Sicherheit

1. Managementsystem für die Informationssicherheit (ISMS)

Luscii verwendet ein Managementsystem für die Informationssicherheit (ISMS), d. h. eine Reihe von Prozessen, die sicherstellen, dass Informationen gegen interne und externe Sicherheitsbedrohungen geschützt sind. Das ISMS von Luscii ist sowohl nach NEN 7510 als auch nach ISO 27001:2022 zertifiziert.

Speziell für den niederländischen Gesundheitssektor beschreibt die Norm NEN 7510 die Anforderungen an die Informationssicherheit. Basierend auf den Normen ISO 27001 und ISO 27002 für den Datenschutz bietet NEN 7510 einen Rahmen für die Informationssicherheit von Organisationen im Gesundheitswesen und damit verbundenen Organisationen wie Luscii. ISO 27001:2022 ist eine internationale Norm, die Leitlinien für die Einführung eines ISMS in einer Organisation enthält.

Für das britische Gesundheitswesen ist Luscii für die Cyber Essentials zertifiziert und absolviert jährlich das Data Security Protection Toolkit (DSPT) sowie die Digital Technology Assessment Criteria (DTAC), zusätzlich zu den oben genannten.

2.Welche technischen Sicherheitsmaßnahmen gibt es?

Als wesentlicher Bestandteil unseres ISMS hat Luscii viele verschiedene Sicherheitsmaßnahmen ergriffen, um eine sichere Datenverarbeitung zu gewährleisten. Diese Sicherheitsmaßnahmen umfassen unter anderem Folgendes

• Der Zugang zu unseren Servern und unserer Infrastruktur ist nur von sicheren (Bastion-)Servern aus möglich, erfordert die Verwendung von VPN, das durch eine Zwei-Faktor-Authentifizierung geschützt ist, und die Verwendung eines persönlichen Sicherheitsschlüssels (SSH).
• Für den Zugang zu unserer Datenbank gelten die gleichen Maßnahmen wie oben. Nur Personen, die für ihre Aufgabe und ihre Kapazität Zugang zur Datenbank benötigen, erhalten ein solches Konto.
• Luscii hat eine Passwortpolitik, um sichere Passwörter zu gewährleisten. Die Passwörter müssen in regelmäßigen Abständen zurückgesetzt werden.
• Die Infrastruktur wird nach dem Prinzip "Infrastructure as Code" verwaltet.
• Luscii verwendet virtuelle private Clouds für getrennte Umgebungen (Test-, Abnahme- und Produktionsumgebung), um Risiken zu minimieren.
• Die gespeicherten Daten sind stets durch Verschlüsselung geschützt (einschließlich 256-Bit-AES-Verschlüsselung). Passwörter werden außerdem gehasht und gesalzen. Lokal gespeicherte Daten (z. B. auf iOS und Android) werden ebenfalls verschlüsselt gespeichert, soweit es sich um sensible Informationen (medizinische Informationen oder Authentifizierungsinformationen) handelt. Lokal gespeicherte Daten werden gelöscht, wenn sich der Nutzer abmeldet.
• Wir verwenden die Transport Layer Security (TLS)-Technologie, um die Übertragung von Daten zu und von Luscii zu verschlüsseln.
• Die maximale Anzahl der fehlerhaften Anmeldeversuche ist begrenzt.
• Alle von den Benutzern eingegebenen Informationen werden überprüft, um sicherzustellen, dass keine bösartigen Daten hochgeladen werden.
• Es wurde eine Software installiert, die bösartige Software rechtzeitig erkennt.
• Sicherheitsaktualisierungen finden kontinuierlich und automatisch statt.
• Luscii überwacht den Zugriff auf den Backend-Bereich, um mögliche Sicherheitsverletzungen oder andere Anomalien zu erkennen.
• Luscii erstellt kontinuierlich Backups der Datenbank (siehe unten). Benutzer, die Zugriff auf die Datenbank haben, haben keinen Zugriff auf die Backups, um eine ungewollte Löschung der Datenbank zu verhindern.
• Die Anmeldung bei Luscii kann mit einer Zwei-Faktor-Authentifizierung geschützt werden: Benutzername + Passwort und ein einmaliges Login-Token, das per E-Mail verschickt wird.
• Cookies enthalten keine vollständigen Authentifizierungsinformationen wie Passwörter; Informationen in Cookies werden gelöscht, wenn sich ein Benutzer abmeldet.
• Wichtige Informationen in Cookies werden verschlüsselt.
• Die Dauer von Anmeldesitzungen ist zeitlich begrenzt.
• Aktivitäten werden protokolliert und ungewöhnliche Aktivitäten werden überwacht.
• Die technischen Sicherheitsmaßnahmen werden durch Penetrationstests geprüft, die von einer qualifizierten externen Agentur durchgeführt werden.
• Sowohl Software- als auch Infrastrukturänderungen folgen einem einheitlichen Änderungsmanagementprozess, der Entwurf, Implementierung, Überprüfung, Test und Freigabe umfasst.
• Technische Schwachstellen werden mit Hilfe eines kontinuierlichen Schwachstellenmanagementprozesses ermittelt und behoben.
• Die Mitarbeiter werden regelmäßig im Hinblick auf den Datenschutz geschult.