Arvioinnissa on käytetty sosiaali- ja terveydenhuollon hankintojen tietoturva- ja tietosuojavaatimuskantaa7 sekä Uniperin ja SmartGroupin toimittamaa vastausmateriaalia1.
Vastausmateriaalin perusteella valmistaja täyttää tietoturva- ja tietosuojavaatimukset. Valmistaja on suorittanut sisäisen HIPAA- tarkastuksen ja SOC 2 -sertifikaatti on tekeillä.
Riskienhallinta ja tietoturvatestaus
Valmistaja on suorittanut tietoturvariskien arvioinnin. Yrityksellä on käytössä tietoturvariskien testausprosessi.
Lokienhallinta
Valmistajalla on lokienhallintaprosessit palvelun toiminnan seuraamista, tapahtumien auditointia ja mahdollisten hyökkäyksien havaitsemista varten. Lisäksi valmistajalla on käytössä automaattiset hälytykset havaituista ongelmista.
Käyttäjien hallinta
Salasanojen kompleksisuusvaatimukset ovat riittävät. Palvelussa on tuki monivaiheiselle tunnistautumiselle. Kirjautumisratkaisuna palvelu käyttää pilvipohjaista tunnistuspalvelun tarjoajaa. Identiteetin federointi on mahdollista ottaa käyttöön, jos asiakas tätä tarvitsee.
Laitteisto
Nähdäksemme palvelun käyttöön ei liity merkittäviä tietoturvariskejä laitteiston osalta. Palvelua voidaan käyttää myös valmistajan Android-pohjaisen TV-sovittimen kautta. Tähän sovittimeen on suoritettu tunkeutumistestaus.
Tietosuoja
Palvelulle on tehty tietosuojavaikutusten arviointi, joka sisältää tietosuojariskin arvioinnin.
Palvelun käyttäjien henkilötietoja säilytetään ETA-alueella ja tiedot tallennetaan salattuna. Lisäksi riskejä vähennetään pseudonymisoimalla tietoja mahdollisuuksien mukaan.
Uniper käyttää Zoom-palvelua videotapaamisratkaisuna. Zoom-palvelun suojakeinot ovat riittävät, joten Zoomin käyttö ei aiheuta ongelmia tietosuojan suhteen. Jos organisaatio on ottanut käyttöön videotapaamisten nauhoittamisen, nämä tallenteet tallennetaan salattuna Zoomin pilvipalvelimille. Lisäksi videotapaamiset ovat päästä-päähän-salattuja. Uniperin loppukäyttäjän ei tarvitse rekisteröityä Zoomiin.
Yritys on suorittanut ulkoisen auditoinnin GDPR-säännöksien noudattamisesta7
Muuta huomioitavaa
Tämä arviointi ei sisällä liitäntöjä ulkoisiin palveluihin. Jos asiakas ottaa käyttöön muita palveluita, jotka liittyvät tähän palveluun, täytyy nämä liitännät arvioida erikseen.
Yleinen ohje hankintoihin
Hankintavaiheessa olisi syytä aina olla yhteydessä organisaation tietohallintoon, tietoturva-asiantuntijaan ja tietosuoja-asiantuntijaan. Keskustelkaa heidän kanssaan täyttääkö kyseinen tuote teidän vaatimuksenne. Lisäksi suosittelemme, että sairaanhoitopiirit käyttävät tukena hankinnoissa Euroopan unionin kyberturvallisuusviraston (ENISA) tietoturvaopasta hankinnoille8.