Задать вопрос
Dima_So
@Dima_So
Experientia est optima magistra

Как обеспечить безопасность данных (медицинские анализы)?

Есть сайт клиники на битриксе с личным кабинетом. Планируется добавление хранения данных анализов. Сами результаты анализов предоставляет сторонняя лаборатория, данные будут получаться через их API. Результаты будут храниться в ЛК пользователя. Беспокоит само хранение анализов у себя на сайте.

До этого такой тип данных обрабатывать не приходилось.

Что сейчас планируется:
  • Авторизация по СМС (что не спасет от получения админских прав)
  • Получение данных анализа только по запросу из ЛК, чтобы не хранить их просто так у себя на сайте
  • Сделать периодическую очистку данных, т.к. оборот небольшой и пользователь при необходимости просто запросит данные снова
  • Сделать отдельный скрипт для анализа всплеска запросов к API (больше n в минуту/час/день) и отрубать получение данных при аномалиях

Что еще стоит предусмотреть, изучить.Может что то лишнее?
  • Вопрос задан
  • 321 просмотр
Подписаться 4 Средний 15 комментариев
Пригласить эксперта
Ответы на вопрос 2
Tkreks
@Tkreks
Системный инженер
1. До запуска прод.контура тестирование независимыми экспертами. В отчете будет вся необходимая информация которую можно будет изучить и закрыть найденные уязвимости.
2. Если данные можно получать из внешнего источника, тогда нет смысла их хранить в своей базе, получайте данные по запросу пользователя. С подтверждением по одноразовому коду из СМС или генератору.
3. Если данные всё таки хранятся в вашей базе - хранить данные в зашифрованном виде, каждый пользователь должен иметь возмонжость расшифровать данные только своим ключом.
4. Контроль доступа к этим данным с логирование. Чтобы можно было понять, кто, когда и какие данные получал. В идеале как вы описали с мониторингом всплесков.
5. Постоянно обновлять систему. Если есть вариант написать самописную систему который во фронте будет отдавать только html, чтобы не было возможностей на стороне клиента запускать уязвимости, тогда лучше поступить так
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Стоит изучить законодательство о ПДн и методы предполагаемого шифрования данных - а то, что данные хранить нужно шифрованными, я думаю это и так понятно.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы