Конфіденційність, безпека та масштабованість є основними для відеодзвінка. У цьому документі пояснюється, як консультації з відеодзвінків забезпечують безпеку та конфіденційність у масштабі.
Відеодзвінок базується на 4 важливих концепціях:
- Конфіденційність – визначає зобов’язання правильно збирати, використовувати, розкривати та зберігати особисту інформацію відповідно до Закону Співдружності про конфіденційність 1988 року та Австралійських принципів конфіденційності.
- Безпека – відеодзвінки захищені від несанкціонованого доступу та використання, а дані надійні, точні та доступні для використання.
- Суверенітет даних - інформацію про пацієнта не можна передавати за кордон, як того вимагають австралійські правила конфіденційності
- Масштабованість . Відеодзвінок як національна функція є архітектурно масштабованою для обробки великої кількості відеоконсультацій без необхідності налаштування традиційної інфраструктури відеоконференцій.
Ці чотири концепції є фундаментальними для дизайну відеодзвінка. Його мережева архітектура охоплена процесами гарантії проектування, які забезпечують відповідність нових функцій і можливостей необхідним стандартам.
Резюме
Відеодзвінок створено на основі технології Web Real-Time Communications (WebRTC). Вбудований захист WebRTC використовує повністю зашифровані з’єднання .
Відеодзвінок був розроблений як цілісна екосистема телемедицини, що складається з серверів і програм, які працюють через технологію WebRTC.
Відеодзвінок healthdirect дотримується відповідного базового рівня Essential Eight Керівництва з інформаційної безпеки уряду Австралії (ISM) і Закону про перенесення та підзвітність медичного страхування ( HIPAA ) щодо вказівок щодо кібербезпеки та гарантує конфіденційність, не залишаючи цифрового сліду.
Інші платформи для відеоконсультацій зберігають деталі розмови, включно з записом розмови, на центральних серверах (зазвичай за межами Австралії), до яких має доступ постачальник відеопослуг, і це може поставити клініцистів під загрозу порушення законодавства про конфіденційність без інформованої згоди пацієнта.
Було застосовано додаткові заходи безпеки, щоб зробити систему на основі WebRTC справді безпечною та конфіденційною:
- Віртуальні кімнати, колеги та сеанси забезпечують безпечне середовище для спілкування користувачів.
- Відеодзвінок за замовчуванням не зберігає ідентифікаційну інформацію чи захищену інформацію про здоров’я.
- Сучасна мережева безпека запобігає прослуховуванню та атакам типу "людина посередині".
- Навантажувальне тестування та перевірка коду забезпечують високий рівень безпеки програми.
На цій сторінці ми пояснюємо, які кроки вживаються для того, щоб відеоконсультації були безпечними, надійними, приватними та масштабованими.
Конфіденційність, безпека та захист даних на здоровому рівні є фундаментальними для дизайну відеодзвінків
Виклик охорони
Медіа-трафік відеодзвінків WebRTC захищений 128-бітним або 256-бітним шифруванням AES між веб-браузерами. Це стандарт для служб на основі WebRTC, таких як Video Call. Однак ця безпека стосується лише однорангових викликів, а не інфраструктури системи. Кілька елементів інфраструктури в будь-якому відеодзвінку WebRTC можуть бути атаковані, і Video Call був розроблений для запобігання цим векторам атак.
Наприклад, стандартне шифрування викликів WebRTC не може зупинити зловмисника, який видає себе за користувача на будь-якому кінці виклику. Шифрування також не може запобігти захопленню сервера сигналізації, програми або ретрансляції (TURN).
Ключові заходи конфіденційності та безпеки застосовано до відеодзвінка, щоб захистити від:
- видавання себе за іншу особу для отримання незаконного доступу до онлайн-клініки для консультації з пацієнтами.
- незаконне перехоплення кимось для отримання несанкціонованого доступу до сигналізації відеодзвінка або сервера TURN.
- спостереження історії викликів третіми сторонами, які мають доступ до журналів викликів на пристрої пацієнта або на сервері моніторингу.
Модель конфіденційності та безпеки Video Call гарантує, що:
- лише авторизовані постачальники послуг та адміністратори клініки можуть обслуговувати пацієнта,
- кожна консультація пацієнта може бути проведена в приватній одноразовій відеосесії,
- одноразові відеосеанси відрізняються від постійних відеозалів (останні можуть використовуватися для внутрішніх цілей клініки),
- дані пацієнта, якими обмінюються під час відеодзвінка або у відеокімнаті, не зберігаються після закінчення консультації або, якщо клініка вирішить зберегти їх, зберігаються в зашифрованому вигляді з ключами розшифровки, доступними лише клініці,
- сервери сигналізації та ретрансляції працюють лише із зашифрованим медіа-трафіком,
- дотримуються найсучасніших установок і процедур безпеки, щоб інфраструктуру сервера не можна було зламати з метою видати себе за клініциста або спостерігати за консультацією, а також
- для забезпечення максимальної безпеки програми проводиться однорангова перевірка коду для всіх програмних виправлень.
Безпека даних
Усі дані, а не лише живий відеодзвінок, зашифровані.
Video Call надійно зберігає інформацію про постачальника послуг і паролі в Amazon RDS ( служба реляційної бази даних ). Паролі передаються за допомогою TLS ( Transport Layer Security ) і ніколи не зберігаються у вигляді звичайного тексту. Відеодзвінок зберігає лише хешовані та засолені хеші паролів у RDS, що відповідає поточним галузевим стандартам автентифікації та авторизації користувачів.
Відеодзвінок не зберігає жодної особистої чи захищеної інформації про здоров’я.
Безпека мережі
Усі аудіо- та відеодані та всі інші дані, якими обмінюються під час живого відеодзвінка, зашифровані.
Video Call використовує найсучасніші механізми безпеки для всіх з’єднань, а також для реалізації WebRTC. Усі з’єднання між браузером і сервером додатків, сервером сигналізації або STUN/TURN зашифровані й автентифіковані TLS із надійною криптографією та належними перевірками сертифікатів. Захист TLS для узгодження STUN/TURN гарантує, що перенаправлення відеозв’язку не відбудеться.
Безпека зв’язку WebRTC покращується завдяки тому, що сервер сигналізації сприяє криптографічному налаштуванню зв’язку між браузерами: браузери безпечно встановлюють спільний ключ для кожного каналу даних.
Безпека програми
Як розподілена система, усі компоненти екосистеми Video Call захищені від атак.
- Фаззинг протоколу – оскільки сервер сигналізації використовує настроюваний протокол для транспортування повідомлень, його було піддано фаззеру протоколу, щоб переконатися, що немає шляхів коду, які призводять до непередбачуваної або небажаної поведінки. Реалізація відеодзвінка в браузері була піддана такому ж фуззингу протоколу.
- Тестування на проникнення (перевірка) — сервер додатків і система моніторингу дзвінків пройшли перевірку на проникнення для захисту від вторгнень. Пен-тестування проводиться регулярно.
- Безпека веб -переглядача – WebRTC підключає однорангові браузери. Розпізнавання протоколу використовується для перевірки реалізації браузера Video Call.
- Моніторинг безпеки – спілкування відбувається тільки в одному напрямку; від браузерів до монітора викликів. Браузери надсилають інформацію лише на монітор викликів; браузери не можуть отримувати або отримувати будь-яку інформацію від монітора викликів. Монітор дзвінків пройшов перевірку пером і розмитий, щоб захистити його від поширених загроз.
Конфіденційність
Video Call відповідає політиці конфіденційності уряду Австралії.
Інфраструктура та послуги відеодзвінків відповідають вимогам Закону Співдружності про конфіденційність 1988 року, Принципам конфіденційності Австралії (розділ 8) , що стосуються суверенітету даних, і, де це можливо, Посібнику з інформаційної безпеки уряду Австралії (ISM) .
З’єднання для відеодзвінків здійснюються одноранговими (від браузера до браузера без проходження центральної відеоінфраструктури). Дані, якими обмінюються фактичні дзвінки між учасниками, доступні лише в розшифрованому вигляді для кінцевих точок, які беруть участь у дзвінку. Усі інші посередники, які переадресовують виклик, можуть бачити лише зашифровані дані. Це стосується аудіо- та відеоданих, а також усієї інформації, якою обмінюються під час сеансу, наприклад повідомлень чату та документів. Відеодзвінки за замовчуванням не зберігають спільні дані дзвінків.
Пацієнти потрапляють в зону очікування через веб-сайт надійного постачальника послуг і чекають у власній приватній відеозалі. Наприклад, якщо постачальник послуг запізнюється через те, що консультація з іншим пацієнтом затягується, пацієнти не зіткнуться один з одним. Кімната, створена за допомогою відеодзвінка, видаляється після консультації.
Пацієнтів може оглянути будь-який постачальник послуг або адміністратор клініки, який має доступ до клініки. Авторизація визначається унікальним логіном і призначеними ролями на платформі. Адміністратори клініки відповідають за надання такого доступу своєму персоналу.
За замовчуванням відеодзвінок не зберігає ідентифікаційну інформацію про пацієнта. Пацієнти не залишають цифрового сліду на платформі.
Суверенітет даних
Якщо австралійські дані або керування даними переміщуються в офшори, вони більше не контролюються в Австралії та підпадають під дію законів іноземної країни або практики іноземної корпорації. Доступ і контроль австралійських даних іноземними компаніями не визнає існуючих прав австралійців на належний захист їх конфіденційності та даних.
Тому конфіденційні дані про громадян Австралії повинні зберігатися в сертифікованій хмарі ASD ( Австралійське управління сигналів ), яке може гарантувати, що інформація недоступна іноземним організаціям.
Відеодзвінок використовує суворий підхід до розміщення лише в хмарі AWS ( веб-сервіси Amazon ), яка була сертифікована IRAP ASD ( Програма зареєстрованих оцінювачів інформаційної безпеки ), яка забезпечує впевненість у тому, що AWS має відповідні засоби контролю, необхідні ISM ( Керівництво з інформаційної безпеки уряду Австралії ).
Відеодзвінок може підтвердити, що для австралійських користувачів:
- особисті дані про здоров’я використовуються виключно в межах правової юрисдикції Австралії,
- зберігання всіх даних обмежено наземними центрами обробки даних, а також
- протоколи та системи безпеки зберігаються в Австралії та відповідають вимогам ASD.
Масштабованість
- Однорангові дзвінки відбуваються безпосередньо з браузера в браузер, а також між постачальниками медичних послуг та їхніми клієнтами. Це дозволяє уникнути проміжних відеосерверів і дозволяє здійснювати необмежену кількість паралельних викликів.
- Іноді однорангові виклики застрягають за корпоративними брандмауерами. Для цього використовуються сервери ретрансляції (STUN/TURN), які пересилають потоки аудіо, відео та даних одержувачам за межі корпоративних кордонів. Хоча ретрансляційні сервери можуть витримувати значне навантаження до насичення, важливо розгортати їх у масштабований спосіб. Відеодзвінок розгорнуто в AWS Cloud, тому сервери ретрансляції відстежуються, і якщо виявляється високе навантаження, створюються додаткові сервери ретрансляції, які прозоро візьмуть на себе додаткову роботу ретрансляції. Це називається «балансуванням навантаження».
- Сервери сигналізації задіяні в налаштуванні відеодзвінків, тому особлива увага приділяється розгортанню масштабованої інфраструктури сигналізації. На серверах сигналізації відеодзвінків було проведено навантажувальне тестування, і вони змогли підтримувати сотні тисяч паралельних викликів. Крім того, мережу сигнальних серверів було розгорнуто в різних місцях AWS, щоб зменшити затримку між кінцевими точками відеовиклику та сигнальним сервером, вибравши найближчий сигнальний сервер для забезпечення сигналізації виклику.
- Веб-додаток розповсюджується у веб-браузерах із сервера додатків. Оскільки велика кількість користувачів починає використовувати відеодзвінок, сервери веб-додатків також можуть стати дуже зайнятими. У Video Call реалізовано балансування навантаження для серверів додатків.
Відеодзвінок розроблено для масштабування. Уся інфраструктура баз даних і серверів була розроблена з використанням архітектури мікросервісів без збереження стану, що дозволяє кожному компоненту бути відмовостійким і здатним до індивідуального горизонтального масштабування відповідно до навантаження на кожну службу в будь-який момент часу.
Підтримка вашої організації
- На основі WebRTC . Компоненти WebRTC реалізовано в Chrome, Firefox і Safari з проектів з відкритим вихідним кодом під керівництвом та оглядом багатьох експертів із веб-індустрії та телекомунікаційної безпеки.
- Створено для охорони здоров’я – середовище відеодзвінків регулярно перевіряється та оптимізується для охорони здоров’я. Вразливості інших комунікаційних служб у Video Call обмежені.
- Повністю доступ через Інтернет – Video Call оновлено для роботи з останніми версіями Chrome, Firefox і Safari (планується підтримка Microsoft Edge, коли вона переходить на механізм blink). Ці браузери запускають регулярні оновлення системи безпеки, тому немає потреби чекати оновлень для відеодзвінка.
- Програма, обмежена веб-переглядачем. Відеодзвінок працює безпечно у веб-браузерах, обмежуючи його здатність впливати на робоче середовище комп’ютера або мобільний пристрій, що використовується, завдяки стандартним заходам безпеки, реалізованим у веб-браузерах.
- Безпека мережі . Відеодзвінок потребує лише доступу до кількох стандартних протоколів HTTPS і захищених медіа-портів із комп’ютера, ноутбука чи мобільного пристрою. Вони детально описані на сторінці « Основи мережі » в Центрі ресурсів.
- Служби веб-проксі – веб-трафік для відеодзвінків використовує існуючі служби веб-проксі та політики безпеки.
- Профілі якості дзвінка - установивши профілі якості відеодзвінка, клініцисти можуть знизити вимоги до медіа для мережевих з’єднань, щоб залишатися в певних межах.
- Доступність . Відеодзвінок прагне забезпечити універсальний доступ для всіх користувачів, щоб усі постачальники послуг та їхні пацієнти мали найкращий досвід. Для підтримки незрячих і слабозорих користувачів веб-додаток доступний для програм зчитування з екрана, а також можна використовувати інструменти масштабування. Відеодзвінок також можна використовувати для тристоронніх і чотиристоронніх дзвінків, щоб сурдоперекладач міг приєднатися до відеосеансу в реальному часі та підтримувати глухого користувача мовою жестів ASLAN.