醫療產業不斷往更加智慧的方向前進,包括將病歷轉為電子形式,未來更容易管理與查找資料;或彙整各式各樣的醫療影像,交由人工智慧分析與處理,提升各項病症的判斷準確度。在這條路上為了要簡化 IT 管理負擔,同時增加擴充彈性,不少醫療機構都選擇以「上雲」做為既有架構的轉型方式。
不過,醫療產業每天產生與經手的資料,通常都關係到病患的隱私,必須做好保護措施,才能在遭受惡意攻擊或人為疏失時,確保它們萬無一失。因此,現在不只是醫療機構對於自身要有所要求,各國政府都更相繼制定了法規,以確保病患機敏資料的權益。
台灣、美國皆有醫療業專屬規範,須確保資安流程與病患隱私
在台灣緊急救援與醫療院所,皆隸屬於《資通安全法規範》的八大關鍵基礎建設產業之一,需定期檢視單位的資安等級、指定資安事件通報流程,對於資料儲存和資安人員編制亦有相關規範,針對放置於雲端的資料,自然也會受到法令規定。像是衛生福利部 2023 年新增的規定,就提到醫療院所可將電子病歷存放於雲端當中,但如果是要以此雲端空間存取、備份與備援的話,其資料實體所在地均應設置於我國境內。
而像是在美國,醫療相關產業則受到 HIPAA(美國健康保險可攜與責任法)的管轄。該法令規定醫療和保險業者,應如何維護和保護個人身份識別訊息。舉例來說,醫療從業者和相關企業禁止在未經患者同意的情況下,向其他任何人透露任何患者資訊。
除了保護病患的隱私,HIPPA 也會規範這些醫療業者儲存、傳輸和交換資訊的方式,並有明確對於 IT 相關流程的條文,如果沒有遵守的話,可能就會面臨高達數十萬美元的罰款。因此對於醫療業而言,資料要上雲的關鍵,是必須確保導入一套能提供足夠安全性及隱私性的資料保護方案,而 Synology 旗下的純雲備份服務 C2 Backup,正是最佳解決之道。
C2 Backup 靠多種加密技術,打造安全十足的純雲資料保護方案
基於雲端的 C2 Backup 無須硬體設備和後續機房維護成本,能夠一次將各種分散的資料,如員工電腦、實體伺服器,甚至 Microsoft 365 中的資料,集中化備份至雲端當中。為了確保這些醫療產業的受保護健康資訊(ePHI, electronic Protected Health Information),都是最為安全且僅有授權人員才能取用,C2 Backup 還設計了許多針對隱私、加密的功能:
- C2 Backup 的資料可設定為無讀取權限的「無檢視權服務」,藉此杜絕上傳的患者資料,外洩給惡意份子的風險。
- C2 Backup 使用端到端加密以保護病人資料,確保只有授權人員可以查看或取用。
- 除了端到端加密,透過 C2 Backup 備份的資料,會先以 AES-256 標準加密,再上傳到 C2 伺服器,僅能透過 C2 加密金鑰才有辦法解開,即便是 Synology 也無法取用客戶存放於雲端的資料。
- 資料安全性不只藉由各項加密技術達成,更得確保當硬體出現任何狀況時,資料不會受到影響,企業依然可隨時取用放置於雲端的資料。為此 C2 Backup 處理備份資料時,使用了糾刪碼技術,這會將資料分割成多個片段並製作副本,接著將它們保存在不同的儲存位置,這麼一來即便碰到硬體故障,亦能立即還原、確保資料可用性。
此外,糾刪碼與傳統常見用於確保硬體可用的 RAID 不同,所需要的資料恢復時間更短、效率更高,容量使用上也更少。
延伸了解 | 北極星藥業運用雲地混合架構,克服資料保護挑戰
C2 機房通過 ISO27001 等多重認證,確保企業資料安全無慮
經由上述這些機制,C2 Backup 符合多數醫療產業法令中,針對資料安全性與隱私性的規範。不僅如此,Synology C2 本身也取得了不少第三方認證,醫療產業將資料上雲時,更能感到加倍安心。
首先,Synology C2 位於歐洲和亞洲的主機代管資料中心設施,皆擁有 ISO 27001 標準認證;美國的主機代管資料中心則通過 SOC 2 Type II 認證,都是相當嚴格的資訊技術安全框架,確保我們的服務可以保障使用者資料安全,進一步符合特定合規需求。
另外,我們也重視客戶付款流程時相關的機敏資訊是否安全,因此皆是透過符合 PCI DSS 標準(支付卡產業資料安全標準)的 PCI 第一級服務供應商,處理與儲存各種帳單資訊。因此,醫療業者能夠 100% 信賴 C2 Backup,無論從功能面到背後儲存資料的機房等,都是智慧醫療、資料上雲時的最佳資料保護解決方案。