إذا كانت مؤسستك تتعامل بانتظام مع بيانات حساسة ، فيجب عليك تنفيذ استراتيجيات الامتثال لأمن البيانات ليس فقط لحماية الأفراد الذين تنتمي إليهم البيانات ولكن أيضًا مؤسستك من انتهاك أي قوانين فيدرالية (مثل HIPPA ، GDPR ، إلخ). يؤثر هذا على المؤسسات في صناعات مثل الرعاية الصحية ، والخدمات المصرفية ، والحكومة ، والقانونية ... حقًا أي منظمة تتعامل مع البيانات الحساسة.
نحن نتحدث عنه PII (معلومات التعريف الشخصية) و PHI (المعلومات الصحية المحمية). أمثلة على معلومات تحديد الهوية الشخصية-
- أرقام الضمان الاجتماعي
- حسابات بنكية
- الأسماء الكاملة
- أرقام جواز السفر ، إلخ.
أمثلة على المعلومات الصحية المحمية-
- السجلات الصحية
- نتائج المختبر
- الفواتير الطبية وما في حكمها والتي تشمل المعرفات الفردية
طرق حماية البيانات الحساسة
وصف بعض العملاء أساليبهم على أنها مشاهد قد تتخيلها في بعض الأفلام التي شاهدتها ... تخيل مجموعة من الأشخاص المسلحين بالتراخيص الأمنية المطلوبة وهم يتجمعون في غرفة مقفلة ، بدون نوافذ ، للتحقق يدويًا من مطبوعات التقارير للتأكد من أن المعلومات الحساسة غير مرفق. في حين أن هذا يؤدي إلى مشهد سينمائي درامي ، إلا أنه ليس الطريقة الأكثر مضمونة ولا هي الطريقة الأكثر فاعلية لاختبار التقارير للحصول على معلومات حساسة. ومع متطلبات القوى العاملة لـ Covid-19 عن بُعد ، فإن هذا ببساطة غير ممكن في الوقت الحالي.
لقد ساعدنا العديد من عملائنا على تطبيق قوة الاختبار الآلي لاختبار مخرجات تقارير Cognos الخاصة بهم بشكل ديناميكي. تلتقط استراتيجية الاختبار هذه التقارير مبكرًا ، بمجرد خروجها عن الامتثال ، وقبل أن ينتهي بها الأمر في الإنتاج لينتهي بها الأمر في الأيدي الخطأ. من الجيد دائمًا معرفة مكان أقرب مكتب ضمان اجتماعي لك ، مثل مكاتب الضمان الاجتماعي في ولاية نيفادا، في حالة حدوث الأسوأ ، حيث سيعرف الفريق في مكتبك المحلي كيفية إدارة الموقف.
قيمة الاختبار المبكر في دورات التنمية
يمكن أن يساعد اكتشاف الثغرات الأمنية في البيانات في وقت مبكر من مرحلة التطوير في تجنب أي غرامات وعقوبات تفرضها الحكومة في المستقبل. وفقا ل وزارة الصحة والخدمات البشريةحتى الآن ، "قام مكتب الحقوق المدنية (OCR) بتسوية أو فرض غرامة مالية مدنية في 75 قضية نتج عنها مبلغ إجمالي بالدولار قدره 116,303,582.00 دولارًا." هذا أكثر من 1.5 مليون دولار لكل حالة! وبحسب ال مجلة HIPAA يعد "الفشل في إجراء تحليل للمخاطر على مستوى المؤسسة أحد أكثر انتهاكات HIPAA شيوعًا والتي تؤدي إلى عقوبة مالية".
بصرف النظر عن تجنب العقوبات التي تفرضها الحكومة ، من المهم بشكل عام اكتشاف الأخطاء في وقت مبكر من دورة التطوير لأن هذه هي المرحلة التي يكون فيها إصلاح المشكلات أسهل بكثير وأقل تكلفة. نتيجة لذلك ، فإن الهدف الرئيسي من هذا التمرين هو الاستخدام MotioCIقوة اختبار الانحدار لتحديد مثل هذه الأخطاء بسهولة وبالتالي منعها في وقت مبكر من دورة التطوير.
دعنا نلقي نظرة على كيفية إعداد الاختبار. سنبدأ بإعداد بيئة Cognos الخاصة بنا ثم نشرح كيفية إعداد الاختبار الآلي لبيانات PHI و PII لمثالنا. سنستخدم أيضًا حالات الاختبار هذه في بيئة الإنتاج للحصول على مستوى إضافي من التحقق من الامتثال والأمان.
إعداد بيئة كوجنوس PHI & PII
تتكون عينة بيئة Cognos الخاصة بنا (الشكل 1) من عدة تقارير ، يحتوي كل منها على مزيج من بيانات PII و PHI الحساسة (على سبيل المثال ، رمز التشخيص ، والوصفات الطبية ، ورقم الضمان الاجتماعي ، والاسم الأخير للمريض وما إلى ذلك) والبيانات الحساسة للغاية (على سبيل المثال ، المريض الاسم الأول وتاريخ الزيارة وما إلى ذلك).
الشكل 1: نموذجنا لبيئة كوجنوس.
هناك نوعان من أدوار Cognos ، السماحPII و السماحPHI، والتي تحدد ما إذا كان يتم تقديم أي من البيانات الحساسة عند تنفيذ التقارير. (الجدول 1)
| أدوار كوجنوس | ملاحظة |
| السماحPII | يمكن لأعضاء هذا الدور عرض جميع بيانات PII (أي رقم الضمان الاجتماعي والاسم الأخير للمريض) في تقارير Cognos. |
| السماحPHI | يمكن لأعضاء هذا الدور عرض جميع بيانات PHI (مثل أكواد تشخيص ICD10 ووصف التشخيص التفصيلي وما إلى ذلك) في تقارير Cognos. |
الجدول 1: أدوار Cognos التي تتحكم في تسليم البيانات الحساسة.
على سبيل المثال ، المستخدم الذي يفتقر إلى كل من أدوار Cognos الخاصة بنا ، يجب أن يبدو تقرير "Patient Daily Intake" على النحو التالي (الشكل 2):
الشكل 2: إخراج التقرير الذي تم إنتاجه بواسطة مستخدم يفتقر إلى كل من الدورين AllowPII و AllowPHI.
كما ترى ، فإن جميع بيانات PHI و PII محجوبة تمامًا عن المستخدم الذي يفتقر إلى العضوية في كل من أدوار "AllowPHI / PII".
الآن ، لنقم بتشغيل التقرير مع مستخدم عضو في دور "AllowPII" ، مما يعني أننا نتوقع أن يكون هذا المستخدم قادرًا على عرض بيانات PII فقط (الشكل 3):
الشكل 3: إخراج التقرير الذي تم إنتاجه بواسطة مستخدم عضو في دور AllowPII وليس دور AllowPHI.
ويمكنك أن ترى هنا أن كلا من أعمدة رقم الضمان الاجتماعي واسم العائلة يظهران بشكل مناسب دون أي تنقيح.
لقد ألقينا حتى الآن لمحة عن بيئة كوجنوس في عيادتنا الأسطورية وكل ما رأيناه حتى الآن هو أمان بيانات كوجنوس القائم على الأدوار والذي ربما قام الكثير منكم بتنفيذه بالفعل في بيئات كوجنوس الخاصة بك. سيقودنا هذا بعد ذلك إلى السؤال الرئيسي الذي يأمل حاملو البيانات الحساسة ألا يواجهوه أبدًا:
ماذا لو ، على سبيل المثال ، بعد بعض جهود التطوير المكثفة ، تسللت بعض البيانات الحساسة وبدأت في الظهور للمستخدمين الذين لا يُفترض بهم رؤيتها؟
من المؤكد أن الأخطاء لا مفر منها ، لذا سنستخدمها لاحقًا في المدونة MotioCIقوة اختبار الانحدار لمراقبة تقاريرنا بعناية للتأكد من عدم تعرض البيانات الخاصة للجمهور غير المقصود.
فهم اختبار الامتثال لـ Cognos
كما هو مذكور في القسم السابق ، قد تؤدي الأخطاء البسيطة في تأليف التقارير أو النمذجة إلى سلوك غير مرغوب فيه في إخراج التقارير في بيئة Cognos الخاصة بك. وإذا لم يتم اكتشاف هذه التغييرات ، فمن المحتمل أن تتسلل إلى بيئة الإنتاج الخاصة بك. والشيء الأكثر كارثية هو أنه إذا تضمنت هذه التغييرات غير المرغوب فيها الكشف عن البيانات الخاصة لجمهور غير مقصود.
على سبيل المثال ، مستخدم ليس عضوا في أي منهما السماحPII or السماحPHI ليس من المفترض أن ترى أدوار Cognos بيانات PII أو PHI الخاصة في نموذج بيئة Cognos الخاصة بنا. ومع ذلك ، كما ترى أدناه (الشكل 4) ، تسبب تغيير بسيط في نموذج FM في تعريض وصف التشخيص ورقم SSN الخاص بالمريض لمثل هذا المستخدم ، وهو انتهاك كبير لقاعدة HIPAA الأمنية الفيدرالية.
الشكل 4: المستخدم الذي لا يمتلك عضوية في AllowPII و AllowPHI يتعرض بطريقة ما لبيانات حساسة لـ HIPAA.
قبل نقل الأشياء إلى MotioCI، سنقوم أولاً بإنشاء ثلاثة مستخدمين للاختبار في بيئة Cognos الخاصة بنا وتعيينهم لدورين لدينا بالطريقة التالية (الجدول 2):
| المستخدمين | عضوية الدور | ملاحظة |
| تستوسيرا | السماحPII | يجب إخفاء جميع بيانات PHI عن هذا المستخدم |
| اختبار المستخدمB | السماحPHI | يجب إخفاء جميع بيانات PII عن هذا المستخدم |
| تستوسير ج | بدون اضاءة | من المتوقع ألا يرى المستخدم معلومات PHI أو PII |
الجدول 2: اختبار حسابات مستخدمي Cognos بالأدوار المخصصة لهم.
سيتم استخدام حسابات المستخدمين التجريبية هذه لاحقًا في MotioCI لاختبار الانحدار لتقاريرنا التي تحتوي على بيانات PII و PHI الحساسة. ستعتمد نتائج الاختبار الخاصة بنا على إمكانية رؤية البيانات الحساسة لكل مستخدم وفقًا لعضوية دوره.
الآن بعد أن أعددنا مستخدمي الاختبار لدينا ، نحن على استعداد لتهيئة اختبار الانحدار في MotioCI.
MotioCI إعداد البيئة
تتكون بيئة العينة الخاصة بنا من مثيلات التطوير و UAT و Product Cognos. على الرغم من MotioCI يسمح لنا بتسجيل الدخول إلى الثلاثة جميعًا في نفس الوقت ، سنبدأ في إعداد اختبار الانحدار في بيئة التطوير في ثلاث مراحل مختلفة.
الرقم 5: MotioCI شاشة الدخول.
الرقم 6: MotioCI الشاشة الرئيسية ، تظهر نسخ Cognos.
فيما يتعلق باختبار الانحدار في MotioCIو التأكيد هو فحص فردي أو "اختبار" تقوم به حالة الاختبار على كائن في MotioCI مثال ، مثل تقرير أو مجلد أو حزمة. يتم استدعاء التأكيد الذي سيؤدي مهمة اختبار مخرجات التقرير للبيانات الحساسة اختبار توافق البيانات الحساسة (الشكل 7). هذا تأكيد مخصص قمنا بتجميعه معًا لهذا التمرين. أدناه يمكنك أن ترى نوع التأكيد والذي يعمل بشكل أساسي كنموذج رئيسي يتم نسخه لاختبار الحالات في جميع أنحاء MotioCI بيئة. المزيد عن هذا لاحقًا.
الشكل 7: نوع التأكيد "اختبار توافق البيانات الحساسة". يتم نشر نسخ من هذا التأكيد في بيئة الاختبار.
توفر بعض التأكيدات لبعض وظائف المستخدم القابلة للتعديل من خلال ملف نافذة سريعة. هنا يمكنك تغيير الطريقة التي تريد من خلالها تأكيدًا معينًا لاختبار أي تقرير معين من Cognos. يوضح الشكل 8 أدناه ملف نافذة سريعة لتأكيدنا على أننا سنستخدمه لاختبار تقارير Cognos الخاصة بنا التي تحتوي على بيانات حساسة.
الشكل 8: نافذة فورية لتأكيد "اختبار توافق البيانات الحساسة" ، والتي تكشف عن جميع خيارات الاختبار القابلة للتعديل للمستخدم.
يوضح القسم العلوي المميز في الشكل 8 خيارات الاختبار للبيانات الحساسة لمعلومات PII و PHI. يتيح لك ذلك إجراء اختبار التأكيد على ما إذا كان يجب على التقرير إظهار أو إخفاء بيانات PII أو PHI الخاصة به. سنجري تغييرات على هذين الخيارين عندما نبدأ في إنشاء حالات اختبار لكل من مستخدمي الاختبار الثلاثة لدينا.
يعرض القسم الأوسط المميز في الشكل 8 أسماء الأعمدة التي تحتوي على بيانات حساسة لمعلومات الصحة المحمية في تقاريرنا. على الرغم من أن بيئة العينة الخاصة بنا تتكون من أعمدة بأسماء رمز التشخيص ICD10 ، ووصف التشخيص ، والإجراء ، و Rx ، يمكنك بالتأكيد تعديل هذه القائمة لتناسب احتياجاتك.
أخيرًا ، يعرض القسم المظلل السفلي في الشكل 8 خيارات البريد الإلكتروني. في حالة الفشل ، سيرسل هذا التأكيد رسالة بريد إلكتروني مفصلة إلى المستلم الذي تم تكوينه في هذا القسم.
المرحلة الأولى: التقارير التي تعرض معلومات تحديد الهوية الشخصية فقط
لنقم بإنشاء مشروع تحت التطوير التجاري المثال في MotioCI و نسميها السماح لمعلومات تحديد الهوية الشخصية فقط. يمكننا القيام بذلك عن طريق النقر بزر الماوس الأيمن أولاً على ملف التطوير التجاري عقدة المثيل في MotioCI شجرة التنقل واختيار إضافة مشروع الخيار (الشكل 9).
الشكل 9: إنشاء مشروع جديد. في MotioCI يعمل كل مشروع كأرض اختبار لقسم محدد مسبقًا من متجر المحتوى.
• إضافة معالج المشروع سيأخذك خلال بعض الخطوات لتحديد المسارات اللازمة لمشروعك. في مثالنا ، توجد جميع التقارير التي تحتوي على بيانات حساسة لمعلومات PII و PHI ضمن بيانات المريض مجلد. سيؤدي التحقق من هذا المجلد الأصلي إلى تضمين جميع التقارير الأساسية تلقائيًا (الشكلان 10 و 11).
الشكل 10: تحديد نطاق المشروع في MotioCI من خلال تحديد المسارات من بيئة Cognos.
الشكل 11: عرض كل كائنات Cognos المحددة لملف MotioCI مشروع.
نظرًا لأنه من المتوقع أن تسمح جميع التقارير في هذا المشروع بعرض جميع بيانات PII وتشويش جميع المعلومات الصحية المحمية ، فسنحتاج إلى تكوين نوع التأكيد الخاص بنا بالإعدادات الصحيحة قبل إضافة أي حالات اختبار (الشكل 12). هذا يعني تعيين خياري الاختبار على نفس التأكيد نافذة سريعة التي رأيناها من قبل في الشكل 8.
الشكل 12: خيارات اختبار PII و PHI لتأكيد "اختبار توافق البيانات الحساسة".
نحن الآن جاهزون لإضافة حالات الاختبار الخاصة بنا إلى تقاريرنا. للقيام بذلك ، انقر بزر الماوس الأيمن على عقدة المشروع (مثل السماح لمعلومات تحديد الهوية الشخصية فقط مشروع) في MotioCI وحدد توليد حالات الاختبار الخيار (الشكل 13). سيبدأ هذا معالج إنشاء حالة الاختبار والذي سيسمح لنا بإنشاء عدد كبير من حالات الاختبار لجميع التقارير داخل المشروع.
الرقم 13: MotioCI يمكنه إنشاء جميع حالات الاختبار اللازمة تلقائيًا على أي مستوى من داخل المشروع.
• إنشاء حالة الاختبار سيسمح لنا المعالج أيضًا بتحديد تنسيقات الإخراج لحالة الاختبار التي نرغب في إجراء الاختبارات عليها. بالنسبة لبيئة العينة الخاصة بنا ، اخترت إخراج CSV. سيسمح لنا المعالج أيضًا باختيار التأكيدات التي ستستخدمها كل حالة اختبار للوظيفة الفعلية للاختبار. وبالنسبة لنا سيكون ذلك اختبار توافق البيانات الحساسة تأكيد. يمكنك رؤية كلا الخيارين مبرزين أدناه (الشكل 14).
الشكل 14: الخيارات التي تم الكشف عنها أثناء معالج "إنشاء حالات الاختبار".
بعد النقر فوق "موافق" ، سيتم نقلك مرة أخرى إلى MotioCI الشاشة الرئيسية ، حيث ستتمكن من رؤية جميع تقاريرنا التي يحتوي كل منها على حالة اختبار واحدة وكل منها يحتوي على تأكيدنا الفردي (الشكل 15).
الرقم 15: MotioCI شجرة تنقل تعرض جميع كائنات Cognos الآن تحتوي كل منها على حالة اختبار والتأكيد الأساسي.
أخيرًا ، نحتاج إلى تكوين جميع حالات الاختبار لتنفيذ التقارير الرئيسية الخاصة بهم باستخدام مستخدم Cognos الصحيح (على سبيل المثال ، أحد مستخدمي الاختبار الثلاثة الذين قمنا بتكوينهم في Cognos قبل إعداد الأشياء في MotioCI). ومنذ ذلك الحين ، نقوم باختبار هذا المشروع للتأكد من أن محتوى المعلومات الصحية المحمية ليس معروضة للمستخدمين المسموح لهم فقط بعرض بيانات PII ، سنحتاج إلى تعيين جميع حالات الاختبار للتشغيل معها تستوسيرا (انظر الجدول 2).
في البداية ، قد يبدو هذا وكأنه مهمة شاقة ، ولكن من حسن حظنا أنه يمكننا تعيين المستخدم على مستوى المشروع الذي سيتم توريثه بعد ذلك من قبل جميع حالات الاختبار الأساسية في هذا المشروع. للقيام بذلك ، في شجرة التنقل اليسرى ، سنضغط على عقدة المشروع ( السماح لمعلومات تحديد الهوية الشخصية فقط المشروع) ثم حدد ملف إعدادات المشروع في منتصف الشاشة. ثم ، تحت الاختبار في القسم ، سنرى خيارًا لتغيير بيانات الاعتماد (الشكل 16):
الشكل 16: تعيين بيانات اعتماد المستخدم في المشروع سيؤدي إلى قيام كل حالات الاختبار بتنفيذ تقرير Cognos الرئيسي في Cognos مع هذا المستخدم. يمكن الكتابة فوق هذا من قبل كل حالة اختبار على حدة.
بعد النقر على تعديل الموجود أمام أوراق اعتماد الخيار ، سيتم تقديمنا مع تحرير بيانات الاعتماد نافذة او شباك. سنمضي قدمًا وإدخال بيانات الاعتماد لـ تستوسيرا (الشكل 17).
الشكل 17: تسمح لك نافذة "تحرير بيانات الاعتماد" بتعيين بيانات اعتماد مستخدم جديدة ، أو استخدام بيانات الاعتماد الأصلية التي تم تعيينها على مستوى نسخة Cognos ، والمعروفة أيضًا باسم بيانات اعتماد النظام.
نرى الآن المستخدم الجديد ينعكس في ملف الاختبار مقطع من إعدادات المشروع علامة التبويب (الشكل 18).
الشكل 18: تم الآن تعيين بيانات اعتماد المستخدم الجديدة في المشروع.
نحن الآن جاهزون ومستعدون لتنفيذ جميع حالات الاختبار الخاصة بنا.
للقيام بذلك ، سوف نضغط على السماح لمعلومات تحديد الهوية الشخصية فقط المشروع وفي المنتصف سيتم تقديم حالات تجريبية علامة التبويب التي تعرض جميع حالات الاختبار الموجودة داخل المشروع. نظرًا لأننا ما زلنا لم ننفذ أي شيء ، فسنرى ملف الحالة تظهر باسم لا يوجد نتائج. لتنفيذ جميع حالات الاختبار ، سنضغط على السهم الصغير الموجود بجانب يجري زر وحدد تشغيل الكل الخيار (الشكل 19).
الشكل 19: توفر علامة التبويب "حالات الاختبار" عددًا من الإجراءات التي يمكن تنفيذها على كل حالات الاختبار أو جزء منها بشكل مجمّع. نحن هنا نقوم فقط بتنفيذ جميع حالات الاختبار.
MotioCI سينفذ الآن جميع حالات الاختبار ويقدم لنا النتائج عند الانتهاء منها جميعًا (الشكل 20).
الشكل 20: تعرض علامة التبويب "حالات الاختبار" حالة تنفيذ كل حالة اختبار بما في ذلك المخرجات ، إن وجدت.
كما ترى ، نجحت جميع حالات الاختبار الخاصة بنا باستثناء ملف المرضى الداخليين أبلغ عن. لذا ، دعونا نلقي نظرة على النتائج. للقيام بذلك ، سنضغط على الطابع الزمني الأزرق الموجود أسفل نتيجة العمود وانظر إلى التفاصيل في الشكل 21.
الشكل 21: تعرض لوحة "نتيجة حالة الاختبار" النتائج التفصيلية لتنفيذ حالة الاختبار بما في ذلك مسار الكائن الذي تم اختباره ، ونتائج التأكيد ، وأي مخرجات ينتجها التقرير.
تحت المبادرة من نتائج التوكيد يمكننا الآن أن نرى أن تقريرنا ينتهك متطلبات الامتثال للمعلومات الصحية المحمية. يمكننا تنزيل إخراج تقرير CSV من ملف اختبار مخرجات الحالة من خلال النقر على أيقونة CSV (الشكل 21).
الشكل 22: يُظهر إخراج تقرير CSV عمود "الإجراء" المعروض الذي يجب أن يكون غامضًا لمستخدم الاختبار.
كما ترون في تقريرنا (الشكل 22) ، بالإضافة إلى بيانات PII التي لا بأس من وصول TestUserA إليها ، يمكننا رؤية بيانات إجراءات معلومات الصحة المحمية (PHI) التي تضع التقرير في انتهاك لقاعدة أمان HIPAA الفيدرالية.
إذا كنت تتذكر من نافذة إعدادات التأكيد ، فمن المفترض أيضًا أن نتلقى إشعارًا بالبريد الإلكتروني لهذا الفشل. دعونا نرى كيف يبدو ذلك (الشكل 23):
الشكل 23: رسالة بريد إلكتروني مُرسلة من خلال تأكيد حالة الاختبار الفاشلة ، والتي تُظهر خرقًا لامتثال البيانات الحساسة ، وربما يرجع ذلك إلى التغيير الأخير في التقرير.
في هذه المرحلة ، انتهينا من الاختبار للتأكد من إخفاء بيانات PHI عن المستخدمين دون الحاجة إلى السماحPHI كوجنوس وظيفة. نحن الآن على استعداد لتوسيع نطاق اختبارنا ليشمل إخفاء بيانات PII عن المستخدمين الذين يفتقرون إلى المطلوب السماحPII كوجنوس دور.
المرحلة الثانية: التقارير التي تعرض المعلومات الصحية المحمية فقط
قبل إنشاء المشروع الجديد ، دعنا أولاً نعدل خيارات التأكيد الرئيسي للتأكد من أنه يختبر الآن إخفاء جميع معلومات تحديد الهوية الشخصية وإظهار جميع المعلومات المحمية (الشكل 24).
الشكل 24: خيارات اختبار PII و PHI لتأكيد "اختبار توافق البيانات الحساسة" الذي يتم تعيينه لـ TestUserB.
بعد أن تم تكوين كل تأكيد لدينا ، نحن الآن جاهزون لإنشاء المشروع الجديد وحالات الاختبار الخاصة بنا. لذلك ، سوف نتبع نفس الخطوات كما في "المرحلة الأولى" وننشئ مشروعًا يسمى السماح PHI فقط. أيضًا ، دعونا لا ننسى إضافة بيانات اعتماد اختبار المستخدمB كمستخدم المشروع.
عندما ننتهي من جميع خطوات التكوين ، سننفذ جميع حالات الاختبار كما فعلنا في المرحلة الأولى. في بيئة العينة لدينا ، هذه المرة لدينا تقرير مختلف يبدو أنه ينتهك قانون HIPAA (الشكل 25).
الشكل 25: علامة التبويب "حالات الاختبار" التي تعرض حالة تنفيذ كل حالة اختبار بما في ذلك المخرجات ، إن وجدت.
مزيد من التحقيق في نتائج حالة الاختبار الخاصة بـ المدخول اليومي للمريض يوضح التقرير أن تقريرنا يعرض أرقام الضمان الاجتماعي للمرضى للجمهور غير المقصود (الشكل 26).
الشكل 26: نتيجة حالة الاختبار التي تُظهر انتهاكًا لمتطلبات الامتثال لمعلومات تحديد الهوية الشخصية SSN.
سيؤدي تنزيل ملف CSV وفتحه إلى تأكيد نتائج الاختبار (الشكل 27):
الشكل 27: يُظهر إخراج CSV للمريض الذي تم الكشف عنه SSN حيث كان يجب أن يكون غامضًا.
كما ترى في الشكل 27 ، فإن تقريرنا يخفي بشكل صحيح عمود الاسم الأخير للمريض (أيضًا معلومات تحديد الهوية الشخصية) من خلال عرض الحرف الأولي فقط.
| واجب منزلي! |
| كرر نفس الخطوات لـ تستوسير ج الذي يفتقر إلى كل من السماحPII و السماحPHI الأدوار ، مما يعني أنه ليس من المفترض أن يشاهدوا بيانات PII أو PHI عند تنفيذ أي من تقاريرنا. |
عند هذه النقطة ، يجب أن تكون بيئتنا قد حققت اختبار الانحدار الكامل لكل من البيانات الحساسة لمعلومات التعريف الشخصية (PHI) ومعلومات التعريف الشخصية (PII) باستخدام أمان البيانات المستند إلى دور كوجنوس. ستعمل كل حالة من حالات الاختبار الخاصة بنا على تنفيذ التقرير الأصلي الخاص بهم وتحليل المخرجات وفقًا لتكوين الاختبار المحدد ضمن التأكيدات الأساسية الخاصة بهم وإخبارنا إذا كان أي من التقارير خارج الخط.
من المؤكد أن أحد أهم الفروق بين بيئة الاختبار لدينا وما قد يكون لديك في بيئتك هو الحجم. غالبًا ما تحتوي بيئة Cognos النموذجية على مئات أو حتى الآلاف من التقارير وتنفيذها جميعًا في نفس الوقت ، كما فعلنا في بيئة العينة الصغيرة لدينا ، يمكن أن يؤثر سلبًا على أداء Cognos. مع MotioCIومع ذلك ، يمكنك جدولة برامج الاختبار الخاصة بك للتشغيل على دفعات أصغر خلال ساعات التوقف ، وبالتالي ضمان الأداء الأمثل لبيئة Cognos الخاصة بك خلال ساعات الازدحام الشديد.
ممارسة اختبار جيدة أثناء التطوير
ومع ذلك ، بين أوقات التشغيل المجدولة ، لا يزال بإمكانك تشغيل العديد من حالات الاختبار الفردية يدويًا كما تريد. من الأمثلة الجيدة على ذلك أثناء تطوير التقرير ، يمكنك تشغيل حالة الاختبار للتأكد من أن تغييراتك لم تنشئ أي انتهاكات لقانون HIPAA.
أتمتة حالات اختبار Cognos
عد إلى MotioCI، في شجرة التنقل ، نقوم بتوسيع أحد المشاريع التي أنشأناها للكشف عن محتواها. يجب أن يكشف هذا عن عقدة تسمى نصوص الاختبار. سيؤدي توسيعه إلى إظهار مجموعة من البرامج النصية للاختبار التي تم إنشاؤها تلقائيًا عند إنشاء مشروعك لأول مرة (الشكل 28).
الشكل 28: يمكن إنشاء نصوص اختبار لعرض عدد محدود فقط من حالات الاختبار المطابقة لمعايير معينة حددها المستخدم المسؤول.
بحكم التعريف ، أ اختبار كتابي هو أحد مكونات المشروع الذي يختار حالات الاختبار التي تنتمي إلى مشروع بناءً على معايير محددة. يمكنك جدولة نصوص الاختبار أو تشغيلها يدويًا. عند تشغيل برنامج نصي تجريبي ، MotioCI يدير جميع حالات الاختبار التي تلتزم بمعايير البرنامج النصي.
في حالتنا ، نود تعيين جميع حالات الاختبار وفقًا لجدول زمني. لذلك من أجل القيام بذلك ، نضغط على الكل اختبار البرنامج النصي من شجرة التنقل ثم انقر فوق اختبار إعدادات البرنامج النصي علامة التبويب الموجودة في منتصف الشاشة (الشكل 29).
الشكل 29: علامة التبويب "إعدادات البرنامج النصي للاختبار" تسمح لك بإضافة جدول لجميع حالات الاختبار.
بعد ذلك ، نختار إضافة جدول اختيار. هنا يمكننا الآن تحديد جدول زمني لسيناريو الاختبار الخاص بنا. سأقوم بتشغيل حالات الاختبار لدينا يوميًا من الاثنين إلى الجمعة الساعة 3:00 صباحًا (الشكل 30).
الشكل 30: بالإضافة إلى الجدول اليومي والأسبوعي ، يمكنك أيضًا تعيين تردد دقيق على جدول.
هذا كل شيء! يمكننا الآن التحقق من صندوق البريد الإلكتروني الخاص بنا كل صباح لمعرفة ما إذا كان أي من تقاريرنا قد خرج عن الامتثال. يمكننا أيضًا رؤية جميع التقارير الفاشلة بمجرد النقر فوق تغير أو فشل سيتم تقديم البرنامج النصي للاختبار وجميع حالات الاختبار الفاشلة إلينا ضمن حالات تجريبية لوحة (الشكل 31).
الشكل 31: البرنامج النصي للاختبار المتضمن "تم التغيير أو الفشل" الذي يُظهر حالة الاختبار الفردية التي فشلت في آخر تشغيل دُفعي لحالة الاختبار.
وفي الختام
يمكن أن يكون الخروج عن الامتثال لقانون HIPPA و GDPR واللوائح الفيدرالية الأخرى حول المعلومات الحساسة والخصوصية مكلفًا للغاية ، في الواقع ، حوالي 1.5 مليون دولار لكل حالة تم العثور عليها في حالة انتهاك.
من خلال تنفيذ إستراتيجية اختبار آلية للتعامل مع اختبار الامتثال ، ستحصل على طبقة إضافية من الأمان بالإضافة إلى راحة البال التي تلتزم بالقوانين. بالإضافة إلى متطلبات بيانات الخصوصية ، يمكن أن يفيد الاختبار الآلي جميع أنواع الصناعات وأي نوع من متطلبات الاختبار التي ترغب مؤسستك في وضعها.
كيف يمكن أن نساعد؟
إذا كنت ترغب في مشاهدة الندوة عبر الويب حول موضوع المدونة هذا ، الوصول إليه هنا. أو، تواصل معنا لمناقشة أسئلة اختبار Cognos الخاصة بك بشكل أكبر.
