Carta Regionale dei Servizi Sistema Informativo Socio Sanitario Il Progetto e gli aspetti di sicurezza Riccardo Ranza Roma, 10 maggio 2005.

Slides:



Advertisements
Presentazioni simili
Sistema Informativo per la Sanità
Advertisements

Team di Progetto: Cristiana Armaroli Ettore Turra Andrea Vielmetti
A che punto siamo in Italia
Progetto Sperimentale Home Care
Parma, 15 aprile 2009 Relatore : Giuseppina Rossi
Presentazione Community Network - Federa Servizi Demografici on-line Newsletter.
Gli specialisti degli eDocuments
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Configuring Network Access
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
CALL CENTER REGIONALE 24 marzo 2009.
Seminario CNIPA – Roma 10 febbraio 2005 La Carta Nazionale dei Servizi ed il T-government – G. Manca La CNS: applicabilità, requisiti tecnici, aspetti.
Il Framework di riferimento del progetto
DELL’AMMINISTRAZIONE DIGITALE: VINCOLI ED OPPORTUNITÀ
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
Azienda Sanitaria Locale della provincia di Brescia.
3° Conf. attuazione e-gov– 30 giugno 2005 CARTE DIGITALI PER LACCESSO AI SERVIZI ON LINE, G. Manca CARTE DIGITALI PER LACCESSO AI SERVIZI ON LINE Giovanni.
1 DFP - Progetto Finalizzato A9 Dipartimento della Funzione Pubblica Presidenza del Consiglio dei Ministri Progetto finalizzato A9 Comunicazione elettronica.
Ottobre 2006 – Pag. 1
Acer Mnemonick presentazione commerciale
La Carta Regionale dei Servizi e i suoi molteplici usi, dalla Sanità ai servizi degli Enti Locali Presidente Alberto Daprà Convegno AICA 20 settembre 2007.
MEDICI DI MEDICINA GENERALE E PEDIATRI DI LIBERA SCELTA
L’esperienza della Regione Lombardia
Stefano Di Giovannantonio ECM Consulting Solution Expert
by Innomed Srl
Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.
FIRMA DIGITALE, AUTENTICAZIONE E GESTIONE DEL DOCUMENTO ELETTRONICO
MEDIR L’innovazione in Sanità: i servizi in rete per i MMG/PLS.
Integrazione e Territorio
Firma digitale1 Levoluzione della Pubblica Amministrazione Locale La firma digitale.
Configurazione di una rete Windows
Struttura Complessa per la gestione dei Sistemi Informativi Aziendali e Progettazione Reti Informatiche LInformation Technology nel settore sanitario,
Convegno “Governance sanitaria, modelli unici regionali
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Percorso Diagnostico-Terapeutico (PDT)
Carta Regionale dei Servizi
Analisi e sperimentazione di una Certification Authority
PROTOCOLLO D’INTESA TRA IL MINISTRO PER LA PUBBLICA AMMINISTRAZIONE E L’INNOVAZIONE E CONFINDUSTRIA per la realizzazione di servizi avanzati per le imprese.
Roma, 9 maggio 2005 Luca Nicoletti – Unità Disegno e progettazione Sistemi Access Management centralizzato per applicazioni WEB: l’esperienza del MEF.
Dott. Giorgio Martiny Direttore Generale ASL4 Chiavarese Regione Liguria ForumPa 2004 Roma, 12/05/2004.
Il sito web SERVIZI PER L’IMPIEGO è uno strumento di informazione e comunicazione in materia di lavoro.
Patient file Anagrafe persone fisicheAnagrafe sanitaria Anagrafe dei professionisti sanitari La utilizzazione di dati clinici (patient file) Modelli di.
L’esperienza della Regione Lazio - GOVERNMENT Ing. Vincenzo Bianchini Amministratore Unico Laziomatica.
Provincia di Reggio Calabria Le piattaforme tecnologiche per l’erogazione di servizi on line ForumPA e-Government e l'innovazione.
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
Città di San Giorgio a Cremano – Settore Innovazione e Comunicazione Autenticazione in Rete e Accesso ai Servizi digitali.
Ferdinando Riccardi - Sindaco di San Giorgio a Cremano Forum PA - Maggio 2004 FORUM della PUBBLICA AMMINISTRAZIONE venerdì 14 maggio 2004 Fiera di Roma.
Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti.
un’esperienza di riuso
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA.
1 Prof. Stefano Bistarelli Dipartimento di Scienze e-government: oggi.
E-health digitalizzazione e semplificazione Angelo Lino Del Favero Presidente Federsanità ANCI “L’Informazione nella sanità digitale: qualità, sicurezza,
Postecom B.U. CA e Sicurezza Offerta Sicurezza Scenario di servizi ed integrazioni di “Certificazione”
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Web Application ARFARM Registrazione delle Esenzioni E30 ed E40 presso le Farmacie Milano, dicembre 2014.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
Servizi portanti di adeguamento e diffusione del protocollo informatico Calliope a tutte le articolazioni del Ministero della Giustizia #1Messa in sicurezza.
Agenda digitale un cambiamento di paradigma Intervento su “progetto agenda sanitaria digitale in FVG” Gilberto BRAGONZI – esperto organizzazione sanitaria.
La Carta Regionale dei Servizi e i suoi molteplici usi, dalla Sanità ai Servizi degli Enti Locali.
Ministero della Giustizia Dipartimento dell’Organizzazione Giudiziaria, del personale e dei servizi Direzione Generale per i sistemi informativi automatizzati.
Innovazione tecnologica e gestionale In Sanità Elettronica Tonino Pedicini Direttore Generale Agenzia Regionale Sanità - Campania ICAR – NAPOLI.
Saperinnovaresaperconservare InnovAction Knowledge, Ideas, Innovation Udine, febbraio 2008 InnovAction Knowledge, Ideas, Innovation Udine, 14 -
TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.
Finalità Riforma del sistema socio-sanitario e agenda digitale in FVG Servizi più accessibili per i cittadini Udine – 16 giugno 2015 Direzione centrale.
Firma e timbro digitale nei processi di autenticazione Struttura Complessa: Informatica e telecomunicazioni Relatore: Gianni Maglione.
Vercelli, 10/01/2012 Introduzione alla Piattaforma Bandi Gestionale finanziamenti Antonella Siragusa Francesca Pacilio CSI-Piemonte - Industria, Commercio.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Transcript della presentazione:

Carta Regionale dei Servizi Sistema Informativo Socio Sanitario Il Progetto e gli aspetti di sicurezza Riccardo Ranza Roma, 10 maggio 2005

Agenda Le finalità del Progetto CRS-SISS I numeri del Progetto Sicurezza: Security Management Sicurezza della Sessione Applicativa Sicurezza Fisica e Sicurezza di Rete

Perché nasce il Progetto? Per migliorare la qualità dei servizi sanitari offerti al cittadino, attraverso la Carta Regionale dei Servizi, consegnata ai cittadini della Lombardia. Per rinnovare il settore Socio-Sanitario Per fornire un aggiornamento degli strumenti professionali agli operatori socio-sanitari

Carta Regionale dei Servizi: il Progetto è realtà La Carta Regionale dei Servizi è uno strumento innovativo che la Regione Lombardia offre ad ogni cittadino per migliorare la qualità della sua vita nella gestione della salute nei rapporti con la Pubblica Amministrazione nella vita di ogni giorno

Il SISS: la Sanità in comunicazione Regione Farmacia Ospedale H Cittadini ASL MMG/PLS ASSI

Il SISS: la Sanità in comunicazione Il SISS, Sistema Informativo Socio-Sanitario: è un sistema altamente tecnologico che permette di ottimizzare i servizi del Sistema Sanitario Regionale mettendo a disposizione di applicazioni esistenti una piattaforma infrastrutturale (“rete”) per l'integrazione delle funzionalità applicative. funziona attraverso una “rete” di comunicazione che usa le modalità tipiche di Internet, ma riservata ad operatori e strutture aderenti (Extranet). Si tratta di una “rete aperta” già studiata per arricchirsi via via di nuovi servizi

di accesso ai servizi socio-sanitari I vantaggi Per gli OPERATORI Per le STRUTTURE Per la P.A. qualità ed efficienza dei processi di diagnosi e cura snellimento dei processi amministrativi programmazione precisa dei servizi sul territorio Per il CITTADINO semplicità di accesso ai servizi socio-sanitari

Sistema Informativo Socio Sanitario - Principali Aree Applicative - Sistema di gestione della medicina di base Scelta e Revoca (anagrafe assistiti, medici) Esenzioni (patologia, invalidità, reddito) Pagamenti medici Sistema di Gestione Processi di Rendicontazione Ambulatoriale Ricoveri Farmaceutica Sistema di gestione del Debito Informativo Automazione Flussi di rendicontazione (Ambulatoriale, Ricovero, ministeriali) Sistema per la gestione attività socio-assistenziali Gestione ASSI, Invalidità Civile, Minori, ecc. Sistema Direzionale Controllo della spesa e della qualità/appropriatezza prestazioni erogate Sistemi Informativi Aziendali ASL, AO

Le chiavi di accesso al sistema CITTADINO OPERATORE

Carta Regionale dei Servizi Tessera Sanitaria Nazionale Carta Nazionale dei Servizi Tessera Europea di Assicurazione Malattia Carta di pagamento ad elevata sicurezza (in via di attivazione) Tesserino del Codice Fiscale Sostituisce il tesserino sanitario cartaceo Consente l'accesso al Sistema Informativo Socio-Sanitario regionale Permette di usufruire dei servizi della Regione Lombardia e della Pubblica Amministrazione Consente l'autenticazione digitale del cittadino in rete e la firma elettronica Dati amministrativi Dati sanitari di emergenza Dati anagrafici Possibilità di inserire la firma digitale Vediamo a cosa servono le due carte. La CRS registra nel microchip i dati anagrafici del cittadino, il suo codice fiscale, i dati del medico di base prescelto, i dati sanitari d’emergenza (es. allergie, patologie particolari etc.). Di conseguenza, sostituisce (l’attuale Codice Fiscale,) il tesserino sanitario cartaceo (e il tesserino esenzioni).   Inoltre, poiché si basa su tecnologia Netlink, piattaforma di riferimento per la Carta Sanitaria Nazionale secondo i dettami del G8, ed è compatibile con gli standard europei, funge anche da Carta Sanitaria Europea mod. E 111.  Consegnando la CRS al proprio medico di base o presso le strutture sanitarie, il cittadino viene dunque identificato senza possibilità di errore e crea il collegamento ai propri dati sanitari che potranno essere consultati esclusivamente dagli operatori a ciò autorizzati. Queste sono comunque solo le prime funzionalità a bordo della carta, perché per le caratteristiche tecniche sopra illustrate, presto le funzionalità si estenderanno anche ad altri settori della pubblica amministrazione locale, primo fra tutti l’anagrafe pubblico. Ciò significa che il cittadino potrà gestire on-line le pratiche amministrative relative all’emissione di certificati, documenti etc. 6 Kb per servizi privati Tutto il resto è sulla rete

Carta SISS Carta SISS Identifica ed autentica l’operatore Consente all’operatore sanitario di utilizzare il SISS Permette l’accesso ai dati clinici dei cittadini (conformemente al ruolo dell’operatore) Permette di aggiornare la storia clinica dei cittadini Permette la firma digitale (“firma forte”) dei documenti elettronici Dati anagrafici Firma digitale Cifratura La Carta SISS, chiave di accesso per l’operatore socio-sanitario, contiene nel proprio microchip i dati anagrafici dell’operatore. Inserendo la carta nel lettore della Postazione di Lavoro, l’operatore viene dunque identificato senza possibilità di errore e può accedere ai servizi SISS corrispondenti alla propria mansione professionale. L’operatore abilitato alla firma dei documenti, potrà inoltre apporre la propria firma elettronica con valore legale direttamente sul documento prodotto dal SISS e inoltrarlo a chi di competenza.

Agenda Le finalità del Progetto CRS-SISS I numeri del Progetto Sicurezza: Security Management Sicurezza della Sessione Applicativa Sicurezza Fisica e Sicurezza di Rete

Dimensioni del Progetto 9.200.000 Cittadini 145.000 Operatori Sanitari 8.150 Medici di Medicina Generale e Pediatri di Libera Scelta 2.500 Farmacie 15 ASL 42 Enti Erogatori Pubblici 2500 Enti Erogatori Privati e ASSI

Stato dell’arte Carte distribuite in tutti i territori della Regione Lombardia Servizi SISS per un totale di: 3.500.000 Cittadini 9.940 Operatori sanitari 1.820 MMG e PLS 15 ASL 10 Enti erogatori pubblici Avviata In corso di attivazione In fase di avvio

Prescrizioni sui territori attivi Fonte: LISIT – aggiornamento al 31/03/05

Più della metà delle transazioni sono sottoscritte con firma digitale Transazioni totali Fonte: LISIT – aggiornato al30/04/05 Più della metà delle transazioni sono sottoscritte con firma digitale

Agenda Le finalità del Progetto CRS-SISS I numeri del Progetto Sicurezza: Security Management Sicurezza della Sessione Applicativa Sicurezza Fisica e Sicurezza di Rete

Il Progetto di sicurezza La Sicurezza Il Progetto di sicurezza Mondo reale Requisiti Obiettivi di sicurezza Leggi e regolamenti Analisi Minacce Contromisure non-IT Contromisure IT Progettazione e Sviluppo Realizzazione Distribuzione, Configurazione, Avvio ed Esercizio Esercizio

Sicurezza - Architettura - Security Management e Privacy Sicurezza della Sessione Applicativa Single Sign on / User Management Public Key Infrastructure (PKI) Smart Card Sicurezza Fisica e Sicurezza di Rete

Security Management e Privacy Il Security Management definisce approcci, procedure, metodi, modalità entro cui si esprimeranno le attività progettuali e si svolgeranno quelle operative, per gli aspetti di sicurezza, garantendo l’applicazione del d. lgs. 196/03.

Sicurezza della Sessione Applicativa Le scelte organizzative User Management Organizzazione Single Sign On identificazione ed autenticazione primaria dell’operatore identificazione ed autenticazione secondaria dell’operatore autorizzazione (controllo accessi) log/accounting PKI riservatezza e integrità dei dati non ripudio dei documenti firma elettronica avanzata per gli ordinatori di spesa attestazione per i cittadini Sicurezza locale autenticazione mutua fra smart card di operatore e cittadino Sicurezza Fisica e Sicurezza di Rete Sicurezza

SSO e User Management - Organizzazione - Base Dati Sicurezza L’organizzazione è descritta nella Base Dati di Sicurezza secondo lo standard X521. I parametri di sicurezza ricavati dall’organizzazione ed utilizzati nel controllo accessi sono: credenziali utenti ruolo distinguished name Access Control List costruite attraverso i legami relazionali tra credenziali e servizi esposti dall’Aderente. R1 S1 SISS AO Reparto R2 Dominio dell’Aderente Servizi Sn P R Ruoli Persone

SSO e User Management - Dettaglio dell’Organizzazione - C = Lombardia O = SISS OU = Domini Centrali L = Lecco L = Milano OU = MMG/PLS O = AO Lecco OU = ASL di Lecco OU = SEBxx OU = SEByy O = Farmacie OU = Presidio di Merate OU = Presidio di Lecco OU = Farmacia 1 OU = Farmacia n OU = Rep. 1 OU = Rep. n OU = Rep. 1 OU = Rep n. Organizzazione del SIB

SSO e User Management - I&A Primaria - CA SSO Server Base Dati Sicurezza (SIB) I&A Primaria Ch/R Credenziale Certificato di Aut. Secondaria Cookie cifrato di Sessione ACL Servizio FRONTEND (Server) Postazione Utente (Client) P S E I&A Secondaria Servizio Smart card

SSO e User Management - I&A Secondaria A-to-A (Web Service) - Base Dati Sicurezza (SIB) CA SSO Server I&A Primaria ACL FRONTEND (Server) Servizio Postazione Utente (Client) P S E I&A Secondaria SOAP/HTTPS (SSL v3) sulla base del Cert. Aut. Secondaria Credenziale Servizio Smart card

SSO e User Management - I&A Secondaria Web Application - Server Base Dati Sicurezza (SIB) I&A Primaria ACL Reverse Proxy (Server) Servizio Postazione Utente (Client) P S E I&A Secondaria SOAP/HTTPS (SSL v2 + Cookie) Servizio Smart card

SSO e User Management - Autorizzazioni (A-to-A) - Credential Server Base Dati Sicurezza (SIB) Postazione Utente ACL Distibuted Controller Servizio FRONTEND (Server) Credenziale OK/NOK OK SSO Server P S E

SSO e User Management - Autorizzazioni (Web Application) - Base Dati Sicurezza (SIB) ACL Credential Server OK/NOK Credenziale Cookie Web Agent SSO Server cache Servizio OK REVERSE PROXY (Server) OK/NOK Postazione Utente P S E

SSO e User Management - Log Accounting - Vengono tracciati sempre gli eventi di : I&A (Logon) Primaria (positiva e negativa) I&A (Logon) Secondaria (positiva e negativa) Vengono tracciati a fronte di richieste esplicita e selettiva dell’amministratore: Autorizzazioni concesse e negate

Public Key Infrastructure (PKI) PKI fornisce i certificati a supporto della sicurezza: Certificati finalizzati alla sicurezza del documento applicativo funzioni di firma, cifratura per archiviazione, marcatura temporale certificati memorizzati sulla smart card dell’operatore Certificati finalizzati alla sicurezza della comunicazione fra componenti distribuite di piattaforma funzioni di autenticazione, integrità, riservatezza, autorizzazione

Materiale Crittografico degli Operatori della Socio Sanità (1) Carta operatore Coppia di chiavi e certificato di sottoscrizione Coppia di chiavi e certificato di autenticazione e crittografia Autenticazione primaria al sistema di SSO/UM Posta sicura secondo il formato S/MIMEv2 Cifratura permanente di documenti

Materiale Crittografico degli Operatori della Socio Sanità (2) Contesto di sicurezza della stazione di lavoro e nel server Coppia di chiavi e certificato di autenticazione e crittografia: Autenticazione secondaria Riservatezza “Proof of origin” Il contesto di sicurezza della sessione di lavoro vale per la durata della sessione applicativa

Certification Authority - Operatori - PdR SSO/UM CA Operatori DIR. Extranet DIR TS CA TSS Esterno Reg. FEP DB Provisioning

Certificati Digitali - Cittadini - Certificato e chiave privata contenuti nella smartcard del cittadino sono utilizzati per: Connessioni con i principali web server di mercato tramite il protocollo SSLv3 (requisito CNS); Processi di autenticazione in modalità Challenge/Response in cui l’applicazione utente firma, con la chiave privata relativa a tale certificato, quantità ricevute da un server remoto (requisito CNS); Processi di attestazione ovvero di firma elettronica non avanzata per attestare, nel dominio SISS, la presenza del cittadino durante l’erogazione di una prestazione.

La presenza del cittadino - Attestazione - Documento firmato dall’Operatore e attestato dal Cittadino Operatore Servizio Postazione Operatore Cittadino

Sicurezza locale Carta Carta Operatore Regionale SISS dei Servizi Posto di Lavoro dell’operatore socio sanitario Carta Operatore SISS Carta Regionale dei Servizi Processo di Mutua Autenticazione Chiavi di Gruppo Chiavi derivate

Sicurezza fisica Concetti generali Protegge i beni identificati come asset aziendali a livello di accesso fisico e ambientale Presidia e controlla le aree ed i locali in cui si svolgono le attività (uffici, CED, sale operative, ecc.) Previene, rileva, neutralizza le minacce di natura ambientale (incendio, allagamento, surriscaldamento, ecc.) Implementa le contromisure derivanti dalla Risk Analysis, analogamente agli altri aspetti di sicurezza contemplati dalla norma BS7799

Sicurezza di rete Concetti generali Ulteriore stratificazione della sicurezza Definisce e protegge i Domini di Sicurezza di Rete Previene, rileva, neutralizza le minacce interne ed esterne che arrivano dalla rete Aumenta sensibilmente la disponibilità e la continuità di servizio dei servizi erogati in rete Recepisce le policy di sicurezza emesse dal Security Management e collabora alla loro implementazione e miglioramento

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.