Блог a1qa

О тестировании и качестве ПО

Как тестирование ИТ-решений для здравоохранения помогает соответствовать нормам HIPAA?

К моменту ввода режима изоляции из-за пандемии спрос на расширение возможностей электронного здравоохранения в России уже сформировался, а COVID-19 стал триггером ускоренного развития цифровых медицинских услуг. В 2020 году сервисы в этой сфере стали наиболее востребованными среди госуслуг и опередили на треть сектор налогов и сборов по числу пользователей.

Спрос рождает предложение, поэтому на рынке появляется всё больше медицинских программ-ассистентов, которые сохраняют и анализируют массивы персональной информации пациентов. Поэтому так важно убедиться, что ПО гарантирует безопасность и не приносит никакого вреда, а также соответствует стандартам HIPAA (Health Insurance Portability and Accountability Act, Медицинское страхование Портативность и Акт об ответственности). В этой статье мы расскажем о ключевых аспектах безопасности медицинских данных, а также о роли QA при внедрении международных стандартов качества.

Нормы HIPAA: рассматривать нельзя игнорировать

Подтверждение соответствия нормам HIPAA — один из важных этапов оценки работоспособности ПО индустрии электронного здравоохранения. Нарушение правил ведёт к значительным штрафам (например, в 2019 году средний размер штрафа HIPAA достиг 1,2 миллиона долларов, и сейчас эти цифры являются нормой). В последние годы, наряду с заметным увеличением подобных выплат, выросло и количество судебных дел о нарушениях норм.

При переходе к хранению и управлению цифровыми документами защита информации становится всё более приоритетной. Предприятиям следует принимать меры безопасности, поскольку личные данные могут стать объектом кибератак и ненадлежащего использования данных. В материалах журнала HIPAA говорится, что количество преступных действий растёт в последние годы. В общей сложности в 2019 году у 34,9 миллиона пользователей одной из стран была скомпрометирована их личная медицинская информация.

graph

Источник: HIPAA Journal 2020

Три краеугольных камня HIPAA

В рамках юридических норм в области электронного здравоохранения каждая организация и её партнеры обязуются соблюдать законодательство. Возникает вопрос: «Каким правилам должны соответствовать ИТ-решения для этой индустрии?»

Несмотря на отсутствие жёсткости в формулировании норм, хранителям конфиденциальной информации стоит использовать цифровые, материальные и управленческие гарантии в своей работе, а также проводить оценку рисков и анализировать способы устранения последствий утечки информации.

Давайте подробнее рассмотрим основные принципы каждой нормы HIPAA, которая помогает обеспечить полную конфиденциальность.

1. Технические гарантии

Хакерские атаки и ИТ-инциденты в настоящее время являются основными причинами нарушения безопасности данных. Хотя организации теперь гораздо лучше обучены выявлению незаконного использования, количество кибератак только растёт. К 2019 году этот показатель достиг 303 случаев за год.

Цифровые правила, предназначенные для защиты охраняемой информации о состоянии здоровья (ОИСЗ), предполагают шифрование данных независимо от того, передаются они внутри компании, перемещаются за пределы внутренних серверов межсетевого экрана организации или остаются в хранилище. Следовательно, если информация попадёт в руки мошенников, они не смогут прочитать, расшифровать и использовать её.

Хотя шифрование становится обычным явлением, HIPAA предлагает такие механизмы защиты, как внедрение мощного регулирования доступа, создание журналов активности и контроля аудита, применение аутентификации ОИСЗ и выполнение автоматического выхода.

2. Физические гарантии

Выходя за рамки онлайн-пространства, стоит использовать все виды устройств для доступа к безопасности личной информации. Компании выбирают различные сценарии хранения данных и они должны быть хорошо защищены, чтобы предотвратить использование незапрашиваемых данных. Не имеет значения, идёт ли речь о локальных, облачных или арендованных серверах.

Таким образом, меры защиты материалов HIPAA включают в себя соблюдение правил использования рабочих станций, внедрение надёжного управления оборудованием и его детальное описание.

3. Административные гарантии

Ещё один ключевой аспект списка требований HIPAA ― регулирование рисков. Этот фактор находится под самым тщательным контролем. Чтобы соответствовать нормам, специалисты HIPAA рекомендуют проводить оценку рисков, уделять внимание планированию, а также ограничивать доступ третьих лиц к чему-то.

QA как ускоритель процесса адаптации по нормам HIPAA

Развитие и цифровая жизнь любого ИТ-решения с годами ускоряется. Из-за жёсткой конкуренции на рынке и высоких ожиданий пользователей компании делают всё возможное, чтобы выпускать надёжное программное обеспечение в короткие сроки.

Что касается программных продуктов для электронного здравоохранения, компаниям следует уделять особое внимание потенциальным сбоям в работе. QA может быть мощным способом обеспечения безупречной работы и соблюдения всех требований безопасности.

Тестирование безопасности лежит в основе соответствия нормам HIPPA, поскольку основная его цель ― обеспечить конфиденциальность данных и доверие конечного пользователя к приложению. Тестирование на проникновение ― наиболее прогрессивный и актуальный подход к получению таких результатов. Действуя как настоящие хакеры, специалисты могут вовремя выявить узкие места, чтобы снизить вероятность киберинцидентов.

Однако соответствие HIPAA ― не единственное, что указывает на работоспособность приложения и удовлетворённость клиентов. «Смотреть» на приложение необходимо под разными углами, чтобы гарантировать его полноценную и бесперебойную работу. Поскольку не существует унифицированной QA-стратегии для каждого проекта, конкретные бизнес-потребности и цели формируют пакет операций по обеспечению качества.

Но компании могут выбрать полный цикл тестирования, что помогает определить необходимые типы тестирования, выполняемые на всех этапах жизненного цикла ПО. Подобный подход может включать в себя функциональное тестирование и тестирование совместимости, мобильное тестирование и тестирование производительности, а также другие тесты, соответствующие бизнес-целям проекта. Таким образом, можно быть уверенным в качестве программного обеспечения и предотвратить любые дефекты на этапе ввода в эксплуатацию.

В качестве примера приведём кейс: команда a1qa оказала поддержку по качеству, включая помощь в соблюдении требований HIPAA, разработчику EHR-системы. Помимо прохождения сертификации HIPAA, специалисты провели функциональное, интеграционное, тестирование безопасности и совместимости. Это помогло тестируемому ИТ-решению успешно пройти контроль безопасности и конфиденциальности, обеспечило полную защиту пользовательских данных.

Заключение

В условиях высокой ответственности разработчиков ПО перед пользователями в отрасли здравоохранения, соблюдение стандартов стало неотъемлемой частью развития медицинского программного обеспечения.

Согласно правилам HIPAA, любое программное решение должно включать в себя цифровые, материальные и управленческие меры безопасности, а также непрерывное обслуживание.

Чтобы гарантировать выпуск медицинских ИТ-продуктов и обеспечить их высокое качество и полную конфиденциальность, предприятиям следует рассматривать тестирование программного обеспечения как неотъемлемый элемент цикла разработки ПО. Следовательно, применяя комплексный пакет QA-услуг, можно достичь желаемых результатов и удовлетворить потребности конечных пользователей в сжатые сроки.

Нужна поддержка в тестировании программного обеспечения для индустрии электронного здравоохранения? Свяжитесь с нами, чтобы получить консультацию у наших экспертов.

Поделиться статьей: