88 HilMed’ Protocolo de seguridad Manejo de datos Versién 1.0 Web: http://www.medsas.co ~ E-mail: info@medsas.co ~ PBX: (4) 5405960 ‘Medellin - Colombia.ACUERDO DE CONFIDENCIALIDAD ‘Toda la Informacién contenida en este informe esta disponible de manera confidencial con el tnico propésito de informar el manejo de la informacién de los usuarios del servicio de MED, por tal motivo no debe ser publicada o divulgada en parte o totalidad a terceros sin el previo consentimiento escrito de Soluciones Medicas Digitales S.A.S. ‘Web: http://www. medsas.co ~ E-mall: info@medsas.co ~ PBX: (4) 5405960 Medellin - Colombia.INTRODUCCION Con fundamento en las politicas de manejo de datos de las historias clinicas en Colombia y no desconociendo la privacidad y la no modificacién de la informacién, Soluciones Médicas Digitales MED S.A.S ha desarrollado dentro de sus estandares un protocolo que estd enfocado al transporte y custodia de las bases de datos de nuestros clientes, no obstante la empresa esté en constante investigacién y mejoras de estas debido a las amenazas permanentes del mundo de la Internet. Web: tto://www.medsas.co — E-mail: nfo@medsas.co ~ PBX: (4) 5405960 Medellin - Colombia.OBJETIVO GENERAL Disefiar y crear un protocolo de seguridad que esté acorde con los mas altos niveles del mercado actual, esto con el fin de garantizar que los datos que son custodiados en nuestros servidores estén seguros tanto de pérdida como de manipulacién por terceros. Este protocolo debe ser de conocimiento de cada uno de ios miembros de Soluciones Médicas Digitales MED S.A.S y por nuestros clientes y en conjunto velar por fa seguridad de informacién. Webs ittp://www.medsas.co ~ E-mait: info@medsas.co ~ PBX: (4) $405960 Medellin - Colombia.MED es un aplicativo que se ofrece a nuestros clientes como un Software como Servicio (SaaS, por sus siglas en inglés) Software as a Service, para este fin contamos con toda nuestra infraestructura en la nube, con esto pretendemos garantizar la mejor disponibilidad de los datos de nuestros clientes los cuales no se deben preocupar por mantener una infraestructura robusta y segura. Actualmente contamos con unos de los mejores Data Center Tier4 a nivel mundial, este tipo de DC cuentan con una arquitectura redundante en todos sus componentes de los cuales a continuacién se describ 4 Doble acometida eléctrica. 4 Doble enlace de telecomunicaciones. + Diferentes proveedores de Internet. 4 Dispositivos de redes en HA (High availability). 4 Almacenamientos de datos HA (High availability), 4 Servidores virtualizados y de facil crecimiento. Ademés de algunas de las caracteristicas mencionadas anteriormente, este Data Center cuenta con varios de estos mismos sitios con las mismas caracteristicas tal como se muestra a continuacién. (Ver imagen 1). sons. @ 0 OG wn nmen ~m@e Webs htp://www.inedsas.co ~ E-mail: info@medsas.co ~ PBX: (4) 5405960 Medellin - Colombia.Imagen 1. Chicago ~ Dallas & Norther Virginia » Londres » Hong Kong ~ Sydney Con esta configuracién nos brindan un alto nivel de servicio con unos SLA del 99.99% lo cual equivale'a un Uptime muy alto e! cual se describe en la siguiente tabla. Luego del detalle del proveedor de servicios procedemos a dar una descripcién de la infraestructura adquirida para MED. En la actualidad contamos con dos servidores con sistema operativo en Linux RedHat los cuales se mantienen con los ultimos parches de seguridad. Estos estén distribuidos tal como se muestra a continuacién, (Ver imagen 2) Webs: http://www.medsas.co ~ E-mail: nfo@medsas.co~ PBX: (4) 5405960 Medellin - Colombia.Soluciones médleas Digitales S.A.S MEDD Imagen 2. En esta podemos observar un primer servidor en la Zona desmilitarizada (DMZ) por sus siglas en inglés demilitarized zone, este tiene como funcién exponer la interface grafica a los usuarios de MED, este esté detras de un firewall que cumple las funciones de seguridad, un segundo servidor se encuentra al interior de la red LAN la funcién principal es almacenar las bases de datos de nuestros clientes por una interface interna a la cual ‘solo tiene acceso el servidor de aplicaciones, este segundo servidor no tiene exposicién hacia internet esto con el fin de evitar ataques y posibles intrusos, este tiene tareas programadas para realizar una copia de seguridad de las bases de datos por separado de todos los clientes tres (3) veces durante el dia: 06:00 a.m ~ 12:00 p.m y 06:00 p.m, luego de este proceso el backup es empaquetado y extraido de los servidores, adicional a esto el proveedor realiza una copia de todo el servidor a las 00:00 de todos los dias. Con lo anterior estamos garantizando una alta disponibilidad de los datos. Nuestra aplicacién cuenta con la funcionalidad de realizar backup manualmente la cual debe de ser ejecutada por el usuario y la custodia de esta es responsabilidad del mismo, esta base de datos tiene una encripcién con una lave de 1024 bits y solo es conocida por MED, el Web: htto://www.medsas.co ~ E-mail: info@medsas.co— PBX: (4) 5405960 Medellin - Colombia.contenido de éste backup no es legible por otro sistemas ni-por el usuario quien lo descarga. La custodia de la informacién de los clientes activos en MED se podré guardar por un periodo de veinte (20) afios. Si por algtin motivo un cliente se retira de nuestro servicio de historias clinicas, la informacién le sera entregada en un formato cvs, txt y/o Excel para su custodio en el nuevo sistema de informacién de historias clinicas. Internamente contamos con un contrato de confidencialidad el cual es de pleno conocimiento por nuestros empleados sobre trato que se le debe dar a los datos de nuestros clientes. ‘Web: htp://www.medsas.co ~ E-mail: info@medsas,co ~PBX: (4) $405960 ‘Medellin - Colombia.AUTENTICACION EN LA APLICACION El sistema de autenticacién se basa en tres datos NIT/CC, Usuario y una clave, esta ultima tiene un tratamiento de encripcién con un método MDS este es un algoritmo de reduccién criptografico de 128 bits. (Ver imagen 3) Laaex Neer Clave [5 Loom | Imagen 3. Adicional a esto estamos préximos a salir con certificados 1024 bits o 2018 bits, esto con el fin de garantizar mas seguridad a nuestro producto. JORGE IVAN RAMIREZ MEJIA Director de Proyectos MED S.A.S - Himed Solutions $.A.S Web: htto://www.rnedsas.co — E-mail: info@medsas.co ~ PBX: (4) 5405960 ‘Medellin - Colombia.