Vi går ikke på kompromis med informationssikkerheden
Informationssikkerhed
Digitalisering berører alle aspekter af vores liv og har et utroligt potentiale i forhold til fremskridt inden for sundhed. Med de mange nye sammenkoblede enheder og den løbende udvikling af forskellige systemer er sikkerheden for disse netværkssystemer i den virtuelle verden ekstremt vigtig. Hos Ypsomed, som fremstiller systemer, forstår vi, hvor kritisk fortrolighed, integritet og tilgængelighed i forhold til systemer og data er, og vi arbejder løbende på at forberede os på potentielle cyberangreb og relevante risici.
Da vi opererer i et meget stramt reguleret miljø i sundhedssektoren, er omhyggelig behandling af personoplysninger helt afgørende. Vi har oparbejdet stor erfaring på dette område, så vi kan fokusere på de to vigtigste aspekter: patientsikkerhed og teknisk sikkerhed. Vi bestræber os på at tilbyde den nyeste sikkerhed og sikker interoperabilitet uden at gå på kompromis med vores kunders sikkerhed og komfort.
Sikkerhed og databeskyttelse er en del af designet
Hos Ypsomed prioriterer vi sikkerhed og databeskyttelse som en del af designet i vores produktudviklingsproces. Når vi indtænker disse aspekter lige fra start, kan vi forsøge at afbøde potentielle risici og sikre, at vores produkter er sikre og respekterer brugernes privatliv. Vi gennemfører derfor løbende risikoanalyser og gennemfører trusselsmodelleringsøvelser for at identificere potentielle trusler og sårbarheder på et tidligt tidspunkt. Vi er omhyggelige med at definere systemets arkitektur og integrere relevante sikkerhedskontroller og privatlivsbeskyttende foranstaltninger under hele udviklingsprocessen.
Vi går ikke på kompromis med sikkerheden
I udviklingsprocessen arbejder vi tæt sammen – produktstyrings-, brugbarheds-, systemteknik-, risikostyrings- samt interne og eksterne sikkerhedseksperter. Vi går efter de bedste standarder og går ikke på kompromis med vores kunders datasikkerhed.
Brugerdata er det mest værdifulde aktiv, vi beskytter
Vi beskytter privatlivet og sørger for sikkerhed for de mennesker, som bruger vores produkter. Det er en selvfølge hos Ypsomed, at vi overholder gældende regler (f.eks. GDPR) og databeskyttelseslovgivning. Vi udarbejder meget klare databeskyttelsesaftaler (databeskyttelsespolitikker) og indhenter brugernes samtykke til at behandle deres data. Ypsomed tilbyder stor gennemsigtighed via sine processer.
Løbende overvågning og forbedring for at opretholde sikkerheden
Vi overvåger og forbedrer løbende vores produkter for at opretholde sikkerheden. Vi udfører jævnligt interne og eksterne penetrationstest, holder os up to date med de seneste trusler og tilstræber hele tiden løbende træning og forbedring. Vores metoder gør, at vi proaktivt kan takle potentielle risici og opretholde de højeste standarder for sikkerhed og databeskyttelse.
Vi lærer af vores partnere og udveksler ideer
Vores brede produktportefølje er også baseret på samarbejde med vores partnere. Vekselvirkningen mellem eksterne og interne udviklingsafdelinger er helt afgørende: Informationsflowet samt udvekslingen af information inden for disse tværfaglige team og på tværs af virksomheder er ekstremt vigtig, og standardiserede processer er essentielle – inden for en hel produktlivscyklus. På grund af vores åbne og transparente kommunikation sker sikkerhedsopdateringer meget hurtigt. Vi arbejder sammen med førende partnerspecialister for hele tiden at kunne udvikle informationssikkerheden.
Vi lytter til vores kunder
Brugernes tilbagemeldinger er også meget vigtige for Ypsomed, så vi hele tiden kan forbedre os og vores produkter. Uanset om der er tale om ideer, forslag til forbedringer eller klager - de er alle velkomne og bliver registreret og analyseret. Vi tilbyder også løbende træning og døgnåben kundeservice over hele verden til vores insulinpumpesystem.
Regler og standarder med fokus på informationssikkerhed
Vi taler ikke bare om, hvad vi vil gøre, vi gør det. Vi baserer vores overvågning og håndtering af cybersikkerhed for infrastrukturen på følgende generelle retningslinjer og standarder (ikke udtømmende):
EU 2016/679: forordning (EU) om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (GDPR)
IEC 62304: Software for medicinsk udstyr – Livscyklusprocesser for software
IEC 81001-5-1: Risikosikring, effektivitet og cybersikkerhed relateret til sundhedssoftware og sundheds-IT-systemer – Del 5-1: Aktiviteter i løbet af produktlivscyklussen
IEC TR 60601-4-5: Elektromedicinsk udstyr — Del 4-5 Vejledning og fortolkning — Tekniske sikkerhedsspecifikationer for medicinsk udstyr.
IEC 82304-1: Sundhedssoftware — Del 1: Generelle krav til produktsikkerhed
Kort beskrivelse af cybersikkerhed i forbindelse med mylife YpsoPump
Den downloadede app er af sikkerhedsserveren godkendt som stammende fra en pålidelig kilde. Der etableres en forbindelse mellem mylife YpsoPump og smartphonen via Bluetooth. Den korrekte insulinpumpe vælges ved hjælp af serienummeret og en 6-cifret adgangskode, som vises på insulinpumpen. På grund af sikkerhedsfunktionen kan mylife YpsoPump tilsluttes én smartphone ad gangen.
Den korrekte insulinpumpe vælges ved hjælp af serienummeret og en 6-cifret adgangskode, der vises på insulinpumpen.
Al kommunikation mellem insulinpumpen og appen er end-to-end-sikret med godkendt kryptering. Sikkerhedsserveren garanterer for appens autenticitet. Desuden er al kommunikation mellem sikkerhedsserveren og insulinpumpen end-to-end-sikret med godkendt kryptering. Selvom appen fungerer som mellemled, kan den ikke manipulere med kommunikationen. Kommunikationen mellem alle komponenter er yderligere sikret med Bluetooth og TLS-kryptering. Al kommunikation mellem appen og mylife YpsoPump-insulinpumpen er sikret med kryptering, som er specifik for en parret app og insulinpumpe. Da en insulinpumpe f.eks. ikke kan læse kommandoer, som er rettet mod en anden insulinpumpe, er det muligt at omdirigere angreb.
Sikker kommunikation mellem mylife YpsoPump, appen og sikkerhedsserveren.
