客户专栏2020年11月9日

欧洲的数字健康应用——报销之路要通过安检

通过John Giantsidis.， CyberActa, Inc.总裁

移动数字健康应用储存敏感和个人数据，从脉搏率，睡眠节奏记录到药物计划，以及医疗处方和证书。他们将用户连接到适当的服务，并充当通信集线器。受损的智能手机可以无意地披露患者或用户的整个数字寿命。因此，为移动应用程序建立合适的安全标准至关重要。

两个欧洲国家一直在为发展数字健康应用的最低安全要求领导。2019年12月，德国介绍了数字医疗保健法案，允许医生规定数字健康应用程序和患者，以寻求符合某些标准的应用程序的卫生保险公司报销。¹除了评估用于安全性和适用性的数字健康应用程序，德国的联邦药物和医疗设备（BFARM）对数据保护，信息安全和质量以及互操作性进行了广泛的评估。有明确要求的数据保护和信息安全性的最新实现，其中制造商必须考虑使用数字健康应用程序所涉及的风险。2020年4月，德国联邦IT安全（BSI），发布了技术准则草案数字健康应用的安全要求，为数字健康应用程序的安全运行提供最小一组要求。²

2020年9月，西班牙国家加密中心(CCN)发布了一份路线图满足其对数字健康应用程序和电子健康移动应用程序的最低安全要求。^3.根据BSI指导，这些要求现在在西班牙生效。本文总结了所描述的安全领域以及路线图中识别的最佳实践。目标是在美国联邦贸易委员会（FTC）开发的美国产品开发和商业化工作中，向美国产品开发和商业化努力提供通知和教育相关的移动应用程序的开发商和制造商一个移动健康应用程序交互工具与美国卫生和公众服务部健康信息技术国家协调办公室(ONC)、民权办公室(OCR)和FDA合作。⁴根据CCN路线图，数字卫生安全的最低要求可分为11类:

目的
建筑学
源代码
第三方软件
加密
身份验证
数据存储和数据保护
结算
平台交互
网络通信
弹性

以下部分突出了每个类别的重要建议 - 并且可以在德国和/或西班牙准备市场进入时作为初步清单。

目的

开发人员必须在收集任何个人资料前，应披露应用程序的主要用途，并取得用户同意。
应用程序应允许用户撤回他/她的同意。它应告知用户应用程序的行为会在何种程度上发生变化。
应用程序不得在屏幕上显示敏感数据及此类数据不会与第三方共享，除非应用程序的预期主要用途要求。
应用程序应全面通知用户对数据传输的后果和获得同意。

建筑学

安全应是整个应用程序软件开发和生命周期的组成部分，反映了数据生命周期中敏感数据的安全收集、处理、存储和删除。
如果应用程序使用云作为后端系统，云必须有一个C5（云计算合规控制目录）⁵或类似的证书。
安全功能应始终在App和Back End中实现，以及所有外部接口和应用程序编程接口（API）端点。
如果应用程序使用第三方框架或库，则开发人员必须向用户提供有关使用范围和使用的安全机制的信息。应用程序应确保安全使用这些功能。应用程序必须还要确保未使用的功能不能被第三方激活。
开发人员必须为用户提供报告安全问题的选项。

源代码

用户输入必须在使用之前要检查以在处理之前过滤掉可能的恶意值。
错误消息和通知不得包含敏感数据。
潜在的异常必须以受控的方式被拦截、处理和记录。
支持开发的所有选项必须在发布的版本中被禁用。
开发人员必须确保发布版本中没有保留任何调试机制。

第三方软件

外部图书馆和框架必须定期检查漏洞。
来自库和框架的函数不得用于已知的漏洞。
外部库和框架的安全更新必须迅速被应用。
在使用外部库和框架之前，他们的来源必须被检查，如果第三方软件不再由其开发人员维护，它不会部署。

加密

应用程序必须依赖可靠的加密原语实现。
加密原语的选择必须适合于用例，并与当前技术状态的规范相对应。
密码密钥的强度必须对应于现有技术。

身份验证

用户必须在应用程序中处理敏感数据之前，使用第二个因素进行身份验证(升级身份验证）。如果存在偏差参数，则额外的身份验证度量（升级身份验证)必须执行。
如果使用用户名和密码进行鉴权，则可以向用户显示密码的强度。密码的强度信息不能保存在应用程序内存或后端。
如果应用程序已被中断，请重新验证必须被要求。
制造商必须定义生物识别传感器的最低质量和特性，并确保可用硬件满足规定要求，且传感器具有可供比较的用户生物识别参考特性。
应用程序必须确定生物特征参考特征何时被改变拒绝如果已将生物识别参考功能随后改变，则应用程序。
如果终止应用程序会话，会话标识符必须在设备上和后端删除
没有敏感数据可以嵌入到身份验证令牌中。

数据存储和数据保护

应用程序的出厂设置必须提供最大的数据保护和最大的安全性．
所有敏感数据必须存储加密。
敏感数据必须未从其生成的组件导出。
应用程序必须锁定设备时，请确保所有敏感数据都已加密。
应用程序必须确保设备上的所有敏感数据和特定于应用程序的凭据在卸载时被删除。

结算

应用程序必须向用户说明哪些服务需要支付额外费用。
应用程序必须在执行付费操作之前获取用户的同意。
应用程序必须在请求访问付费资源之前，必须获得用户的同意。
如果应用程序提供付费功能，制造商必须提交一个概念，以防止第三方跟踪使用应用程序功能的现金流。
应用程序必须提供用户概述的费用。如果成本是由于各个访问，应用程序必须提供访问概述。

网络通信

应用程序的任何网络通信都必须使用传输层安全(TLS)加密。．
TLS连接的配置必须符合当前的技术状态，并遵循当前的最佳实践建议。
应用程序必须使用所使用的操作系统平台的安全功能或安全检查的框架或库来构建安全通信通道。
中止的启动必须在后端记录为安全事件。

平台互动

对于应用程序的使用，终端设备必须有设备的保护。制造商必须通知用户对未激活的设备保护的后果。
只有应用程序请求实现其主要目的所需的权限。
应用程序必须告知用户权限的用途以及如果用户不授予它们会产生的影响。
应用程序必须实现对所有数据的访问限制。
应用程序必须将广播消息限制为授权应用程序。

弹性

应用程序应：

为用户提供安全处理应用程序及其配置的低障碍最佳实践建议;
根据当前的技术状态，检测和响应根或越狱设备。如果应用继续运行，开发者必须向用户提供数据风险;
如果在不寻常的用户权限下启动，则中止启动;
在处理敏感数据之前检查设备的完整性;
在访问后端之前检查其完整性;和
对反向工程实施强有力的措施，并使用代码混淆和字符串加密等混淆措施。

结论

预计数字健康应用程序用户可以依赖开发者和制造商实施措施，以保护数据的机密性、可用性和完整性。德国指导草案和西班牙路线图的最低安全要求进一步表明，全球对安全的重视，将安全作为数字健康应用程序开发者管理过程的一部分进行设计和注入。对于那些希望消除多个开发过程、简化测试和验证并将其产品和服务扩展到多个国家的公司来说，这些指南提供了一个很好的适应和扩展的机会。

参考：

关于作者：

John Giantsidis是CyberActa公司的总统，该公司是一家小型咨询公司，为医疗设备、数字健康和制药公司的网络安全、隐私、数据完整性、风险、SaMD法规遵从性和商业化努力提供支持。他也是佛罗里达律师协会技术委员会的成员，以及美国海军陆战队的网络Aux成员。他持有Clark University的理学学士学位，the University of New Hampshire的法学博士学位，the George Washington University的网络安全政策与合规工程硕士学位。可以和他联系john.giantsidis@cyberacta.com．

本网站使用cookies以确保您在我们的网站上获得最佳体验。了解更多