You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 10 Current »

Frage:
Wie wird custo diagnostic verteilt und aktualisiert?

Antwort:
custo diagnostic 5 besteht aus zwei Teilen. Einem Server und den Clients. Der custo diagnostic server wird üblicherweise beim Errichten einer Anlage von Fachpersonal installiert und in Betrieb genommen. Das Setup des custo diagnostic servers steht als ausführbare Exe-Datei zur Verfügung. Der custo diagnostic client steht als MSI-Installationspaket zur Verfügung und kann entweder manuell auf einem Computer installiert werden, oder durch ein Softwareverteilungssystem auf vielen Computern ausgerollt werden.
Die Aktualisierung des custo diagnostic servers wird manuell durchgeführt, durch Deinstallation/Installation. Die Aktualisierung des custo diagnostic clients kann entweder durch die in custo diagnostic integrierte automatische Updatefunktion, oder durch ausrollen des MSI-Installationspaketes erfolgen. Ein manuelles Update ist selbstverständlich auch jederzeit möglich.
Bitte beachten Sie die dokumentierten Kompatibilitäts-Vorgaben. 


Frage:
Werden die Mitarbeiter regelmäßig zu Datenschutz und Informationssicherheit (DIS) geschult?

Antwort:
Ja, alle Mitarbeiter werden regelmäßig geschult und in Schulungsnachweisen dokumentiert.


Frage:
Welche Zertifizierungen liegen für die custo med-Software vor?

Antwort:
Die custo med-Software (benannt als "custo diagnostic") bis Version 5.6 ist Teil eines Medizinproduktes. Ab custo diagnostic 5.8 ist custo diagnostic ein eigenständiges Medizinprodukt unter MDR. Deshalb sind vorrangig die Zertifizierungen für das Medizinprodukt zu beachten.

  • Medizinprodukte gemäß MDD bzw. MDR
  • Qualitätsmanagement nach DIN EN ISO 13485
  • Risikomanagement nach DIN EN ISO 14971
  • Softwareentwicklung nach IEC 62304


Frage:
Gibt es Zertifizierungen für Geräte und Zubehör?

Antwort:
custo med-Medizinprodukte sind als Medizinprodukt zertifiziert. Der Nachweis dafür liegt als Konformitätserklärung dem Produkt bei. Nicht-Medizinprodukte von custo med sind zumindest in einer Produktakte dokumentiert. Für einige Zubehöre liegen z.B. auch Biokompatibilitätsgutachten vor.


Frage:
Ist ein Verfahren zur Identifizierung des Nutzers vorhanden?

Antwort:
Ja, über Benutzerauthentifizierung in der custo diagnostic. Dafür stellt custo diagnostic eine integrierte Benutzerdatenbank zur Verfügung. Optional kann custo diagnostic Benutzer auch über eine LDAP-Anbindung authentifizieren.


Frage:
Erfolgt eine zentral überwachte Passwortvergabe mit entsprechenden Anforderungen an die Komplexität des Passwortes (Anzahl Stellen, Zeichen) und die Häufigkeit der Änderung desselben?

Antwort:
Ja, custo diagnostic besitzt eine datenschutzgerechte Konfiguration der Komplexität der Benutzerpasswörter. Häufigkeit der Änderung und Alterung sind nicht enthalten. Optional kann die Passwortkomplexität auch über die LDAP-Anbindung in ein Active Directory verlagert werden.


Frage:
Wie erfolgt die Überprüfung der Zugriffsberechtigung beim Login?

Antwort:
Die integrierte Benutzerdatenbank ermöglicht auch eine umfangreiche Rechtevergabe für einzelne Benutzer oder ganze Gruppen. Beim Anmelden eines Benutzers werden diese Rechte geprüft und dem Benutzer entsprechend Funktionen freigeschaltet.


Frage:
Erfolgt ein Sperren des Zugriffes bei fehlerhaften Zugriffsversuchen (Anzahl)?

Antwort:
Ja, nach 10 fehlgeschlagenen Login-Versuchen wird der Zugang für 1 Minute gesperrt.


Frage:
Werden vertrauliche Daten auf der lokalen Festplatte des Laptops gespeichert? Wem gehören diese Datenträger/Geräte?

Antwort:
Zur Unterstützung der Arbeitseffizienz eines Benutzers werden Untersuchungsdaten beim Öffnen einer Auswertung auf den lokalen Computer heruntergeladen. Das Arbeitsverzeichnis ist hierbei das offizielle Temp-Verzeichnis des Benutzers, bzw. von Windows. custo diagnostic löscht diese Dateien nicht selbstständig. Das Leeren des Tempverzeichnisses muss durch den Systemverwalter erfolgen. In weiteren lokal gespeicherten Dateien, wie Log-Dateien sind keine personenbezogenen Daten oder andere sensible Daten gespeichert.
Die Datenträger/Geräte gehören immer dem Betreiber. custo med GmbH oder seine Lieferanten haben keine Besitzrechte an diesen Datenträgern/Geräten.


Frage:
Wurde eine Risikobewertung zur Verschlüsselung von Daten durchgeführt?

Antwort:
Die Verschlüsselung der zwischen Client und Server übertragenen Daten basiert auf der https-Technik. Ja, eine Risikobewertung wurde im Rahmen der Entwicklung durchgeführt. Für die Verschlüsselung der ruhenden Daten ist der Betreiber verantwortlich.


Frage:
Wie werden vertrauliche (elektronische) Daten archiviert (z.B. Share, externe Datenträger, Archivierungssystem)?

Antwort:
custo diagnostic speichert alle Daten ausschließlich in einer zentral gelagerten Datenbank und in einem Dateiverzeichnis auf dem custo diagnostic server-Computer. Eine allgemeine Archivierungsfunktion ist nicht vorhanden. Einzelne Datensätze können durch einen autorisierten Anwender in ein beliebiges Verzeichnis exportiert werden.


Frage:
Werden regelmäßig PenTests durchgeführt und protokolliert?

Antwort:
Einzelne Pen-Tests sind bereits durchgeführt und protokolliert worden. Regelmäßige PenTests sind geplant.


Frage:
Gibt es Ergebnisse von PenTests, oder Scans der Systeme?

Antwort:
Nein, derzeit sind noch keine öffentlichen Ergebnisse verfügbar.


Frage:
Werden die Systeme regelmäßig nach Schwächen gescannt?

Antwort:
Ja, während der Entwicklung werden mehrere Tools zum Scannen von Schwächen eingesetzt. Darunter ist auch ein SAST-Tool.


Frage:
Wird regelmäßig geprüft, ob es Vulnerabilities der eingesetzten Komponenten gibt (Third Party Tools)?

Antwort:
Ja, alle Third Party Tools werden gemäß der Prozessbeschreibung "PB Entwicklung SW" regelmäßig auf Vulnerabilities geprüft und je nach Schwere auch öffentlich mitgeteilt.


Frage:
Welche Third Party Komponenten werden verwendet (z.B. Open Source)?

Antwort:
Die genaue Liste ist in der Produktakte beschrieben. Die Lizenzbestimmungen für die lizenzpflichtigen Komponenten sind im Info-Fenster vom custo manager client einsehbar.


Frage:
Folgen Sie den Regeln des Open Web Application Security Project (OWA SP)?

Antwort:
Ja, Software wird unter den Vorgaben der DIN EN 60601-4-5 und DIN EN 81001-5-1 entwickelt. Die OWASP Aspekte werden per SAST-Tool geprüft.


Frage:
Folgen Sie den Grundsätzen für sichere Softwareentwicklung (z.B. Vermeidung von SQL-Injektion, Cross-Site Scripting, Cross-Site Request Forgery, etc)?

Antwort:
Ja, Software wird unter den Vorgaben der DIN EN 60601-4-5 und DIN EN 81001-5-1 entwickelt.


Frage:

Ist für die Software spezielle Hardware notwendig?

Antwort:

Nein. custo diagnostic 5.x ist ein Standard-x86-Windows-Programm, deshalb können Standard PCs und Server verwendet werden. Die Systemvoraussetzungen finden Sie hier (für den Klinik-Bereich hier).


Frage:

Könnte unser Image (des Betriebssystems) darauf installiert werden?

Antwort:

Ja, solange die x86-Kompatibilität sichergestellt ist. Die Systemvoraussetzungen finden Sie hier (für den Klinik-Bereich hier).


Frage:

Kann die Software von uns installiert werden, oder nur von Ihnen?

Antwort:

custo diagnostic 5.x ist Teil eines Medizinproduktes (ab MDR: ist ein Medizinprodukt). Die Installation und Inbetriebnahme von Medizinprodukten unterliegt den Regularien des MPG und der MpBetreibV. Deshalb darf die Installation nur durch den von custo med autorisierten Fachhandel durchgeführt werden. Die reine Softwareinstallation kann in Absprache mit unserem autorisierten Fachhandel auch durch Ihre Softwareverteilung erfolgen.


Frage:

Gibt es Installationsrestriktionen wie z.B. Lizenzen? (Installation beschränkt auf Anzahl x PCs, parallele Nutzung auf Anzahl x PCs / User beschränkt? Lizenz-Dongle oder ähnliches notwendig?)

Antwort:

Dongles werden in custo diagnostic 5.x nicht verwendet. Die Lizenz besteht aus einer softwarebasierten, in custo diagnostic server integrierten Lösung. Es ist keine Zusatzsoftware notwendig. Die Lizenzausstattung bestimmt verfügbare Untersuchungsarten, Module, Schnittstellen und auch Anzahl gleichzeitiger Benutzer in custo diagnostic. Die Anzahl der Computer ist nicht begrenzt.


Frage:

Muss die Software nach der Installation noch konfiguriert werden bzw. müssen Anpassungen vorgenommen werden?

Antwort:

Ja. Das erfolgt in der Regel in Absprache mit den Anwendern durch den von custo med autorisierten Fachhandel.


Frage:

Wo werden die Daten gespeichert?

Antwort:

custo diagnostic server ist ein Standard-Windows-Programm und benutzt eine Datenbank (z.B. Microsoft SQL oder Maria DB) und das lokale Filesystem des Servercomputers, auf dem custo diagnostic server läuft, als Datenspeicher.


Frage:

In welcher Form (Datenbank, Filesystem) werden die Daten gespeichert?

Antwort:

Die Daten werden allgemein in einer SQL-basierten Datenbank gespeichert. Möglich sind Microsoft SQL oder Maria DB. Untersuchungs-Roh-Daten, wie z.B. EKG-Streifen etc. werden als Dateien im Dateisystem des Servercomputers gespeichert. Hier finden Sie eine Architekturübersicht.


  • No labels