Klíčové osoby mají platné školení od CI5 a ještě HIPAA Training for Business Associates – mezinárodně platnou sadu regulací, jak řídit bezpečnost, soukromí a výměnu důvěrných zdravotnických informací.
- Pravidelně probíhá nezávislý audit bezpečnosti a penetrační test, který je zaměřen na bezpečnost a ochranu dat pacientů, lékařů, sester a zdravotních zařízení. To je pak slávy!
GDPR, podmínky užití, odvolání souhlasu
- Obecné nařízení o ochraně osobních údajů („GDPR“) je nám vlastní.
- Provoz je plně v souladu s Obecným nařízením EU o ochraně osobních údajů („GDPR“) a také naším svědomím poskytnout vám nejlepší služby a bezpečí pro vaše údaje.
- Aplikujeme ho a pravidelně kontrolujeme ve všech procesech rozvoje, vývoje a provozu technologické platformy uLékaře.
- Poskytování služeb probíhá pod dohledem statného ošetřovatele a s výslovným souhlasem pacienta i lékaře. Podmínky užití jsou součástí každé poskytované služby, uživatel je má k dispozici a explicitně je odsouhlasuje před použitím služby. Stejně tak souhlas se zpracováním osobních údajů. A na našich stránkách se můžete kdykoliv seznámit se Zásadami zpracování osobních údajů.
- Požadavky na odvolání souhlasu vyřizujeme následující pracovní den. Odvolat souhlas můžete kdykoliv, stačí poslat e-mail na osobniudaje@ulekare.cz.
Kde a jak jsou data uživatelů uložena?
- Data jsou uložena na managed serveru v České republice pod správou české hostingové společnosti. Denně jsou prováděny minor security aktualizace a sledovány aktuální bezpečnostní hrozby. Operační systém je udržován vždy v aktuální stabilní verzi a čistý.
- Data jsou uložena v oddělené části databáze a jsou šifrovaná. Navíc tam sedí recepční.
Kdo má technický přístup k mým datům (dotazy/ objednávky/přílohy)?
- Dále má přístup k datům zdravotní tým, který řeší váš dotaz (praktik, specialista, sestra, pracovník kliniky).
- Přístup k datům na serveru má administrátor uLékaře. Existuje auditní log přístupů.
- Našim mámám jsme hesla přestali říkat.
Došlo někdy v historii k úniku dat?
- Do této doby nedošlo k žádném úniku dat z uLékaře.cz.
Jaké je zabezpečení služeb a serveru?
- Server je chráněn proti DDoS útokům a má nastaven firewall se striktní bezpečnostní politikou. Antivir zdarma nepoužíváme.
- Hosting služba využívá službu IPSEC prostřednictvím řešení od Cisco ASA, který dokáže detekovat podezřelou aktivitu na serverech a okamžitě zablokovat případný útok na základě IP adres útočníků. V takovém případě jsou informovány technické kontaktní osoby, které dále situaci řeší ověřením logů a analýzou rizik pro zjištění povahy útoku a případných možných škod. Jako poslední vyráží genderově vyvážená ozbrojená hlídka.
Jak je chráněna komunikace mezi webem a servery uLékaře?
- Komunikace mezi webem a serverem je zabezpečena a šifrována pomoci SSL certifikátu s protokolem TLS 1.2. A taky teď víc šeptáme.
- Čtení a přenos dat mezi aplikací a databází probíhá pomocí zabezpečeného šifrovaného připojení. Aplikace běží na serveru od stejného poskytovatele, takže veškeré přenosy probíhají pouze po vnitřní síti hostingového poskytovatele a neopouštějí tuto síť. A i kdyby, dole je stejně zamčeno.
Jak nahlásit bezpečnostní slabinu?
Našli jste Achillovu patu v naší ochraně soukromí nebo na webových serverech uLékaře.cz? Přihlaste se o odměnu! Vězte, že nic nevyhecuje naše bezpečáky k akci tak jako chyba nalezená zákazníkem, vývojářem nebo bezpečnostním výzkumníkem.
Bezpečnost systémů je u nás priorita číslo jedna, ale znáte to – i mistr tesař se někdy utne.
Pokud nějaké zranitelné místo naleznete, rádi bychom o něm věděli, abychom mohli podniknout kroky k jeho co možná nejrychlejšímu vyřešení. Chtěli bychom vás proto požádat, abyste nám pomohli lépe chránit naše klienty a naše systémy.
Takže co s tím?
Pošlete nám e-mail na security@ulekare.cz, v němž uvedete:
- Odkaz na stránku nebo popis části mobilní aplikace, které se podle vás problém týká.
- Popis vypozorovaného chování a popis chování, které byste normálně čekali.
- Číslovaný seznam kroků potřebných k reprodukování problému a video s ukázkou, pokud jsou kroky složitější.
Citlivé informace posílané e-mailem prosím šifrujte pomocí veřejného PGP klíč umístěného na adrese https://www.ulekare.cz/public-pgp-key.asc.
Chcete-li poslat velké soubory, napište a my vám obratem dodáme odkaz na bezpečné úložiště.
Za samozřejmost a profesní čest považujeme, že:
- Nezneužijete chyb zabezpečení nebo problému, který jste objevili, například ke stahování většího množství dat, než je pro prokázání této chyby nutné, nebo ke smazání či úpravě dat jiných lidí.
- Neodhalíte problém ostatním, dokud nebude vyřešen.
- Nepodniknete útoky na fyzické zabezpečení, sociální inženýrství či útoky, jejichž důsledkem je odepření služby, a nepoužijete spam nebo aplikace třetích stran.
- Poskytnete nám dostatečné informace k identifikaci problému, abychom byli schopni vyřešit ho co nejrychleji. Obvykle je dostačující IP adresa nebo URL postiženého systému a popis chyby či zranitelného místa, komplexnější problémy však vyžadují další vysvětlení a popis.
Co na oplátku slibujeme my:
- Odpovíme vám do 3 pracovních dnů a přidáme hodnocení vašeho ohlášení a očekávané datum vyřešení.
- Pokud jste postupovali podle výše uvedených pokynů, nebudeme proti vám na základě této zprávy podnikat žádné právní kroky.
- Budeme maximálně diskrétní a vaše osobní údaje nepředáme bez vašeho souhlasu třetím stranám.
- Budeme vás průběžně informovat o pokroku při řešení problému.
- Zveřejníme-li informaci o nahlášeném problému, hrdě uvedeme vaše jméno jakožto oznamovatele (pokud si nebudete přát jinak).
- Pošleme odměnu.
Díky, že nám necháte prvenství při veřejném oznámení odstraněného problému.
Základ textu v kapitole „Jak je chráněna komunikace“ mezi webem a servery uLékaře pochází z „Responsible Disclosure“ a je použit se souhlasem autora.