技術專欄
本文作者: 游証硯 台灣思科首席資安顧問
隨著醫療服務行業正在邁向患者和醫護人員的新溝通時代,愈來愈多人正在體驗新的溝通方式,與醫療服務提供者建立新的聯繫管道。無論是利用遠端視訊諮詢醫生及問診,向醫療服務提供者發送快速問題,或是使用遠端問診,都會產生一定程度的疑問:我提供給醫療提供者的資訊安全嗎?Cisco Webex 提供強大的加密、合規能見度與控制機制,認真看待客戶的資料安全性,致力提供簡單,可擴展的世界一流視訊協作系統,強調滿足於全球相關醫療資訊安全法規要求,如HIPAA(Health Insurance Portability and Accountability Act)。
HIPAA(Health Insurance Portability and Accountability Act)是美國的一項醫療資訊法規,做為使用、披露和保護個人可識別的健康資訊建立合法處理的要求。適用於醫生、診所、醫院、健康保險公司和其他蒐集患者健康資訊(PHI)的醫療資訊保護(Protected Health Information;PHI)公司。
Cisco Webex服務(團隊、會議、控制中心和針對開發人員的Webex)進行了HIPAA自我評估。此自我評估基於資訊安全保護責任要求,其中Cisco Webex服務平台負責維護客戶資訊,包括機密性、隱私和安全性。根據HIPAA醫療資訊安全法規規則,Cisco Webex服務實施相關的所有資訊安全控制規範。這些分為三類安全控制措施–營運安全、實體安全和技術控制;說明如下:
一、營運安全:操作管理涵蓋與Cisco Webex平台管理相關國際標準;包含且不限於安全管理流程、營運團隊安全職責、確保資料安全、事件報告程序及安全定期評估等。Cisco Webex雲服務安全團隊建立與Webex服務控制的設計和操作相關的正式策略、標準和程序流程。這些政策和程序流程可防止未經授權使用Webex資料,確保報告和管理潛在的安全問題,並通過災難等應變計劃來保護Webex資訊。
二、實體安全:實體安全涵蓋了對Webex資訊系統的實體訪問及使用(有限和授權)。 為了滿足該標準,Cisco Webex服務使用Cisco所擁有的資料中心,託管資料中心或雲端服務提供商(CSP)。 每個資料中心都經過ISO / IEC 27001:2013認證,以確保該位置具有設施安全的計劃,使用控制和確認、維護記錄,防止電源故障和其他公用事業中斷的保護。思科還與每個雲端服務提供商CSP都有業務關聯協議(Business Associate Agreement;BAA)。作為全球視訊協作服務平台Cisco Webex服務託管在多個位置,可確保單個資料中心不因故障導致資料損毀或功能喪失。
三、技術控制:
1. 涵蓋了Webex服務的國際級技術控制標準及使用,例如存取和審核控制、完整性、身份驗證和傳輸安全性。Webex將使用者的身份區分為「真實身份」和「數位身份」。對於每個使用者,Cisco Webex服務都會產生一個隨機的128位通用唯一標識碼(UUID),即使用者的Webex數位身份。同樣的,對於企業本身,Cisco Webex服務利用隨機的128位組織ID為每個企業的數位身份。然後這些數位身份會在訊息路由(message routing)和雲平台內部查詢(cloud internal inquires)等所有可能的地方使用。
2. 使用傳輸層安全性(Transport Layer Security;TLS)將使用Webex服務時傳輸的資料從客戶端設備加密到Cisco Webex服務雲平台,並傳輸Cisco Webex服務中的所有媒體,例如語音,視訊和桌面共享。使用安全即時傳輸協議(Secure Real-Time Transport Protocol;SRTP)。不僅內容被加密,而且端到端的加密服務還有助於防止資料在傳輸過程中以未經授權的方式被篡改或破壞。還有一些附加的安全策略可以啟用使用者和企業的隱私選擇,例如單一登錄(Single-sign-on)、目錄同步(Directory synchronization)、設備權限(Device permissions)等。
3. 有關Webex 平台未來可能性的技術弱點,由Cisco專屬的產品安全應變團隊(Product Security Incident Response Team);不定時的針對Webex 安全測試和發佈相關弱點及修補修正策略,並以各種方式通知使用者修正。有關Cisco Webex服務的安全保護標準的詳細說明,請查閱Cisco HIPPA合規性白皮書。
網際網路世界中人人享有資料隱私權。無論是患者、醫生、醫護人員還是保險公司,保護個人資料都至關重要。Cisco Webex服務通過採用遵循安全性、隱私性、機密性、可用性和完整性的策略和準則,讓使用者在使用視訊高速、便利下亦可安全的保護資料。
有關思科如何通過各種技術保護客戶資訊的更多信息,請參考Cisco Trust Center。歡迎來到視訊協作無限可能的新世界。
Cisco Trust Center:https://www.cisco.com/c/en/us/about/trust-center.html
