• A
    User Attivo

    Importantissimo: sicurezza informatica e DPS (solo per veri esperti del settore!)

    Signori,
    vi scrivo in merito alla sicurezza di una web application che tratterà dati medici sensibilissimi. Dovendo adottare ogni precauzione, ho deciso che tale applicazione sarà allocata su un hosting dotato di server sicuro con certificato ssl (che tuttavia non sarà integrato da chiavi pubbliche e private), che verranno eseguiti backup periodici automatici e che i dati presenti saranno criptati. Ovvero, se qualcuno dovesse leggere le tabelle vedrà solo dati cifrati; ci penserà poi la mia web application, al momento di popolare i vari campi delle pagine che si apriranno, a decriptarli presentandoli in chiaro all?utente correttamente loggato.

    Ora, ipotizziamo che tabella pazienti e tabella visite siano legate da una relazione uno a molti con opportune chiavi. Criptare tutto aumenta esponenzialmente la difficoltà (pensate a dover decriptare le chiavi primarie prima ancora di eseguire una semplice query, o di decriptare le date prima di calcolare le scadenze per l?agenda). Ed allora mi sono detto (ma posso sbagliarmi, sottopongo alla vostra competenza): perché non criptare solo i dati anagrafici del paziente? In fondo così non diminuisco il livello di sicurezza dell?applicazione, perché una cartella clinica priva di qualsiasi riferimento personale visibile in chiaro (ma anche di una semplice strada, di una città, di un luogo o data di nascita) è pressoché inservibile ad un utente indiscreto e rispetta tutte le direttive sulla privacy. Ho ragione? Rispetta le rigide direttive sulla privacy?

    Ultimissima cosa, insieme al software dovrò consegnare il famigerato DPS. In merito ad alcune considerazioni sul documento programmatico per la sicurezza, che l?azienda produttrice di siti web o software gestionali deve rilasciare unitamente al proprio prodotto, sono un pò in alto mare. Nel caso in esame, il contenuto del DPS dovrebbe essere incentrato fondamentalmente su due aspetti: protezione privacy (sicurezza contro accessi dati non autorizzati) ed integrità dati (misure atte a prevenire l?eliminazione accidentale o il deperimento dei dati trattati). Mi sfugge però materialmente come tale documento debba essere steso, quali informazioni debba contenere. Ed allora vi chiedo, avete per caso qualche modello di DPS, sia relativo a siti web che a web application gestionali, che io possa utilizzare come riferimento? Le mie ricerche in rete sono state piuttosto infruttuose.

    Grazie infinite a tutti, vista la delicatezza del quesito proposto. Buona serata,

    Archimede

    0
Effettua l'accesso per rispondere