Traitement de données dans le Datacenter

Prise de conscience des thèmes liés à la protection des données

Les données des patients font partie de celles qui doivent être particulièrement protégées. Assurer leur protection comme il se doit relève de la responsabilité du médecin ou du cabinet médical. Cette question prend une nouvelle importance avec la numérisation et l'externalisation croissantes des données des patients vers les centres de données externes. Le règlement européen relatif à la protection des données (RGPD), ainsi que la nouvelle loi suisse sur la protection des données, renforcent également la prise de conscience de la protection des données. À cela s’ajoute l’interconnexion numérique croissante des acteurs du secteur de la santé qui rend les ordinateurs et les appareils plus vulnérables aux attaques et à l’utilisation frauduleuse des données.

Les données des patients dans le cloud

Les données sont de plus en plus souvent stockées et traitées dans des centres de données externes, que l’on appelle « Cloud ». Même si la méfiance à l'égard du cloud est encore très répandue, il présente de nombreux avantages : Premièrement, il peut réduire la complexité du système informatique du cabinet médical ; Le fonctionnement du logiciel (serveur) et la sauvegarde des données relèvent désormais de la responsabilité d'Axonlab et plus du cabinet médical. Deuxièmement, notre centre de donnée (Datacenter) se protège de multiples manières professionnelles contre le piratage et la perte de données, ce qui réduit au maximum les risques pour les cabinets médicaux où la sécurité des données est parfois insuffisante. Et troisièmement, dans un monde toujours plus mobile et flexible, l’accès aux données à partir de n’importe quel endroit est un avantage certain des services proposés grâce au cloud.

En tant que médecin, vous confiez à des tiers des données dont vous êtes seul responsable (sous-traitance de données). Axonlab est conscient de cette responsabilité et a pris tous les mesures nécessaires pour que vos données soient en sécurité.

Un centre de données professionnel et sécurisé

Les données sont traitées dans un centre de données professionnel et certifié en Suisse (ISO 27001, ISAE 3402 type 2, conforme FINMA, niveau Tier 3).

La certification ISO 27001 indique que le centre de données répond aux normes internationales de sécurité pour la protection des données sensibles. La certification ISO garantit que l'exploitant a pris toutes les mesures pertinentes et nécessaires pour une sécurité totale des données. Il s'agit notamment de la protection de la sécurité des personnes, la sécurité physique, la sécurité des systèmes et des réseaux, la gestion de la continuité des opérations et la conformité de l'entreprise.

Figurent notamment parmi les mesures concrètes chez Axenita ainsi que dans le Datacenter :

• Des contrôles stricts d'accès.
• Les accès aux systèmes sont enregistrés à tout moment dans un journal.
• Des processus définis et mis en pratique pour remédier aux erreurs et aux défauts (gestion des risques, gestion des incidents, gestion des problèmes, gestion des changements, gestion des urgences).
• Un fonctionnement redondant dans le centre de données : Tous les éléments essentiels sont redondants (dupliqués), c'est-à-dire qu'en cas de panne d'un appareil, le fonctionnement peut se poursuivre sur le second sans interruption notable. De même, des opérations de maintenance peuvent être effectuées sans interruption la plupart du temps.
• À l'exception du processus de sauvegarde défini, tout transfert de données en dehors de la zone sécurisée est exclu.
• Tous les serveurs fonctionnent sur des serveurs Linux renforcés.
• Une sécurité des données élevée est déjà prévue dans l’architecture logicielle par un « encapsulage » de l’application.
• Connexion sécurisée grâce à une authentification à deux facteurs et un niveau de complexité minimale pour les mots de passe.
• Fonctionnalités WAF (pare-feu d’application Web, selon OWASP TOP10).
• Chiffrement du transport de données (certificats SSL ; https://; ftps:// - TLS 1.2/TLS 1.3).
• Sécurisation de l’accès à distance par la mandante au Datacenter par le biais d’un hôte de saut SSH dédié, authentification des clés, certificats et authentification multifactorielle.
• L’accès d’utilisateurs privilégiés/d’administrateurs à Axenita se fait par le biais d’un système IAM dédié avec concept de rôles et authentification multifactorielle.

Sauvegarde : des données enregistrées trois fois

À la différence des solutions logicielles locales, vous n'avez plus à vous occuper de la sauvegarde.

Vos données sont sécurisées de façon multiple par le centre de données :

• Les données dans Axenita dans le centre de données sont enregistrées sur un système de stockage séparé, séparément des données de production, grâce à un logiciel de sauvegarde correspondant.
• Une sauvegarde géoredondante supplémentaire des données est située dans un autre endroit.
• Tous vos documents se trouvent en plus sur un système de stockage d'objets géoredondant à haute disponibilité dans lequel le système WORM est activé. Cela signifie que les documents ne peuvent être ni effacés, ni écrasés, ni modifiés et qu'ils sont ainsi également protégés contre tout cryptogiciel et autre rançongiciel.
• Historique des accès et de toutes les modifications des données.

Sécurité contractuelle

Comme indiqué précédemment, le cabinet médical confie des données sensibles à des tiers dont il demeure toutefois responsable. Il se crée alors une sous-traitance de données qui doit être réglementée dans un contrat correspondant. Pour que vous soyez juridiquement protégé en tant que médecin / cabinet médical, Axonlab met à disposition des contrats adaptés à la nouvelle législation en matière de protection des données.

• Accord de sous-traitance de données, y compris mesures techniques et organisationnelles. Vous transférez ainsi à Axonlab le traitement responsable de vos données et vous vous protégez juridiquement.
• De son côté, Axonlab transfère également le traitement responsable des données des patients à des sociétés tierces, comme le centre de données (Datacenter) où vos données sont traitées et enregistrées, sur la base d'un accord de sous-traitance de données.