Политика информационной безопасности и защиты данных
Обеспечение конфиденциальности и целостности медицинских данных — наш ключевой приоритет. Мы предлагаем гибкие модели обработки данных, соответствующие требованиям регуляторов и корпоративным стандартам безопасности.
Режим Zero-Log (Обработка без сохранения)
Для организаций с повышенными требованиями к приватности мы предлагаем режим Zero-Log. В этом режиме входящие данные обрабатываются в оперативной памяти без сохранения на дисках.
Результаты генерации хранятся в кэше с коротким сроком жизни (TTL) исключительно для обеспечения асинхронной выдачи ответа, после чего безвозвратно удаляются. Ответственность за долговременное хранение результатов ложится на сторону клиента (МИС/ЛИС).
Подробнее об архитектуре интеграции: /b2b/api/.
Политика хранения данных
- Входящие данные: в режиме Zero-Log не сохраняются. В стандартном режиме — хранение согласно договору.
- Результаты обработки: временное хранение для обеспечения асинхронного доступа, затем удаление.
- Метаданные: хранение технических логов (без чувствительных данных) для мониторинга доступности и биллинга.
Параметры хранения настраиваются индивидуально в рамках договора.
Управление доступом и аудит
Мы реализуем комплекс организационных и технических мер защиты:
- Ролевая модель доступа (RBAC): строгое разграничение прав доступа на основе ролей.
- Журналы аудита: фиксация всех действий с системой (кто, когда, какой ресурс запрашивал).
- Управление жизненным циклом: регламентированные процедуры предоставления и отзыва доступов.
- Реагирование на инциденты: согласованные процессы реагирования на инциденты информационной безопасности.
Модель угроз и меры противодействия
Мы проактивно работаем с рисками:
- Утечка данных: минимизация хранимых данных, шифрование каналов связи (TLS 1.2+).
- Несанкционированный доступ: аутентификация API-ключей, белые списки IP-адресов.
- Человеческий фактор: автоматизированные проверки на наличие персональных данных в логах.
- Ошибки интеграции: валидация входных данных, изолированные среды (Тестовая/Продуктивная).
В рамках пилота мы проводим совместную оценку рисков и согласовываем схему потоков данных.
Комплаенс и документация
Для департаментов информационной безопасности и юридических служб мы предоставляем полный пакет документов (архитектура решения, регламенты обработки данных, шаблон договора).