אבטחת המידע PacsSee - פלטפורמות דימות

כמערכת המטפלת במידע אישי רגיש של מטופלים, שמירה על פרטיות המידע והגנתו הינם בראש מעינינו.

PacsSee הינה פלטפורמה מבוססת ענן. ספק שירותי הענן היא חברת Google, המערכת עושה שימוש במרכיבים שונים של פלטפורמת הענן (המכונים יחדיו Google Cloud Platform - GCP). בחרנו ב- GCP כספק תשתיות הענן שלנו בין היתר לאור המענה המיטבי הניתן לנושא אבטחת המידע בכלל והמידע הרפואי בפרט.

חשוב להדגיש כי ל- Google אין גישה לבדיקות הדימות ולמידע האישי של המטופלים והלקוחות. המידע נשמר בשרתי Google כאשר הינו מוצפן והגישה אליו אפשרית רק על סמך הרשאות מתאימות ולמשתמשי המערכת בלבד. המידע האישי לעולם לא יועבר ל- Google או לצדדים שלישיים כלשהם.

פלטפורמת GCP עוברת מדי שנה ביקורות על ידי גופים שלישיים בלתי תלויים ב- Google והפלטפורמה מוסמכת לתקנים הבאים העוסקים או נוגעים בנושא אבטחת המידע:
- ISO 27001 - אבטחת מידע לארגונים.
- ISO 27017 - אבטחת מידע בענן.
- ISO 27018 - אבטחת פרטיות בענן.
- FedRamp ATO - אישור מטעם הממשלה הפדראלית בארה"ב למוסדותיה לשימוש ב- GCP כספק שירותים מאובטחים בענן.
- SSAE16 / ISAE 3402 Type II - תקן העוסק בקיום הליכי בקרה פנימית נאותה (בדגש על מידע רגיש / פיננסי).
- PCI DSS v3.1 - אבטחת נתונים פיננסיים ונתוני כרטיסי אשראי.

בדגש ספציפי על אבטחת מידע רפואי, הפלטפורמה נותנת את המענה הבא:
- גוגל מחויבת בחוזה בו היא מצהירה על עמידת הפלטפורמה בדרישות חוק HIPAA האמריקאי.
- החברה חתומה מול גוגל על חוזה המצהיר על עמידה בדירקטיבה 95/46/EC של האיחוד האירופי העוסקת בהעברה ועיבוד של מידע אישי.
- החברה חתומה מול גוגל על חוזה אבטחת מידע אישי העוסק בין היתר בתחומים הבאים:
-- התחייבות של גוגל לממש אמצעים ארגוניים וטכניים נאותים על מנת להגן על מידע אישי מפני אובדן / שינוי לא מכוון/ מחיקה / גישה לא מורשית וכן עיבוד לא מורשה של המידע.
-- התחייבות של גוגל להבטיח כי עובדיה מצייתים לתנאי אמצעי ההגנה על המידע.
-- התחייבות של גוגל במקרה של אירוע אבטחת מידע להודיע לנו על כך מיידית וכן לנקוט בכל האמצעים הדרושים על מנת להקטין את הנזק ולהבטיח את המידע האישי.
-- התחייבות של גוגל להבטיח את המשך עמידתה בתקני אבטחת המידע והסרטיפיקטים המנויים לעיל.

יש לציין כי צוות אבטחת המידע של Google העוסק באבטחת מוצרי GCP מונה למעלה מ- 700 אנשי מקצוע. זהו מספר גדול בהרבה מזה שמסוגלים להחזיק מרבית ארגוני הרפואה (בארץ ובעולם).

בנוסף לכל הנ"ל, אנו נוקטים באמצעים הבאים:
- כניסה למערכת PacsSee מבוצעת באמצעות חשבונות גוגל בלבד, כולל האפשרות להפעיל את מנגנון ה Two Step Authentication (המשמעות היא כניסה מאובטחת מאוד, מבלי שאנו שומרים סיסמאות של משתמשים כלל).
- התקשורת בין מרכיבי המערכת מוצפנת על בסיס TLS תוך שימוש בסרטיפיקטים המתעדכנים אחת לשלשה חודשים, כולל תקשורת ה - DICOM המבוצעת באמצעות DICOM-TLS.

כהשלמה ניתן לעיין בעמוד הבא העוסק בהיבטי אבטחת המידע של פלטפורמת GCP: https://cloud.google.com/security/compliance

PacsSee פלטפורמות דימות בע"מ מוסמכת לתקן ISO 27001 ו- ISO 27799.

ISO 27001 Certification ISO 27799 Certification URS Logo