德国的数字医疗器械规定:世界框架,第二部分
经过John Giantsidis.,Cyberacta,Inc。总裁
德国数码医疗保健法于2019年12月19日生效,介绍了作为一部分的“处方”通过数字健康应用提供给患者的医疗保健(以德语:“Digitale Gesundheitsanwendungen,”在下文中)。Bundesinstitutfürarzneimittel und Medizinprodukte(Bfarm,或联邦药物和医疗器械研究所)2020年8月发布了新的指南详细了解Diga制造商的要求,以使您的Digas可用于德国法定健康保险的超过7300万人参与者。在本系列文章的第1部分,我概述了这种情况,并涵盖了新指南中所指出的许多隐私要求。在这方面第2部分,我检查数据安全要求。后来,在第3部分,我将详细介绍互操作性,鲁棒性,消费者保护和患者安全要求。
信息安全和服务管理
- 您已实施符合ISO 27000系列或可比性的信息安全管理系统(ISMS),并能提供相应的认可证书或可比性证据。
- 您的结构化保护需求分析考虑损坏和威胁情景,您的文档后输出是根据BSI标准200-2对Diga的正常,高或非常高的保护要求,您可以提交保护要求的文档BFARM要求分析。
- 考虑到欧盟MDR要求,您已实施和记录Diga /软件释放,更改控制和配置管理的进程。确保在投入生产之前已经充分测试并明确批准了对Diga的扩展和调整。
数据泄漏预防
- 您已经确保了Diga和其他服务之间的通信技术上限于这样的程度,即可以从DIGA发生没有不需要的数据通信的程度,通过该数据通信可以通过该数据通信进行任何可以发送个人数据。
- 通过开放网络,DiGA的不同系统组件之间的每个数据通信至少使用一种传输加密。
- DIGA检查每次访问可以通过互联网访问的功能访问的服务的真实性,在使用这些服务交换个人数据之前可以访问。
- 您已确保Diga不编写任何不需要的日志或辅助文件。
- 您已确保Diga不会生成可能揭示机密信息的错误消息。
验证
- 在访问应用程序上的数据之前,所有用户必须使用适合于保护要求的方法进行身份验证。
- 您通过合适的技术措施确保了用于验证使用Diga的人的数据永远不会通过无担保传输连接交换。
- Diga使用或包含具有所建立的标准组件实现的中央认证组件,该组件仅允许初始认证,并且可以通过Diga服务验证其可靠性。
- 如果添加足够的信息以检查此人的真实性,则Diga强制执行用户只能更改用于其认证的数据。
- 如果使用密码执行身份验证:
- Diga强制每个人都使用它根据密码指南使用安全密码,其中包括密码的最小长度,并定义登录尝试失败的限制值。
- 您已确保从未在清晰的文本中传输或保存密码。
- Diga日志并通知用户任何更改或重置密码。
- 如果Diga在终端设备上存储身份验证数据,或者在位于它的软件组件中,请求用户的明确同意(“选择in-in”)并告知功能的风险。
- 如果关于用户身份或真实性的信息或关于DiGA组件真实性的信息通过专用会话在组件之间共享:
- 在交换和存储过程中,所有会话数据都受到适当技术措施的保护,具有保护要求。使用的会话id(如果适用的话)是随机生成的,具有足够的熵并使用已建立的过程。
- 当其使用中止或结束时,所有会话都在Diga无效的实例中设置,并且用户还可以强制会话的显式无效。
- 会话具有最大有效期,无效会话在一段时间后自动无效。
- 即使已知各个会话数据是已知的,会话删除会话导致删除所有会话数据的会话,也无法重新激活。
访问控制
- Diga确保通过授权检查(“完整调解”)来确保每次对受保护的数据和功能都进行,其中专用授权组件(包括所有受保护数据)用于由制造商的操作人员访问(“参考监视器”或“安全节点/应用程序”),其需要先验的安全认证访问人员。
- 所有初始授权和限制性授权都是默认分配的,授权仅通过受控程序扩展,其中包括在制造商操作人员授权发生变化时基于多眼原则的有效检查和控制机制。
- 如果Diga提供不同的用户角色,则每个角色只能访问执行与角色相关的功能所需的权限。
- 您确保通过安全网络和接入点访问操作人员访问功能和数据。
- 访问控制的所有错误和故障将导致拒绝访问。
集成数据和功能
- 只有保险人只能在Diga的信任领域内移动或由您检查的值得信赖的外部内容。
- 如果Diga允许用户上载文件,则此类功能可能会受到限制(例如,不包括活动内容),发生内容的安全检查,并且已确保文件只能保存在指定的路径中。
记录
- DiGA可以对所有安全相关事件进行完整的、可跟踪的、防伪造的日志记录,即个人和组织的安全标识、身份验证和授权。
- 记录数据由您自动评估,以便识别安全相关事件或主动防止它们。
- 对日志数据的访问由适当的授权管理系统保护,并且仅限于少数授权的个人和定义的目的。
定期安全更新
- 如果已提供安全相关的更新,则会通知有关人员(例如,通过推送机制或在用户启动Diga之前)。
硬化
- 如果可以通过Web协议调用Diga Service:
- 对于所有可以通过开放网络调用的服务,不需要使用的协议方法将被取消激活。
- 您已尽可能地限制了允许的字符编码。
- 您对所有可以通过开放网络调用的所有服务设置的访问尝试有限。
- 您确保披露了没有安全相关的评论或产品和版本信息。
- 您经常删除不必要的文件。
- 您确保搜索引擎未记录这些服务。
- 没有绝对的本地路径信息。
- 您已排除源文本的检索。
- 如果Diga处理用户提供的数据或由Diga无法控制的源:
- 您将此数据视为潜在的危险和验证和验证并相应地过滤。
- 您可以在值得信赖的IT系统上查看此数据。
- 如果可能,则不正确的条目不会自动处理,或者可靠地实施相关功能,以便排除误用。
- 该数据以一种形式编码,确保恶意代码不会解释或执行。
- 这些数据与对数据持有系统的特定查询(例如,通过存储过程)分离,或者数据查询明确地防止从这些数据中受益的攻击向量。
- 您一直确保Diga中的错误被处理并导致堕胎并可能回滚发起的功能。
- 如果DiGA不是预期用途的一部分,则通过适当的保护机制防止自动访问。
- 通过合适的技术措施,保护与安全操作相关的配置文件免受损耗和伪造。
使用传感器和外部设备
- 如果DIGA直接访问移动设备和/或外部硬件的传感器(例如,靠近身体的传感器):
- 您已经指定了可以安装,激活,配置和使用的传感器或连接设备的框架条件,并且在执行相应的功能之前确保尽可能地存在这些框架条件。
- DIGA确保传感器和连接设备在安装或初始激活期间设置为基本设置,这对应于记录的安全指南。
- 用户可以将由Diga直接控制的传感器和设备重置为对应于文档安全指南的基本设置。
- 只有在完成传感器或设备的安装和配置时,才能在DIGA和直接控制的传感器或设备之间进行数据交换。
- 如果DiGA与外部硬件(如紧身衣传感器)交换数据:
- 为目标组适当地描述用于安装,配置,激活和取消激活该硬件的过程,并且尽可能地防止不正确的操作。
- Diga和外部硬件之间存在相互认证。
- Diga和外部硬件之间的数据只会在初始连接后加密。
- 确保在卸载DiGA或停止使用DiGA时,将删除存储在外部硬件上的所有数据。
- 您已经记录了如何安全地停用连接的硬件,以确保没有数据丢失,也没有敏感数据留在设备上。
第三方软件
- 您必须保留所有库的完整列表,也可以是您未由您作为制造商开发的DIGA中使用的其他软件产品。
- 您使用合适的市场观察方法,以确保从这些库或产品发出的数据保护,数据安全性或患者安全性的先前未知的风险是迅速识别的。
- 您已经建立了采取适当措施的程序,以便能够立即阻止应用程序并通知用户。
Digas的其他要求具有非常高的保护要求
- 在IT系统上处理的个人数据仅在用户的个人处置的系统上仅存储在这些系统上的加密表单中。
- 考虑到常见的攻击向量,如ClickJacking或跨站点请求伪造等,您对Diga的版本进行了渗透测试。
- 您已经记录了渗透测试的结果和处理措施或建议的结果,如有必要,将其转移到合适的管理系统中。
- 您将至少为所有用户的初始认证执行双因素身份验证。
- 如果DIGA允许回退选项到一个因子身份验证:
- 用户通过在用户同意的同意之后仅激活,用户知道相关的风险,并且仅在其同意之后激活,这已经通过主动动作确认。
- 用户可以在Diga内随时停用此复发选项。
- 在最新的12月31日,Diga可以通过电子保健卡支持用户作为用户的身份验证,以至于2020年12月31日的未接触式接口。
- 消息(XML,JSON等)和数据将通过针对定义方案检查的开放网络访问的Diga Services。
- 如果组件是Web服务器,例如,用于管理或配置:
- Web服务器尽可能限制。
- 只安装或激活web服务器所需的组件和功能。
- Web服务器未在特权帐户下运行。
- 记录安全相关的事件。
- 只有经过身份验证才能访问。
- 与Web服务器的所有通信都已加密。
重要的是要理解,德国联邦信息安全办公室(der Informationstechnik Bundesamt皮毛Sicherheit,或BSI)帮助组织识别和实施措施来帮助确保It系统创建了一个基线组保护信息技术标准(在德国,IT-Grundschutz)。这些BSI标准包括:
- 基于ISO/IEC 27001标准的ISMS (BSI-Standard 100-1)
- IT-Grundschutz方法,描述了如何设置和操作ISMS(BSI标准100-2)
- 风险分析方法(BSI标准100-3)
- IT-Grundschutz目录,针对典型商业环境的标准潜在威胁和保障措施。
另外,值得注意的是,ISO/IEC 27001是一个安全标准,它正式指定了旨在将信息安全置于明确的管理控制之下的ISMS。作为正式的规范,它要求定义如何实现、监视、维护和持续改进ISMS的需求。它还规定了一组最佳实践,包括文档需求、职责划分、可用性、访问控制、安全、审计以及纠正和预防措施。ISO/IEC 27001认证有助于组织遵守与信息安全相关的众多法规和法律要求。
在第3部分在本文中,我将详细介绍互操作性,鲁棒性,消费者保护和患者安全要求。
关于作者:
John Giantsidis是Cyberacta,Inc是一家专业咨询公司,为医疗设备、数字健康和制药公司的网络安全、隐私、数据完整性、风险、SaMD法规遵从性和商业化努力提供支持。他也是佛罗里达律师协会技术委员会的成员,以及美国海军陆战队的网络Aux成员。他持有Clark University的理学学士学位,the University of New Hampshire的法学博士学位,the George Washington University的网络安全政策与合规工程硕士学位。可以和他联系john.giantsidis@cyberacta.com.