Стоматологія Косметологія Вартість Контакти Новини Старт Блог Реєстрація Вхід
Стоматологія Косметологія Вартість Контакти Новини Допомога Блог Швидкий старт Вхід Реєстрація

Безпека зберігання даних

Безпека зберігання даних - дуже важливе питання, яке потребує особливої уваги. В Cliniccards реалізовано комплекс рішень, щоб захистити кожного користувача від витоку інформації. У той же час, важливо розуміти, що надійність зберігання даних першочергово залежить і від вас особисто.

Тому, в цій інструкції ми розглянемо ряд налаштувань, які дозволяють максимально захистити себе від онлайн-атак. Як в Cliniccards, так і в інших ресурсах.

Налаштування безпеки в Cliniccards

Правило № 1: 1 учасник - 1 акаунт

Перш за все хочемо наголосити, що кожен учасник клініки повинен мати окремий обліковий запис (акаунт) в Cliniccards. 

Персональні акаунти дозволяють контролювати взаємодію всіх учасників з системою Cliniccards, а отже і з протоколами роботи клініки. 

Оскільки кожна дія користувача фіксується під особистим акаунтом – дуже легко виявити проблеми несанкціонованого доступу чи зловживань за допомогою звіту Журнал редагувань . Це підвищує рівень відповідальності та внутрішнього контролю.

Окремі акаунти сприяють зберіганню конфіденційності даних. В разі втрати або пошкодження даних, зʼявляється можливість пошуку причини витоку в межах одного учасника клініки, а не всіх спеціалістів.

Правило № 2: Увімкніть Двофакторну аутентифікацію

Хочемо наголосити, що кожен учасник клініки повинен встановити двофакторну аутентифікацію для свого акаунту.

Також рекомендуємо власникам клініки активувати опцію Дозволяти доступ в клініку лише спеціалістам з увімкненою двофакторною автентифікацією у розділі Налаштування → Інше → Налаштування клініки

Опція Двофакторна аутентифікація дозволяє налаштувати додатковий рівень захисту особистого профілю користувача. В Cliniccards, двофакторна аутентифікація активується за допомогою додатку Google Authenticator.

Встановіть Google Authenticator на ваш смартфон та активуйте його. При такому виді двофакторної аутентифікації код підтвердження для входу у Cliniccards буде доступний вам у додатку Google Authenticator. Скористайтесь більш детальною інструкцією при підключенні данного типу аутентифікації.

Такі налаштування допоможуть захистити акаунти всіх співробітників від несанкціонованого доступу сторонніх осіб. Це вкрай важливо, оскільки кожен учасник клініки працює з медичними даними пацієнтів і ця інформація є особливо сенситивною!

Правило №3: Налаштуйте Права доступу

Розділ налаштувань Права доступу дозволяє врегулювати менеджмент роботи клініки та визначити, яку інформацію спеціалісти можуть бачити та редагувати.

За допомогою прав доступу можна врегулювати доступи до такої  інформації:

  • графік роботи спеціалістів, а також можливість редагування змін;
  • графік прийому пацієнтів;
  • персональні дані пацієнтів, їх фінанси, документи, візити, плани чи історія лікування;
  • фінансові показники роботи клініки - суми виконаних робіт, оплати пацієнтів, витрати, прибутки а також дані про заробітну плату;
  • доступи до фінансових та операційних звітів;
  • права на налаштування роботи системи Cliniccards у клініці.

Рекомендуємо дуже уважно встановлювати права доступу для кожного учасника клініки згідно внутрішнього менеджменту роботи, оскільки так ви можете виключити можливість витоку даних через наявність доступу до них у сторонніх осіб.

Ви можете детально ознайомитися з тим, як працює кожне з прав доступу, використовуючи підказки поруч з їхніми назвами.

Зверніть особливу увагу на права доступу у переліку нижче:

Доступ до карток лише тих пацієнтів, з якими лікар працює

За допомогою опції Доступ до всіх пацієнтів клініки можна обмежити право на перегляд карток тих пацієнтів, яких даний спеціаліст не лікує – тобто якщо немає візитів до цього лікаря або якщо цього лікаря не позначено в плані чи історії лікування пацієнта.

Це мінімізує ризик випадкового або навмисного розголошення конфіденційних даних, а також спрощує процес керування ризиками в клініці. 

Доступ до перегляду фото пацієнта

Право доступу до перегляду фото пацієнта дозволяє або забороняє переглядати фотографії та файли, які містяться в записах історії лікування пацієнта, навіть у тому випадку, коли фотографії та файли були завантажені цим спеціалістом.

Персонал клініки має різний рівень доступу до медичної інформації залежно від їхніх ролей та обов'язків. Наприклад, лікарі можуть мати повний доступ до історії лікування, в той час як асистенти чи адміністративний персонал можуть мати обмежений доступ лише до необхідних даних. 

Доступ до фінансів пацієнтів

Ви можете обмежити доступ до розділу Фінанси картки пацієнта, до розділу Каси, до звітів по заробітній платі та інших звітів клініки.

Так доступ до фінансових даних пацієнтів та клініки буде тільки у тих спеціалістів, чиї посадові обов’язки того потребують. Наприклад, фінансовий відділ чи керівники клініки можуть мати доступ до фінансових звітів, тоді як медичний персонал як правило не має доступу до таких даних.

Таке обмеження доступів дозволяє уникнути випадків витоку фінансових даних, таких як рахунки за медичні послуги, а також допомагає запобігти маніпуляціям або шахрайству з фінансовою інформацією. 

Можливість ділитися пацієнтами за межами клініки

Доволі часто виникає потреба обміну медичною інформацією про пацієнтів між різними клініками або спеціалістами. Право доступу Може ділитися пацієнтами за межами клініки дозволяє обмежити певним спеціалістам можливість ділитися історією лікування чи її етапами зі спеціалістами з інших клінік.

Таке право є додатковим фактором захисту даних пацієнтів від несанкціонованого розкриття за межами клініки, адже дозволяє визначити, які учасники мають можливість поширювати історію лікування чи її етапи.

Памʼятайте, що забезпечення безпеки та конфіденційності даних є критичним аспектом при обміні медичною інформацією!

Правило №4: Доступ по IP

Дозволяє налаштувати індивідуальні обмеження кожному із співробітників клініки до всіх або деяких даних в системі Cliniccards. 

Доступ по IP застосовується в тих випадках, коли потрібно обмежити доступ до віртуального простору клініки спеціалістам, якщо вони перебувають за межами клініки. Для кожного співробітника окремо можуть бути налаштовані такі параметри доступу до віртуального простору клініки Cliniccards:

  • Доступ із будь-якого IP – встановлюється системою за умовчанням для всіх учасників клініки. Співробітники клініки мають право увійти в віртуальний простір клініки зі свого облікового запису та переглянути доступну інформацію з будь-якої точки доступу до мережі Інтернет.
  • Доступ лише з дозволених IP – дозволяє обмежити перегляд даних у Cliniccards співробітникам, якщо вони знаходяться за межами клініки, або використовують непідтверджену точку доступу до Інтернету. 
  • Доступ лише з дозволених IP крім розкладу –  дозволяє обмежити доступ до клініки таким чином, що учасники, які авторизуються з непідтверджених ІР, зможуть переглядати лише розклад, якщо вони мають доступу до нього. 

Правило №5: Обмеження в часі

Для того, щоб забезпечити вищий рівень конфіденційності роботи клініки, рекомендуємо обмежити співробітникам доступ до редагування даних у системі, а також обмежити доступ до перегляду звітів за попередні періоди. Зробити це можна в розділі Обмеження у часі.

Як правило, такі права доступу частково обмежують для адміністраторів, повністю обмежують для лікарів та асистентів, а повний доступ до редагування даних та перегляду фінансових звітів надається тільки власнику та/або керівнику клініки.

Правило №6: Екстрене блокування

Екстрене блокування може бути використане у разі непередбаченої ситуації. Наприклад втрата власником пристрою, з якого виконується вхід до клініки.

Щоб скористатися цією опцією, необхідно зайти в Налаштування → Права доступу → Заблокувати клініку та підтвердити дію блокування за допомогою персонального пароля входу.

Зверніть увагу, що функція екстреного блокування клініки доступна лише власнику клініки.

Для відновлення доступу до даних системи Cliniccards власнику клініки необхідно зв'язатися зі службою підтримки Cliniccards та підтвердити свої персональні дані. Після перевірки ідентичності власника клініку буде розблоковано.

Додаткові інструменти контролю заходів безпеки

1. Звіт Пацієнти, якими поділилися поза межами клініки

Звіт Пацієнти, якими поділилися поза межами клініки відображає картки пацієнтів, до яких було додано спеціалістів з інших клінік.

Рекомендуємо час від часу переглядати цей звіт з метою контролю конфіденційності збереження даних пацієнтів. Навіть у випадку, якщо в клініці обмежено право Ділитися картками пацієнтів зі спеціалістами з інших клінік для деяких спеціалістів.

У разі виявлення доступу до картки пацієнта особам, які не мають на це права - перейдіть у картку пацієнта, натисніть кнопку Додати лікаря до картки пацієнта та натисніть на хрестик біля імені користувача, у якого потрібно забрати доступ до картки. 

2. Використовуйте Журнал редагувань

Звіт Журнал редагування дозволяє відстежувати дії всіх співробітників клініки та зберігає історію всіх змін інформації у системі Cliniccards у вигляді таблиці.

Таким чином, у разі інцидентів безпеки або небажаних змін у будь-якому розділі системи, власник клініки завжди може перевірити, який обліковий запис використовувався для виконання дій, і виправити ситуацію.

Додаткові заходи безпеки

Окрім налаштувань заходів безпеки в Cliniccards рекомендуємо також дотримуватись таких правил поведінки з електронними пристроями та у мережі інтернет:

Ось декілька загальних рекомендацій, які допоможуть вберегти себе від загроз:

  • Завжди блокуйте свої пристрої за допомогою надійного пароля, PIN-коду, графічного ключа, біометричних засобів (faceID, touchID та ін.);
  • Не використовуйте однаковий пароль для різних облікових записів. Паролі завжди мають бути складні та різні;
  • Оновлюйте все програмне забезпечення та використовуйте надійні антивірусні програми;
  • Регулярне резервне копіювання важливих файлів і зберігання резервних копій у безпечному місці також може допомогти захиститися від впливу програм-вимагачів чи втрати даних іншим способом. Нагадаємо, що система Cliniccards щодня робить дзеркальну копію даних, а інформація копіюється в кількох дата-центрах Amazon у Європі;
  • Встановіть автоблокування екрану комп’ютеру не більше, аніж через 1 хвилину неактивності. При закритті кришки ноутбук також має блокуватися;
  • Не встановлюйте неліцензійний, піратський або неперевірений софт та не відвідуйте сумнівні веб-сайти та ресурси з підвищеним ризиком вірусної активності;
  • Обов’язково увімкніть шифрування диску;
  • Уникайте підключення до публічної/безкоштовної мережі Wi-Fi, надавайте перевагу підключенню через захищену мережу або мобільний пристрій;
  • Остерігайтесь небажаних та підозрілих електронних листів, текстових повідомлень і телефонних дзвінків;
  • Ніколи не переходьте за посиланнями та не завантажуйте вкладення з невідомих джерел;
  • Завжди перевіряйте URL-адресу веб-сайту, перш ніж вводити будь-яку конфіденційну інформацію;
  • Щоб переконатися, що ви надсилаєте повідомлення/інформацію правильній людині, спершу зателефонуйте їй і уточніть її дані та чи дійсно вона робила запит на інформацію;
  • Акаунти друзів і родичів можуть бути зламані та використані для надсилання шкідливих посилань або файлів по їхньому списку контактів. Будьте уважні і не довіряйте неочікуваним посиланням та підозрілим повідомленням. Особливо, коли вони стосуються термінових чи фінансових питань;
  • Ніколи не підключайтесь до публічних зарядних станцій чи точок, оскільки вони можуть бути заражені.

Види онлайн-атак

Важливо розуміти, які існують ризики онлайн-атак, адже для того щоб вміло вберегти інформацію від них потрібно, так би мовити, “знати ворога в обличчя”.

  • Phishing
    Фішингові атаки — одна з найпоширеніших загроз, яка має на меті виманити у вас конфіденційну інформацію. Будь-яким способом.
  • Vishing (вішинг, голосовий фішинг)
    Різновид шахрайства, коли зловмисник використовує дзвінки, щоб обманом змусити людей розкрити конфіденційну інформацію, таку як паролі облікових записів, коди доступу або номери карток.
  • Smishing (смішинг)
    Тип фішингової атаки, який використовує SMS-повідомлення, щоб обманом змусити вас натиснути на посилання або завантажити шкідливе програмне забезпечення;
  • QR Code phishing
    Відносно новий тип фішингової атаки, який полягає у скануванні QR-коду, що перенаправляє вас на шкідливий веб-сайт.
  • Google Search Phishing
    Тип фішингових атак, який полягає у створенні підроблених веб-сайтів, що з'являються в результатах пошуку за певним ключовим словом. Ці підроблені веб-сайти виглядають як справжні і часто просять вас ввести свої облікові дані для входу або іншу конфіденційну інформацію.
  • Baiting (приманка)
    Передбачає пропозицію чогось бажаного, наприклад, безкоштовного програмного забезпечення або квитків на концерт в обмін на особисту інформацію. 
  • Malware (Шкідливе програмне забезпечення)
    Тип програмного забезпечення, призначеного для проникнення або пошкодження комп'ютерних систем без відома чи згоди власника. 
  • Ransomware (програми-вимагачі)
    Тип шкідливого програмного забезпечення, яке шифрує файли жертви, роблячи їх недоступними до тих пір, поки зловмисник не отримає викуп.