Notatnik Medyczny

Bezpieczeństwo

Notatnik jest projektowany z myślą o minimalizacji ryzyka, ochronie danych wrażliwych i zapewnieniu audytowalności procesu (proweniencja, wersjonowanie notatek).

Zasady bezpieczeństwa

  • Minimalizacja danych i pseudonimizacja treści tekstowych przed zewnętrznym przetwarzaniem AI, w miarę możliwości.
  • Separacja organizacji i kontrola dostępu do zasobów.
  • Rejestrowanie zdarzeń administracyjnych i operacyjnych.

Kontrola dostępu

  • Rejestracja z weryfikacją e-mail.
  • Hasła: nowoczesne algorytmy skrótu, minimalna długość 10 znaków.
  • Ochrona brute-force: rate limiting dla logowania i rejestracji.
  • Ochrona anty-bot przy rejestracji i logowaniu.
  • Trial wymaga potwierdzenia e-mail oraz ręcznego zatwierdzenia przez administratora.
  • Bezpieczne sesje użytkowników i ograniczenie dostępu do autoryzowanych funkcji.

Ochrona danych

  • Szyfrowanie wybranych danych i map pseudonimizacji.
  • Szyfrowane połączenia w środowisku produkcyjnym.
  • Nagłówki bezpieczeństwa ograniczające typowe ryzyka przeglądarkowe.

Przetwarzanie i infrastruktura

  • Preferowane jest przetwarzanie realizowane przez Usługodawcę lub w trybie on-premise.
  • Publiczny dostęp jest ograniczony do uwierzytelnionych użytkowników i audytowanych obszarów administracyjnych.
  • Jakość i koszt pracy są kontrolowane przez profile analizy skonfigurowane przez administratora usługi.
  • Wybrane zadania wrażliwe mogą być realizowane w infrastrukturze kontrolowanej przez Usługodawcę, aby ograniczać przekazywanie danych poza wdrożenie.
  • Opcjonalne użycie zewnętrznych usług AI jest kontrolowane konfiguracją i może być wyłączone.
  • Transkrypcja audio może być realizowana przez kontrolowane usługi przetwarzania lub zewnętrznego dostawcę, zależnie od konfiguracji wdrożenia.
  • Pliki źródłowe i metadane są przechowywane w zabezpieczonych warstwach infrastruktury.

Backupy i odtwarzanie

  • Automatyczne kopie zapasowe bazy danych i plików.
  • Backupy produkcyjne są zapisywane na oddzielnym, szyfrowanym wolumenie poza katalogiem aplikacji.
  • Retencja backupów do 30 dni, zależnie od typu kopii i konfiguracji wdrożenia.
  • Szyfrowanie archiwów backupów i weryfikacja integralności przed usunięciem jawnych snapshotów.

Reakcja na incydenty

Posiadamy procedury wykrywania i obsługi incydentów. W przypadku naruszenia ochrony danych osobowych będziemy działać zgodnie z RODO, w tym powiadamiając Użytkowników i właściwe organy, gdy jest to wymagane.

Zgłaszanie podatności

Jeśli zauważysz lukę bezpieczeństwa, zgłoś ją na konrad@radioonkolog.pl.

Bezpieczeństwo i prywatność | Notatnik Medyczny