menu
scroll

Misure di sicurezza cloud-R RD

1. Approccio Privacy by Design

Cloud-R si è concentrata sulla protezione dei dati sin dall’iniziale disegno della piattaforma Cloud-R RD, mettendo in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tali misure sono volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie, al fine di soddisfare i requisiti del Regolamento EU 2016/679 (GDPR) e tutelare i diritti degli interessati.

2. Sicurezza del dato

La sicurezza dei dati come fattore critico per l'applicazione è stata considerata come una componente principale nelle basi della soluzione tecnica. Gli aspetti di sicurezza vengono affrontati utilizzando un controllo degli accessi basato sui ruoli, firma interna tramite ​hash di dati memorizzati nella base di dati stessa. ​Per ogni dato inserito all’interno del sistema viene generato un hash SHA-256 che consente di verificare l’integrità e la resistenza alle manomissioni dei dati del registro. L'unico modo per modificare i dati è attraverso i processi applicativi e la Business Logic. La soluzione tecnica adottata garantisce:

  • Un controllo dell'accesso ai dati basato sui ruoli: solo gli account utente con un set definito di ruoli e permessi possono accedere e / o modificare un record;
  • Hash di dati locali: i dati nel database non possono essere manomessi. L'unico modo per modificare i dati è attraverso i processi applicativi e la Business Logic
Img

2.1. Sito di conservazione dei dati dei pazienti

I dati sono conservati all'interno di server in cloud gestiti da Cloud-R, su infrastruttura IaaS di Google certificata (vedi Paragrafo 2). I dati e le risorse afferenti a tali server sono segregati in aree geografiche definite e garantite da Google.

2.2. Dati pazienti

Tutti i dati dei pazienti sono organizzati in strutture logiche e fisiche separate (Dataset/Monitor) legate tramite ID anonimo, un identificativo univoco numerico che viene generato dal sistema in fase di inserimento di un nuovo record paziente e l'algoritmo che lo genera è indipendente dai dati personali del paziente. I dati sono criptati in modalità AT-REST con algoritmo AES-256-CBD con chiavi di crypt differenti per ogni registro. All’interno del sistema è possibile configurare record che non contengano contemporaneamente dati identificativi del paziente e dati clinici. La visualizzazione dei record è regolamentata esclusivamente dalle politiche di accesso legate ai profili utente.

3. Controllo degli accessi

L’accesso al registro avviene in modalità criptata mediante protocollo SSL con autenticazione a due fattori: username e password + codice OTP (One Time Password) per ogni singola connessione che viene inviato al cellulare verificato dell’utente autorizzato. Ogni accesso viene tracciato e conservato in maniera non modificabile.

Il sistema prevede specifiche profilazioni per ogni singolo ruolo che garantiscono il corretto accesso ai dati nel rispetto delle regole definite per ciascun Registro. Il sistema, inoltre, traccia in maniera persistente ogni variazione di profilo autorizzativo e ogni accesso, generando alert e consentendo di monitorare in ogni momento i tentativi di accesso impropri (Audit Trail).

Politica sicurezza delle informazioni


L’obiettivo di Cloud - R nello sviluppo del Sistema di Gestione della Sicurezza delle informazioni è fornire un livello di protezione adeguato alle informazioni gestite nell’ambito delle attività di progettazione e sviluppo della piattaforma software in cloud Cloud-R RD, commisurato ai rischi identificati, valutati e considerati dal processo di analisi dei rischi che è parte integrante del sistema stesso.

Gli obiettivi della politica per la sicurezza delle informazioni sono:

  • preservare al meglio l’immagine di cloud-R Srl quale fornitore affidabile e competente
  • proteggere il proprio patrimonio informativo
  • evitare al meglio ritardi nella delivery adottare le misure atte a garantire la fidelizzazione del personale e la sua professionalizzazione
  • rispondere pienamente alle indicazioni della normativa vigente e cogente
  • aumentare, nel proprio personale, il livello di sensibilità e la competenza su temi di sicurezza informatica.

Per conseguire tali obiettivi sono state stabilite procedure, strumenti e responsabilità per le attività cruciali del sistema, quali:

  • protezione e classificazione di tutte le informazioni;
  • disponibilità pronta delle informazioni alle persone effettivamente coinvolte;
  • sistematica analisi del rischio connesso alla gestione delle informazioni, ad ogni variazione della organizzazione e per ogni commessa;
  • definizione delle responsabilità di gestione sicura dei dati e delle informazioni, ad ogni livello gestionale.

La Direzione di Cloud - R fa propria la volontà di raggiungere gli obiettivi definiti dalla presente politica e si impegna a fornire le risorse necessarie per la realizzazione di quanto stabilito.

Ruggero Di Maulo Ceo&Founder Cloud-R

19 Settembre 2019