Framework di architettura di servizi per la sanita'
              




HSSP RLUS
HSSP IXS
HSSP CTS2
HSSP HCSPD
HSSP PASS
HSSP DSS
      HSSP PASS

 

Il progetto HSSP Privacy, Access and Security Services (PASS) affronta la tematica generale dell'interoperabilità delle procedure di sicurezza nei processi clinico-sanitari, con l’obiettivo di definire una suite di servizi di base, necessari a coprire le esigenze di sicurezza, quali la privacy, il controllo e la gestione dell’accesso ai dati clinici,  il consenso e la gestione delle identità.

Nell'ambito dei servizi applicativi per la sanità, la principale esigenza di sicurezza discende dal diritto alla privacy, esercitato dal soggetto, il paziente in primo luogo, sui dati anagrafici, clinici e sanitari, che lo riguardano. La privacy è la capacità effettiva del soggetto di disaggregare i dati che lo riguardano e di concedere, selettivamente, il permesso all'accesso a tali dati o di revocare tale permesso, in qualsiasi momento con effetto immediato. L'imposizione e il monitoraggio della privacy fanno parte del funzionamento di base dell'ecosistema di servizi per la sanità.

 

Il rispetto della privacy è garantito dal fatto che la segregazione dei dati deve essere effettuata a priori e che, a fronte di una richiesta di accesso a dati clinico-sanitari di un determinato soggetto, deve essere verificato se il richiedente dispone dell’autorizzazione necessaria.  A posteriori deve essere possibile verificare che le direttive di privacy siano state correttamente applicate e che non ci siano state violazioni.  

 

Il lavoro, svolto fin qui, è stato strutturato in diverse aree tematiche, di cui quelle attive sono:

 

Ø  Privacy, Access and Security Services - Access Control (PASS AC), il cui ambito riguarda l'interoperabilità delle procedure di controllo dell’accesso alle informazioni socio-sanitarie, con l’obiettivo di definire un insieme di interfacce di servizio standard, per quelle capacità funzionali, necessarie a proteggere le risorse (in termini di autorizzazione e controllo degli accessi), conservate nei sistemi di gestione di dati clinici presenti in un ambiente distribuito, particolarmente la possibilità di implementare e veicolare il consenso informato che il paziente concede per l'accesso alle informazioni che lo riguardano. Di fatto il paziente diventa amministratore “everywhere” dei diritti d'accesso ai propri dati.

Ø  Privacy, Access and Security Services – Healthcare Audit (PASS Audit), il cui ambito riguarda l'interoperabilità delle procedure relative all'ispezione (audit) delle operazioni, eseguite all’interno del sistema, con l’obiettivo di definire una collezione di interfacce di servizio standard per le funzionalità di audit e logging, di ausilio alla protezione delle informazioni clinico-sanitarie del paziente. Lo scopo dei servizi di audit è quello di mettere in opera il principio di accountability, ovvero di tracciare la divulgazione dei dati sensibili e di identificare e caratterizzare le eventuali violazioni alle direttive di privacy.

Gli standard di riferimento per la gestione della sicurezza nelle architetture di servizi, generalmente accettati e la cui implementazione è disponibile e largamente diffusa, sono:

Ø  Modelli formali generalizzati, applicabili in svariati contesti, nei quali nessun componente è esplicitamente limitato ad un ambiente sanitario:

ü  ISO TS 22600-2:2006 – Privilege Management and Access Control – Part 2: Formal Models per i concetti del modello di controllo, secondo il quale, quando viene effettuata una richiesta per un servizio, il servizio di controllo accesso protegge il service provider da accessi non autorizzati, in accordo con la policy di controllo;

ü  ISO 10181-3 Access Control framework per l’Authorization Reference Model, nel quale viene descritto un  servizio, nel contesto dei suoi information types di controllo accesso generalizzato, con associate le attività di Service Provider Security e Consent Management;

ü  ISO 10181-7 Security Audit and Alarms Framework, che raffina il concetto di audit di security descritto in ITU-T Rec. X.810 / ISO/IEC 1018l-l ed include la scoperta degli eventi e delle azioni che ne risultano; si focalizza su 2 capabilities fornite ad un’entità esterna “Privacy Accounting”.   

Ø  Standard di implementazione:

ü  la pila WS-Security (sulla piattaforma WS*);

ü  SAML (Security Assertion Markup Language);

ü  XACML (eXtensible Access Control Markup Language).

Le infrastrutture WS-Security (i servers e gli interceptors che implementano l'autenticazione e la confidenzialità dei messaggi), SAML (SAML identity provider, SAML service provider) e XACML fanno parte dell'ecosistema standard SOA.

Ø  Standard che indirizzano meccanismi tecnici per fornire la raccolta di record di audit in ambito sanitario:

ü  ISO/CD 27789 - Health informatics - Audit trails for electronic health records;

ü  IHE Audit Trail and Node Authentication (ATNA)  - Integration Profile Audit Trails User Accountability;

ü  [DICOM95] - Digital Imaging and Communications in Medicine (DICOM) Supplement 95: Audit Trail Messages;

ü  The Open Group - Distributed Audit Service (XDAS), Preliminary Specification;

ü  ISTPA – Privacy Management Reference Model.