Datenschutz, Sicherheit und Skalierbarkeit sind für Videoanrufe von grundlegender Bedeutung. In diesem Dokument wird erläutert, wie Videoanruf-Konsultationen in großem Umfang sicher und privat gestaltet werden.
Video Call basiert auf 4 wichtigen Konzepten:
- Datenschutz – definiert die Verpflichtung, persönliche Informationen gemäß dem Commonwealth Privacy Act 1988 und den Australian Privacy Principles korrekt zu sammeln, zu verwenden, offenzulegen und zu speichern.
- Sicherheit – Videoanrufe sind sicher vor unbefugtem Zugriff und unbefugter Nutzung, und diese Daten sind zuverlässig, genau und einsatzbereit.
- Datenhoheit – Patientendaten dürfen nicht ins Ausland übertragen werden, wie es die australischen Datenschutzbestimmungen vorschreiben
- Skalierbarkeit – Videoanruf als nationale Funktion ist architektonisch skalierbar, um große Mengen an Videokonsultationen zu bewältigen, ohne dass eine herkömmliche Videokonferenzinfrastruktur eingerichtet werden muss.
Diese vier Konzepte sind grundlegend für das Design von Videoanrufen. Die Netzwerkarchitektur wird durch Design-Assurance-Prozesse abgedeckt, die sicherstellen, dass neue Funktionen und Fähigkeiten weiterhin die erforderlichen Standards erfüllen.
Zusammenfassung
Video Call basiert auf der Web-Real-Time-Communications-Technologie (WebRTC). Die integrierte Sicherheit von WebRTC verwendet vollständig verschlüsselte Verbindungen .
Video Call wurde als ganzheitliches Telemedizin-Ökosystem konzipiert, das aus Servern und Anwendungen besteht und über die WebRTC-Technologie läuft.
healthdirect Video Call befolgt die maßgeblichen Grundlagen des Informationssicherheitshandbuchs (ISM) Essential Eight der australischen Regierung und den Health Insurance Portability and Accountability Act ( HIPAA ) für Cybersicherheitsrichtlinien und schützt die Privatsphäre, indem kein digitaler Fußabdruck hinterlassen wird.
Andere Videokonsultationsplattformen speichern die Details des Anrufs, einschließlich der Anrufaufzeichnung, auf zentralen Servern (normalerweise außerhalb Australiens), auf die der Videodienstanbieter zugreifen kann, und können Ärzte ohne informierte Zustimmung des Patienten dem Risiko eines Verstoßes gegen die Datenschutzgesetze aussetzen.
Zusätzliche Sicherheitsmaßnahmen wurden angewendet, um das WebRTC-basierte System wirklich sicher und privat zu machen:
- Virtuelle Räume, Peers und Sitzungen bieten eine sichere Umgebung für die Kommunikation der Benutzer.
- Videoanruf speichert standardmäßig keine personenbezogenen Daten oder geschützten Gesundheitsdaten.
- Modernste Netzwerksicherheit verhindert Lauschangriffe und Man-in-the-Middle-Angriffe.
- Belastungstests und Codeüberprüfungen bieten ein hohes Maß an Anwendungssicherheit.
Auf dieser Seite erklären wir, welche Schritte unternommen werden, um sicherzustellen, dass Videokonsultationen sicher, geschützt, privat und skalierbar sind.
Datenschutz, Sicherheit und Datenschutz auf Gesundheitsniveau sind für das Design von Videoanrufen von grundlegender Bedeutung
Sicherheit anrufen
Der Medienverkehr von WebRTC-Videoanrufen wird mit AES 128-Bit- oder AES 256-Bit-Verschlüsselung zwischen Webbrowsern geschützt. Dies ist der Standard für WebRTC-basierte Dienste wie Video Call. Diese Sicherheit gilt jedoch nur für Peer-to-Peer-Anrufe und nicht für die Systeminfrastruktur. Mehrere Infrastrukturelemente in jedem WebRTC-Videoanruf können angegriffen werden, und Video Call wurde entwickelt, um diese Angriffsvektoren zu verhindern.
Beispielsweise kann die standardmäßige WebRTC-Anrufverschlüsselung einen Angreifer nicht daran hindern, sich an einem der beiden Enden des Anrufs als Benutzer auszugeben. Die Verschlüsselung kann auch nicht verhindern, dass ein Signalisierungs-, Anwendungs- oder Relaisserver (TURN) gekapert wird.
Beim Videoanruf wurden wichtige Datenschutz- und Sicherheitsmaßnahmen zum Schutz vor Folgendem angewendet:
- Identitätsdiebstahl durch jemanden, um sich unrechtmäßig Zugang zur Online-Klinik zu verschaffen, um Patienten zu konsultieren.
- rechtswidriges Abfangen durch jemanden, um sich unbefugten Zugriff auf die Videoanrufsignalisierung oder einen TURN-Server zu verschaffen.
- Beobachtung des Anrufverlaufs durch Dritte, die auf Anrufprotokolle auf dem Patientengerät oder auf einem Überwachungsserver zugreifen.
Das Datenschutz- und Sicherheitsmodell von Video Call stellt Folgendes sicher:
- Nur autorisierte Dienstleister und Administratoren der Klinik können einen Patienten bedienen,
- jede Patientenkonsultation kann in einer privaten einmaligen Videositzung abgehalten werden,
- einmalige Videositzungen werden von dauerhaften Videoräumen unterschieden (letztere können für klinikinterne Zwecke genutzt werden),
- Patientendaten, die während eines Videoanrufs oder in einem Videoraum ausgetauscht werden, bleiben nicht über das Ende der Konsultation hinaus bestehen oder werden, wenn die Klinik beschließt, sie zu speichern, verschlüsselt mit Entschlüsselungsschlüsseln gespeichert, die nur der Klinik zur Verfügung stehen,
- Signalisierungs- und Relay-Server kümmern sich nur um verschlüsselten Medienverkehr,
- modernste Sicherheitseinstellungen und -verfahren werden befolgt, damit die Serverinfrastruktur nicht gehackt werden kann, um sich als Arzt auszugeben oder eine Konsultation zu beobachten, und
- Peer-Code-Review für alle Software-Patches wird durchgeführt, um die Anwendungssicherheit zu maximieren.
Datensicherheit
Alle Daten – nicht nur der Live-Videoanruf – sind verschlüsselt.
Video Call speichert Dienstanbieterinformationen und Passwörter sicher auf Amazon RDS ( Relational Database Service ). Passwörter werden per TLS ( Transport Layer Security ) übertragen und niemals im Klartext gespeichert. Video Call speichert nur gehashte und gesalzte Passwort-Hashes in RDS und erfüllt die aktuellen Industriestandards bei der Benutzerauthentifizierung und -autorisierung.
Video Call speichert keine personenbezogenen oder geschützten Gesundheitsdaten.
Netzwerksicherheit
Alle Audio- und Videodaten sowie alle anderen während eines Live-Videoanrufs ausgetauschten Daten werden verschlüsselt.
Video Call verwendet modernste Sicherheitsmechanismen für alle Verbindungen sowie für seine WebRTC-Implementierung. Verbindungen zwischen Browser und Anwendungsserver, Signalisierungsserver oder STUN/TURN sind alle TLS-verschlüsselt und authentifiziert, mit starker Kryptografie und ordnungsgemäßen Zertifikatsprüfungen. Der TLS-Schutz für die STUN/TURN-Aushandlung stellt sicher, dass keine Umleitung der Videoanrufkommunikation stattfinden kann.
Die Sicherheit für die WebRTC-Kommunikation wird verbessert, indem der Signalisierungsserver die kryptografische Einrichtung für die Browser-zu-Browser-Kommunikation erleichtert: Browser erstellen sicher einen gemeinsamen Schlüssel für jeden Datenkanal.
Anwendungssicherheit
Als verteiltes System sind alle Komponenten des Video Call-Ökosystems gegen Angriffe gehärtet.
- Protokoll-Fuzzing – Da der Signalisierungsserver ein benutzerdefiniertes Protokoll zum Transportieren von Nachrichten verwendet, wurde er einem Protokoll-Fuzzer unterzogen, um sicherzustellen, dass es keine Codepfade gibt, die zu unvorhergesehenem oder unerwünschtem Verhalten führen. Die Browser-Implementierung von Video Call wurde demselben Protokoll-Fuzzing unterzogen.
- Penetrationstests (Penetrationstests) – Der Anwendungsserver und das Anrufüberwachungssystem wurden einem Penetrationstest unterzogen, um sich vor Eindringlingen zu schützen. Pen-Tests werden regelmäßig durchgeführt.
- Browsersicherheit – WebRTC verbindet Browser, Peer-to-Peer. Protokoll-Fuzzing wird verwendet, um die Implementierung des Videoanruf-Browsers zu testen.
- Überwachung der Sicherheit – Kommunikation findet nur in eine Richtung statt; vom Browser zum Anrufmonitor. Browser senden nur Informationen an den Anrufmonitor; Browser können keine Informationen aus dem Anrufmonitor ziehen oder empfangen. Der Anrufmonitor wurde einem Penetrationstest unterzogen und mit Fuzzing versehen, um ihn gegen gängige Bedrohungen zu schützen.
Privatsphäre
Videoanruf entspricht den Datenschutzrichtlinien der australischen Regierung.
Die Infrastruktur und der Dienst für Videoanrufe entsprechen den Richtlinien des Commonwealth Privacy Act 1988 , den Australian Privacy Principles (Abschnitt 8) in Bezug auf die Datenhoheit und, wo immer möglich, dem Australian Government Information Security Manual (ISM) .
Videoanruf-Verbindungen werden Peer-to-Peer hergestellt (Browser-zu-Browser, ohne die zentrale Videoinfrastruktur zu durchlaufen). Daten, die in tatsächlichen Anrufen zwischen Teilnehmern geteilt werden, stehen den teilnehmenden Endpunkten des Anrufs immer nur in entschlüsselter Form zur Verfügung. Alle anderen Vermittler, die den Anruf weiterleiten, können nur verschlüsselte Daten sehen. Dies gilt für Audio- und Videodaten sowie alle in der Sitzung ausgetauschten Informationen wie Chatnachrichten und Dokumente. Videoanrufe speichern standardmäßig keine der freigegebenen Daten von Anrufen.
Patienten betreten Wartebereiche über die Website eines vertrauenswürdigen Dienstanbieters und warten in ihrem eigenen privaten Videoraum. Verspätet sich zum Beispiel ein Dienstleister, weil ein Beratungsgespräch mit einem anderen Patienten über die Zeit läuft, laufen sich die Patienten nicht über den Weg. Der per Video Call erstellte Raum wird nach der Beratung gelöscht.
Patienten können von jedem Dienstleister oder Klinikadministrator gesehen werden, der berechtigt ist, auf die Klinik zuzugreifen. Die Autorisierung wird durch ein eindeutiges Login und zugewiesene Rollen in der Plattform definiert. Klinikadministratoren sind dafür verantwortlich, ihren Mitarbeitern einen solchen Zugriff zuzuweisen.
Standardmäßig speichert der Videoanruf keine identifizierbaren Patientendaten. Patienten hinterlassen keinen digitalen Fußabdruck auf der Plattform.
Datensouveränität
Wenn australische Daten oder Datenverwaltung ins Ausland verlagert werden, werden sie nicht mehr innerhalb Australiens kontrolliert und unterliegen den Gesetzen eines fremden Landes oder den Praktiken eines ausländischen Unternehmens. Der Zugriff und die Kontrolle australischer Daten durch ausländische Unternehmen erkennt die bestehenden Rechte der Australier auf angemessenen Schutz ihrer Privatsphäre und Daten nicht an.
Sensible Daten über australische Bürger müssen daher in einer ASD-zertifizierten Cloud ( Australian Signals Directorate ) gespeichert werden, die garantieren kann, dass Informationen für ausländische Unternehmen nicht zugänglich sind.
Video Call verfolgt einen strikten Ansatz, Hosting nur innerhalb der Cloud von AWS ( Amazon Web Services ) durchzuführen, die vom IRAP ( Information Security Registered Assessors Program ) der ASD zertifiziert wurde, was die Gewissheit bietet, dass AWS über die anwendbaren Kontrollen verfügt, die vom ISM ( Informationssicherheitshandbuch der australischen Regierung ).
Video Call kann dies für australische Benutzer bestätigen:
- personenbezogene Gesundheitsdaten werden ausschließlich innerhalb der australischen Gerichtsbarkeit verwendet,
- die Beschränkung der gesamten Datenspeicherung auf Onshore-Rechenzentren beschränkt ist und
- Sicherheitsprotokolle und -systeme werden in Australien und innerhalb der ASD-Anforderungen gehalten.
Skalierbarkeit
- Peer-to-Peer-Anrufe finden direkt von Browser zu Browser und zwischen Anbietern von Gesundheitsdiensten und ihren Kunden statt. Dies vermeidet zwischengeschaltete Videoserver und ermöglicht eine unbegrenzte Anzahl paralleler Anrufe.
- Manchmal bleiben Peer-to-Peer-Anrufe hinter Unternehmens-Firewalls hängen. Dazu werden Relay-Server (STUN/TURN) eingesetzt, um Audio-, Video- und Datenströme an ihre Empfänger außerhalb der Unternehmensgrenze weiterzuleiten. Obwohl Relay-Server eine beträchtliche Last bewältigen können, bevor sie gesättigt sind, ist es wichtig, sie auf skalierbare Weise bereitzustellen. Video Call wurde in der AWS Cloud bereitgestellt, sodass Relay-Server überwacht werden, und wenn eine höhere Last festgestellt wird, werden zusätzliche Relay-Server gestartet, die transparent zusätzliche Relay-Arbeiten übernehmen. Dies wird als „Lastenausgleich“ bezeichnet.
- Signalisierungsserver sind an der Einrichtung von Videoanrufen beteiligt, daher wurde besonderes Augenmerk auf die Bereitstellung einer skalierbaren Signalisierungsinfrastruktur gelegt. Auf den Videoanruf-Signalisierungsservern wurden Belastungstests durchgeführt, und sie konnten Hunderttausende von parallelen Anrufen unterstützen. Darüber hinaus wurde ein Netzwerk von Signalisierungsservern an verschiedenen AWS-Standorten bereitgestellt, um die Latenz zwischen den Endpunkten eines Videoanrufs und dem Signalisierungsserver zu verringern, indem der nächstgelegene Signalisierungsserver für die Anrufsignalisierung ausgewählt wird.
- Die Webanwendung wird von einem Anwendungsserver in Webbrowser verteilt. Da eine große Anzahl von Benutzern mit der Verwendung von Videoanrufen beginnt, können auch Webanwendungsserver sehr ausgelastet sein. Video Call hat den Lastenausgleich für die Anwendungsserver implementiert.
Video Call wurde skalierbar entwickelt. Die gesamte Datenbank- und Serverinfrastruktur wurde unter Verwendung einer zustandslosen Microservices-Architektur entwickelt, die es jeder Komponente ermöglicht, fehlertolerant zu sein und individuell horizontal skaliert werden zu können, um die Last jedes Dienstes zu jedem beliebigen Zeitpunkt anzupassen.
Unterstützung für Ihre Organisation
- WebRTC-basiert – WebRTC- Komponenten werden in Chrome, Firefox und Safari aus Open-Source-Projekten implementiert, unter der Anleitung und Überprüfung vieler Sicherheitsexperten der Web- und Telekommunikationsbranche.
- Entwickelt für das Gesundheitswesen – die Videoanrufumgebung wird regelmäßig überprüft und für das Gesundheitswesen optimiert. Die Gefährdung durch Schwachstellen, die in anderen Kommunikationsdiensten vorhanden sind, ist bei Videoanrufen begrenzt.
- Vollständiger Zugriff über das Internet - Videoanruf wurde aktualisiert, um mit den neuesten Versionen von Chrome, Firefox und Safari zu funktionieren (Microsoft Edge-Unterstützung ist geplant, wenn es auf die Blink-Engine umgestellt wird). Diese Browser führen regelmäßig Sicherheitsupdates aus, sodass Sie nicht auf Updates für Video Call warten müssen.
- Browserbeschränkte Anwendung – Videoanruf wird sicher in Webbrowsern ausgeführt, wodurch seine Fähigkeit, die Desktopumgebung eines Computers oder das verwendete mobile Gerät durch standardmäßige Sicherheitsmaßnahmen, die in Webbrowsern implementiert sind, zu beeinträchtigen, eingeschränkt wird.
- Netzwerksicherheit – Videoanruf benötigt nur Zugriff auf einige Standard-HTTPS und sichere Medienports von Ihrem Desktop, Laptop oder Mobilgerät. Diese werden auf der Seite „ Netzwerkgrundlagen “ im Ressourcenzentrum detailliert beschrieben.
- Web-Proxy-Dienste – Der Webdatenverkehr für Videoanrufe verwendet vorhandene Web-Proxy-Dienste und Sicherheitsrichtlinien.
- Anrufqualitätsprofile – Durch die Einrichtung von Videoanrufqualitätsprofilen können Kliniker die Medienanforderungen an Netzwerkverbindungen senken, um innerhalb bestimmter Grenzen zu bleiben.
- Zugänglichkeit – Video Call hat sich dem universellen Zugang für alle Benutzer verschrieben, damit alle Dienstleister und ihre Patienten die bestmögliche Erfahrung machen können. Zur Unterstützung blinder und sehbehinderter Benutzer ist die Webanwendung für Screenreader zugänglich, und Zoom-Tools können verwendet werden. Der Videoanruf kann auch in Dreier- und Vierergesprächen verwendet werden, sodass ein Gebärdensprachdolmetscher an einer Live-Videositzung teilnehmen und den gehörlosen Benutzer mit der ASLAN-Gebärdensprache unterstützen kann.