Come viene gestita la sicurezza dei dati da OneDoc?

I dati medici sono sensibili. Nessuno vuole vedersi rubare o diffondere online il proprio numero AVS, i risultati dei test o qualsiasi altro dato che potrebbe essere utilizzato per scopi medici. Garantire la protezione di questi dati è quindi di fondamentale importanza. Ma cosa fa OneDoc per proteggere questi dati?

Abbiamo chiesto ad Alexandre Curreli e Florian Alonso, responsabili del nostro team di sviluppo e sicurezza, di spiegarci come viene gestita la sicurezza dei dati in OneDoc.

La sicurezza dei dati in OneDoc è gestita da un team di dieci persone e può essere riassunta in 6 pilastri, come spiega Alexandre Curreli, Chief Technical Officer (CTO) e co-fondatore di OneDoc:

Dati criptati end-to-end in Svizzera

“Tutti i dati medici di OneDoc sono archiviati esclusivamente in Svizzera in forma criptata, così come i trasferimenti di dati”, spiega Alexandre Curreli. La crittografia end-to-end significa che i dati possono essere letti solo dalle persone che devono accedervi. L’archiviazione dei dati in Svizzera fornisce un ulteriore controllo di sicurezza, grazie al marchio”Swiss made software, hosted in Switzerland” ed è necessario per rispettare la nLPD (nuova legge sulla protezione dei dati).

Aggiornamenti regolari

Gli aggiornamenti vengono eseguiti regolarmente da OneDoc per evitare potenziali violazioni della sicurezza: “Abbiamo aggiornamenti ogni settimana e alcune settimane addirittura ogni giorno.”, spiega Florian.

ISO 27001 e OCPD

Dietro questi termini, che possono sembrare barbari, si nascondono due certificazioni di protezione dei dati. L’ISO 27001 contiene una serie di punti di controllo che devono essere rispettati per garantire la protezione dei dati. Se i requisiti sono soddisfatti, l’Organizzazione internazionale per la standardizzazione (ISO) rilascia la certificazione. Dal suo lato, l’OCPD certifica che OneDoc è conforme alla legge svizzera sulla protezione dei dati.

Formazione dei dipendenti

Una buona protezione dei dati significa anche una buona formazione dei dipendenti. “Tutti i dipendenti ricevono una formazione sulle buone pratiche di sicurezza”. Come ti abbiamo detto qualche settimana fa, le vulnerabilità della sicurezza spesso provengono dall’interno dell’azienda.

Pen test regolari

I test di penetrazione vengono eseguiti regolarmente da esperti di sicurezza per garantire l’affidabilità della protezione dei dati. In pratica, gli hacker “simpatici” cercheranno di entrare nel sistema OneDoc per estrarre dati confidenziali “Finora nessuno ci è riuscito!” si congratula Alexandre Curreli.

Security by design

“La sicurezza è un aspetto che teniamo sempre presente” ci dice Florian Alonso, “Sia nel team tecnico che nel resto dell’azienda”. La sicurezza è sempre parte del processo di sviluppo e ogni sforzo viene fatto per garantire la migliore sicurezza possibile.

Covid, una sfida anche per la sicurezza dei dati

Quando chiediamo ad Alexandre e Florian qual è stata la sfida più grande che hanno affrontato in OneDoc, non esitano: “Chiaramente Covid, dove abbiamo dovuto sviluppare un modulo di vaccinazione in poche settimane per renderlo disponibile ai cantoni.” In questi casi, è lecito chiedersi come si possa garantire la sicurezza quando il tempo a disposizione è così poco. Alexandre Curreli spiega che la chiave è di mantenere le buone pratiche e pensare alla sicurezza durante la programmazione e sempre ben verificare.