• Protección de datos

Por qué los exámenes están seguros con easyRadiology

easyRadiology utiliza encriptación de grado militar para proteger los exámenes de sus pacientes. Ni siquiera el personal de easyRadiology podrá acceder a sus datos, ya que sólo usted posee las claves de los mismos. A continuación explicamos la tecnología exacta que utilizamos.

  • Sus exámenes se almacenan en un archivo ZIP cifrado
  • Las imágenes encriptadas se cargan desde el servidor y se desencriptan en su navegador
  • Solo usted conoce la contraseña
  • Ni con las últimas tecnologías es imposible romper el cifrado
  • La contraseña nunca se transfiere a nuestro servidor (sino que permanece en su navegador)
  • Usted mismo nos puede auditar

Más argumentos a favor de easyRadiology

Un experto en criptografía dice…

«El cifrado es la única esperanza para luchar contra cualquier tipo de vigilancia. Si todos nuestros datos, incluidas nuestras comunicaciones, estuvieran cifrados de este modo, de extremo a extremo… entonces nadie conseguiría entenderlos.»

¡Las claves le pertenecen sólo a usted!

Le aseguramos que easyRadiology no posee ni almacena la clave de encriptación de los exámenes que usted cargue. Para las radiologías disponemos de un software de servidor especial que se ejecuta en los servidores del hospital. Las claves de cifrado de los exámenes se emiten en un documento fácil de leer y entender para los pacientes.

Uso de estándares

easyRadiology utiliza estándares para su formato de archivo y para la encriptación, lo que es importante para evitar la implementación de errores en el código que podrían vulnerar la seguridad. Así, el formato de archivo es un ZIP estándar y el cifrado se realiza con AES (256 bits).

Ninguna oportunidad para los intrusos («hackers»)

Incluso si el servidor de un hospital con una instalación local de easyRadiology se viera comprometido, los intrusos no podrán descifrar los exámenes radiológicos del paciente, sino que sólo encontrarán datos cifrados.en.

TECNOLOGÍA DE ENCRIPTACIÓN DE VANGUARDIA

En una época en la que los servidores de los hospitales están interconectados con Internet, siempre existe la amenaza de que se produzcan problemas de seguridad de los datos, y que los datos de los pacientes se hagan públicos. En nuestra empresa, easyRadiology, nos tomamos muy en serio la protección de datos, sobre todo porque todos y cada uno de los archivos DICOM de radiología contienen datos de pacientes como el nombre y la fecha de nacimiento.
Nuestra empresa tiene experiencia en seguridad, especialmente en software de encriptación. El Dr. Weihrauch empezó a desarrollar herramientas de cifrado («Crypt», C++) durante sus estudios de medicina y mejoró sus conocimientos con su proyecto de código abierto «NoSSL, JS/PHP». Recientemente, ha desarrollado un proyecto de cifrado específico para easyRadiology (Net-Core-JS-Verschlüsselung-Entschlüsselung, .NET Core / JS).

Visítenos sin avisar y compruébelo usted mismo

Sabemos que no es fácil confiar en cualquier empresa en Internet. Por ello, ofrecemos a todo el mundo la posibilidad de visitarnos sin cita previa (o programada, si lo prefiere) para echar un vistazo a nuestros servidores y operaciones en Internet. Para ello, traiga un ordenador portátil y un examen radiológico. Podrá cargar los archivos del examen radiológico desde su portátil y, a continuación, le guiaremos a través del procesamiento de su examen radiológico en directo en nuestro servidor. De este modo, podrá seguir el proceso y comprobar por sí mismo que su examen radiológico está totalmente codificado y que no se almacena ningún dato del paciente en nuestra base de datos ni en los servidores. Por lo tanto, es imposible – incluso para el personal de easyRadiology – acceder a los datos del paciente almacenados durante un examen radiológico.
Lo único que le pedimos a cambio es que después publique su visita y los resultados en internet y nosotros la compartiremos. Así podremos dar a conocer nuestros procesos seguros con los datos.

¡easyRadiology publica sus algoritmos de cifrado para todos!

Es de buena práctica publicar el código de cifrado como código abierto para que cualquiera pueda comprobar la seguridad de la solución línea por línea y controlar el resultado del cifrado.

1. Codificación de la carpeta del CD DICOM

El formato de imagen easyRadiology es un archivo ZIP. Contiene todos los datos DICOM originales (la carpeta CD/DVD) cifrados con AES-256. Cuando descargue y abra el archivo ZIP, verá una carpeta llamada «DICOM_CD». Para extraer los archivos o la carpeta completa, utilice software ZIP como el gratuito 7-ZIP, WinRAR, etc., ya que Windows no admite el cifrado AES-256 en archivos ZIP. Si extrae regularmente exámenes de otras radiologías, podemos proporcionarle un software especial vinculado a un escáner de códigos QR para acelerar el proceso.

La carpeta DICOM_CD se cifra con una contraseña que tiene un formato de 4x 8 (=32) caracteres separados por «-«. Tiene una aleatoriedad de 2,3 x 10^57, lo que corresponde a 192 bits. Con las tecnologías actuales, AES no puede romperse con una contraseña de 192 bits.

2. Codificacion de los datos de pacientes

Los datos del paciente se almacenan en un archivo JSON junto con las imágenes de vista previa en el contenedor ZIP. Este archivo JSON se cifra con una clave de 32 bytes (256 bits) mediante AES-256. La clave se genera a partir del código de acceso al examen. La clave se genera a partir del código de acceso al examen. El «Código de acceso al examen» se eligió para que médicos y pacientes puedan introducirlo fácilmente en el sitio web de radiología easyRadiology. El «Código de acceso al examen» utiliza sólo 9 caracteres (3 x 3, separados por «-«), que son de la A a la Z (sin «O») y del 1 al 9 (sin «0»). Esto da como resultado una aleatoriedad de 35^9 = 7,8 x 10^13. Esto sería una verdadera amenaza para la seguridad si la derivación de la clave desde el «Código de acceso al examen» hasta la clave AES-256 fuera rápida. easyRadiology, sin embargo, utiliza el algoritmo de derivación de claves «Scrypt» con una configuración que tiene un rendimiento lento en los ordenadores actuales. «En un hardware moderno y con los parámetros por defecto, el coste de descifrar la contraseña de un archivo cifrado con Scrypt es unas 100.000 millones de veces mayor que el coste de descifrar la misma contraseña de un archivo cifrado con (open)SSL normal – lo que significa que una contraseña de cinco dígitos con Scrypt es más fuerte que una contraseña de diez dígitos con openssl (tarsnap.com).

3. Códificación del código fuente en línea

Eche un vistazo al código fuente que hemos desarrollado y utilice easyRadiology aquí: https://github.com/smartinmedia/Net-Core-JS-Encryption-Decryption

Análisis de riesgos

Evaluemos los riesgos:

«Hackeo» en el servidor de easyRadiologyr

Supongamos que un pirata informático puede acceder a la base de datos y leer todos los datos. Sólo podría encontrar exámenes codificados. Si quisiera forzar la contraseña de un solo examen radiológico, atacaría el «Código de acceso al examen», porque atacar el ZIP AES-256 (clave de 192 bits) es inútil. La configuración de Scrypt para generar la clave a partir del código de acceso al examen tarda una media de 250 ms por derivación de clave en un ordenador i7. Para calcular el 50% de todas las claves posibles, esta máquina necesitaría unos 250.000 años (estimación muy conservador). Así que aunque se invirtiera en 250.000 ordenadores calculando muchas claves a la vez, llevaría un año descifrar sólo un examen radiológico con una probabilidad del 50% (de nuevo, 1 examen radiológico, para 2 exámenes radiológicos se necesitaría el doble de tiempo u ordenadores ya que los códigos de acceso y sal varían entre exámenes radiológicos). Precalcular las tablas rainbow es imposible porque «salamos» la clave antes de aplicar Scrypt. Esto no tiene en cuenta que, aunque se haya obtenido una clave única, hay que aplicarla al archivo cifrado para comprobar si la clave es correcta o no, lo que de nuevo llevaría tiempo. La posibilidad de que alguien invierta tantos recursos y dinero para descifrar un solo examen radiográfico es muy improbable.

Envío de correos electrónicos con claves de examen

Enviar la clave del examen de radiología por correo electrónico al usuario es en realidad una amenaza de seguridad más realista y debe utilizarse a discreción del usuario. El posible ataque puede venir tanto del proveedor de servicios de correo electrónico (que lee sus correos) como de cualquiera que pueda acceder a sus correos en su ordenador. Implementaremos otra opción de cifrado en este sitio web que pueda utilizar un convertidor offline y cargar el resultado en nuestra nube o tener el examen radiológico preanonimizado en su navegador. Como alternativa, puede recibir el «Código de acceso al examen» en lugar de un correo electrónico después de cargarlo en el sitio web. Sin embargo, pensamos que la mayoría de los usuarios/pacientes prefieren un servicio sencillo y aceptan el riesgo de que sus correos electrónicos puedan ser inseguros.

Perder el documento con los códigos

Siendo realistas, easyRadiology ofrece una seguridad muy buena, superando en criptografía a las soluciones de la competencia. Y lo que es más importante, el mayor riesgo para cualquier hospital (que uno o todos los datos de los pacientes queden expuestos a los piratas informáticos), desaparece gracias a las tecnologías aplicadas.
No obstante, seguimos revisando constantemente nuestra tecnología en busca de posibles mejoras y agradecemos las recomendaciones de cualquiera.

En resumen

Siendo realistas, easyRadiology ofrece una seguridad muy buena, superando en criptografía a las soluciones de la competencia. Y lo que es más importante, el mayor riesgo para cualquier hospital (que uno o todos los datos de los pacientes queden expuestos a los piratas informáticos), desaparece gracias a las tecnologías aplicadas.
No obstante, seguimos revisando constantemente nuestra tecnología en busca de posibles mejoras y agradecemos las recomendaciones de cualquiera.

Reservar una demo