88 HilMed’
Protocolo de seguridad
Manejo de datos
Versién 1.0
Web: http://www.medsas.co ~ E-mail: info@medsas.co ~ PBX: (4) 5405960
‘Medellin - Colombia.ACUERDO DE CONFIDENCIALIDAD
‘Toda la Informacién contenida en este informe esta disponible de manera
confidencial con el tnico propésito de informar el manejo de la
informacién de los usuarios del servicio de MED, por tal motivo no debe
ser publicada o divulgada en parte o totalidad a terceros sin el previo
consentimiento escrito de Soluciones Medicas Digitales S.A.S.
‘Web: http://www. medsas.co ~ E-mall: info@medsas.co ~ PBX: (4) 5405960
Medellin - Colombia.INTRODUCCION
Con fundamento en las politicas de manejo de datos de las historias
clinicas en Colombia y no desconociendo la privacidad y la no modificacién
de la informacién, Soluciones Médicas Digitales MED S.A.S ha
desarrollado dentro de sus estandares un protocolo que estd enfocado al
transporte y custodia de las bases de datos de nuestros clientes, no
obstante la empresa esté en constante investigacién y mejoras de estas
debido a las amenazas permanentes del mundo de la Internet.
Web: tto://www.medsas.co — E-mail: nfo@medsas.co ~ PBX: (4) 5405960
Medellin - Colombia.OBJETIVO GENERAL
Disefiar y crear un protocolo de seguridad que esté acorde con los mas
altos niveles del mercado actual, esto con el fin de garantizar que los
datos que son custodiados en nuestros servidores estén seguros tanto de
pérdida como de manipulacién por terceros.
Este protocolo debe ser de conocimiento de cada uno de ios miembros de
Soluciones Médicas Digitales MED S.A.S y por nuestros clientes y en
conjunto velar por fa seguridad de informacién.
Webs ittp://www.medsas.co ~ E-mait: info@medsas.co ~ PBX: (4) $405960
Medellin - Colombia.MED es un aplicativo que se ofrece a nuestros clientes como un Software
como Servicio (SaaS, por sus siglas en inglés) Software as a Service, para
este fin contamos con toda nuestra infraestructura en la nube, con esto
pretendemos garantizar la mejor disponibilidad de los datos de nuestros
clientes los cuales no se deben preocupar por mantener una
infraestructura robusta y segura.
Actualmente contamos con unos de los mejores Data Center Tier4 a nivel
mundial, este tipo de DC cuentan con una arquitectura redundante en
todos sus componentes de los cuales a continuacién se describ
4 Doble acometida eléctrica.
4 Doble enlace de telecomunicaciones.
+ Diferentes proveedores de Internet.
4 Dispositivos de redes en HA (High availability).
4 Almacenamientos de datos HA (High availability),
4 Servidores virtualizados y de facil crecimiento.
Ademés de algunas de las caracteristicas mencionadas anteriormente,
este Data Center cuenta con varios de estos mismos sitios con las mismas
caracteristicas tal como se muestra a continuacién. (Ver imagen 1).
sons. @
0 OG wn nmen
~m@e
Webs htp://www.inedsas.co ~ E-mail: info@medsas.co ~ PBX: (4) 5405960
Medellin - Colombia.Imagen 1.
Chicago
~ Dallas
& Norther Virginia
» Londres
» Hong Kong
~ Sydney
Con esta configuracién nos brindan un alto nivel de servicio con unos SLA
del 99.99% lo cual equivale'a un Uptime muy alto e! cual se describe en
la siguiente tabla.
Luego del detalle del proveedor de servicios procedemos a dar una
descripcién de la infraestructura adquirida para MED.
En la actualidad contamos con dos servidores con sistema operativo en
Linux RedHat los cuales se mantienen con los ultimos parches de
seguridad. Estos estén distribuidos tal como se muestra a continuacién,
(Ver imagen 2)
Webs: http://www.medsas.co ~ E-mail: nfo@medsas.co~ PBX: (4) 5405960
Medellin - Colombia.Soluciones médleas Digitales S.A.S MEDD
Imagen 2.
En esta podemos observar un primer servidor en la Zona desmilitarizada
(DMZ) por sus siglas en inglés demilitarized zone, este tiene como funcién
exponer la interface grafica a los usuarios de MED, este esté detras de un
firewall que cumple las funciones de seguridad, un segundo servidor se
encuentra al interior de la red LAN la funcién principal es almacenar las
bases de datos de nuestros clientes por una interface interna a la cual
‘solo tiene acceso el servidor de aplicaciones, este segundo servidor no
tiene exposicién hacia internet esto con el fin de evitar ataques y posibles
intrusos, este tiene tareas programadas para realizar una copia de
seguridad de las bases de datos por separado de todos los clientes tres
(3) veces durante el dia: 06:00 a.m ~ 12:00 p.m y 06:00 p.m, luego de
este proceso el backup es empaquetado y extraido de los servidores,
adicional a esto el proveedor realiza una copia de todo el servidor a las
00:00 de todos los dias. Con lo anterior estamos garantizando una alta
disponibilidad de los datos.
Nuestra aplicacién cuenta con la funcionalidad de realizar backup
manualmente la cual debe de ser ejecutada por el usuario y la custodia
de esta es responsabilidad del mismo, esta base de datos tiene una
encripcién con una lave de 1024 bits y solo es conocida por MED, el
Web: htto://www.medsas.co ~ E-mail: info@medsas.co— PBX: (4) 5405960
Medellin - Colombia.contenido de éste backup no es legible por otro sistemas ni-por el usuario
quien lo descarga.
La custodia de la informacién de los clientes activos en MED se podré
guardar por un periodo de veinte (20) afios. Si por algtin motivo un cliente
se retira de nuestro servicio de historias clinicas, la informacién le sera
entregada en un formato cvs, txt y/o Excel para su custodio en el nuevo
sistema de informacién de historias clinicas.
Internamente contamos con un contrato de confidencialidad el cual es de
pleno conocimiento por nuestros empleados sobre trato que se le debe
dar a los datos de nuestros clientes.
‘Web: htp://www.medsas.co ~ E-mail: info@medsas,co ~PBX: (4) $405960
‘Medellin - Colombia.AUTENTICACION EN LA APLICACION
El sistema de autenticacién se basa en tres datos NIT/CC, Usuario y una
clave, esta ultima tiene un tratamiento de encripcién con un método MDS
este es un algoritmo de reduccién criptografico de 128 bits.
(Ver imagen 3)
Laaex
Neer
Clave
[5 Loom |
Imagen 3.
Adicional a esto estamos préximos a salir con certificados
1024 bits o 2018 bits, esto con el fin de garantizar mas seguridad a
nuestro producto.
JORGE IVAN RAMIREZ MEJIA
Director de Proyectos
MED S.A.S - Himed Solutions $.A.S
Web: htto://www.rnedsas.co — E-mail: info@medsas.co ~ PBX: (4) 5405960
‘Medellin - Colombia.