Ако ваша организација редовно обрађује осетљиве податке, морате применити стратегије усклађености у погледу безбедности података како бисте заштитили не само појединце којима подаци припадају, већ и вашу организацију од кршења било каквих савезних закона (нпр. ХИППА, ГДПР итд.). Ово утиче на организације у индустријама као што су здравство, банкарство, влада, правна… заиста свака организација која обрађује осетљиве податке.
Говоримо о томе ПИИ (лични подаци) и ПХИ (заштићене здравствене информације). Примери ПИИ-
- Бројеви социјалног осигурања
- банкарски рачуни
- Пуна имена
- Бројеви пасоша итд.
Примери ПХИ-
- Здравствена документација
- Лабораторијски резултати
- Медицински рачуни и слично, који укључују индивидуалне идентификаторе
Методе заштите осетљивих података
Неки су купци описали своје методе као сцене које бисте могли замислити у неком филму који сте гледали ... замислите групу људи наоружаних са потребним сигурносним дозволама како се гурају у закључаној просторији, без прозора, како би ручно провјерили испис извјештаја како би осигурали осјетљиве информације није укључено. Иако ово чини драматичну филмску сцену, то није најсигурнији нити најефикаснији начин за тестирање извештаја на осетљиве информације. А са удаљеним захтевима за радном снагом Цовид-19, то једноставно није изводљиво у овом тренутку.
Помогли смо неколицини наших купаца да примене моћ аутоматизованог тестирања како би динамички тестирали своје резултате извештаја Цогнос. Ова стратегија тестирања хвата извештаје рано, чим испадну из усклађености, и пре него што заврше у производњи да би завршили у погрешним рукама. Увек је добра идеја знати где вам је најближа канцеларија за социјално осигурање, на пример Канцеларије за социјално осигурање у Невади, ако се догоди најгоре, јер ће тим у вашој локалној канцеларији знати како да управља ситуацијом.
Вредност тестирања у раним развојним циклусима
Откривање рањивости у погледу безбедности података у раној фази развоја може помоћи да се избегну све будуће новчане казне и санкције које намеће влада. Према Амерички министар здравља и људских служби, до данас, Канцеларија за грађанска права (ОЦР) „измирила је или изрекла грађанску новчану казну у 75 случајева што резултира укупним износом од 116,303,582.00 УСД“. То је преко 1.5 милиона долара по кућишту! А према ХИПАА Јоурнал „неуспех да се изврши анализа ризика у целој организацији једно је од најчешћих кршења ХИПАА-е које за последицу има финансијску казну.“
Осим избегавања казни које је наметнула влада, генерално је важно открити грешке у раном развојном циклусу, јер је ово фаза у којој је проблеме много лакше и јефтиније поправити. Као резултат тога, главни циљ ове вежбе је употреба MotioCIмоћ регресионог тестирања да лако идентификује такве грешке и стога их спречи у раном развојном циклусу.
Хајде да погледамо како поставити тестирање. Почећемо са постављањем нашег Цогнос окружења, а затим ћемо објаснити како за наш пример поставити аутоматско тестирање ПХИ и ПИИ података. Такође ћемо користити ове исте тест случајеве у производном окружењу за додатни ниво усклађености и проверу безбедности.
ПХИ & ПИИ Цогнос окружење постављено
Наш узорак Цогнос окружења (слика 1) састоји се од неколико извештаја, од којих сваки садржи мешавину података осетљивих на ПИИ и ПХИ (нпр. Шифру дијагнозе, рецепт, број социјалног осигурања, презиме пацијента итд.) И минимално осетљиве податке (нпр. Пацијент име, датум посете итд.).
Слика 1: Наш узорак Цогнос окружења.
Постоје две Цогнос улоге, АлловПИИ АлловПХИ, који одређују да ли се неки осјетљиви подаци приказују када се извјештаји извршавају. (Табела 1)
| Цогнос Ролес | белешке |
| АлловПИИ | Чланови ове улоге могу да виде све податке о личним подацима (тј. Број социјалног осигурања и презиме пацијента) у Цогнос извештајима. |
| АлловПХИ | Чланови ове улоге могу да виде све податке ПХИ (нпр. Дијагностичке кодове ИЦД10, детаљан опис дијагнозе итд.) Податке у Цогнос извештајима. |
Табела 1: Улоге Цогноса које контролишу извођење осетљивих података.
На пример, кориснику коме недостају обе наше Цогнос улоге, њихов извештај „Дневни унос пацијената“ требало би да изгледа овако (слика 2):
Слика 2: Резултат извештаја је корисник који нема улоге АлловПИИ и АлловПХИ.
Као што видите, сви ПХИ и ПИИ подаци су потпуно заташкани од корисника који нема чланство у обе улоге „АлловПХИ/ПИИ“.
Хајде сада да покренемо извештај са корисником који је члан улоге „АлловПИИ“, што значи да очекујемо да ће овај корисник моћи да види само ПИИ податке (слика 3):
Слика 3: Извештај о резултату извео је корисник који је члан АлловПИИ улоге, а НЕ АлловПХИ улоге.
Овде можете видети да се колоне „Број социјалног осигурања“ и „Презиме“ приказују на одговарајући начин без икаквих измена.
До сада смо бацили поглед на Цогнос окружење наше митске клинике и све што смо до сада видели је заштита података заснована на улогама Цогнос-а коју су многи од вас можда већ имплементирали у своје Цогнос окружење. Ово би нас онда довело до главног питања с којим се носиоци осетљивих података надају да се никада неће морати суочити:
Шта ако, рецимо, након напорног развоја, неки осетљиви подаци прођу и почну да се појављују корисницима који то не би требало да виде?
Грешке су свакако неизбежне, па ћемо их касније користити на блогу MotioCIмоћ регресионог тестирања да будно прати наше извештаје како би се осигурало да приватни подаци никада не буду изложени нежељеној публици.
Разумевање тестирања усклађености за Цогнос
Као што је поменуто у претходном одељку, једноставне грешке у писању или моделовању извештаја могу изазвати нежељено понашање у излазу извештаја у вашем Цогнос окружењу. А ако ове промене не буду ухваћене, имају потенцијал да се увуку у ваше продукцијско окружење. Оно што би било још катастрофалније је да ако ове нежељене промене укључују излагање приватних података ненамерној публици.
На пример, корисник без да је члан било ког од њих АлловПИИ or АлловПХИ Цогнос улоге не би требало да виде ПИИ или ПХИ приватне податке у нашем узорку Цогнос окружења. Међутим, као што можете видети у наставку (слика 4), једноставна промена у моделу ФМ -а довела је до тога да опис корисника и ССН број пацијента буду изложени таквом кориснику, што је ВЕЛИКО кршење савезног ХИПАА безбедносног правила.
Слика 4: Корисник без чланства АлловПИИ и АлловПХИ на неки начин је изложен осјетљивим подацима ХИПАА -е.
Пре него што преместите ствари у MotioCI, прво ћемо створити три пробна корисника у нашем Цогнос окружењу и доделити им наше две улоге на следећи начин (Табела 2):
| Корисници | Чланство у улогама | белешке |
| ТестУсерА | АлловПИИ | Сви ПХИ подаци морају бити скривени од овог корисника |
| ТестУсерБ | АлловПХИ | Сви ПИИ подаци морају бити скривени од овог корисника |
| ТестУсерЦ | ниједан | Од корисника се очекује да НЕ види ПХИ или ПИИ |
Табела 2: Тестирање Цогнос корисничких налога са додељеним улогама.
Ови пробни кориснички налози ће се касније користити у MotioCI за регресијско тестирање наших извештаја који садрже осетљиве ПИИ и ПХИ податке. Резултати наших тестова зависит ће од видљивости осјетљивих података сваком кориснику у складу с њиховом улогом.
Сада када смо поставили наше пробне кориснике, спремни смо да конфигуришемо наше регресијско тестирање у MotioCI.
MotioCI Подешавање окружења
Наше узорно окружење састоји се од инсталација Девелопмент, УАТ и Продуцтион Цогнос. Мада MotioCI омогућава нам да се истовремено пријавимо на све три, почећемо наше подешавање регресионог тестирања у развојном окружењу у три различите фазе.
Слика КСНУМКС: MotioCI екран за пријаву.
Слика КСНУМКС: MotioCI почетни екран, који приказује инстанце Цогноса.
С обзиром на регресијско тестирање у MotioCI, тврдња је појединачна провера или „тест“ који тест случај изводи на објекту у вашем MotioCI пример, као што је извештај, фасцикла или пакет. Тврдња која ће обављати посао тестирања резултата извештаја за осетљиве податке назива се Тестирање усаглашености осетљивих података (Слика 7). Ово је прилагођена тврдња коју смо саставили за ову вежбу. Испод можете видети врста тврдње који у основи делује као главни шаблон који се копира у тестне случајеве широм нашег MotioCI Животна средина. Више о овоме касније.
Слика 7: Тип тврдње „Тестирање усаглашености осетљивих података“. Копије ове тврдње распоређене су у окружење за тестирање.
Неке тврдње пружају неке функције које корисник може да подеси кроз прозор са одзивом. Овде можете променити начин на који желите да дата тврдња тестира било који Цогнос извештај. Слика 8 испод приказује прозор са одзивом наше тврдње коју ћемо користити за тестирање наших Цогнос извештаја који садрже осетљиве податке.
Слика 8: Прозор са захтевом „Тестирање усаглашености осетљивих података“, који открива све опције тестирања које може да подеси корисник.
Горе означени део на слици 8 приказује опције тестирања осетљивих података на ПИИ и ПХИ. Ово вам омогућава да тестирате тврдњу да ли извештај мора да прикаже или сакрије своје ПИИ или ПХИ податке. Унећемо измене у ове две опције када почнемо да стварамо тестне случајеве за сваког од наша три тест корисника.
Средњи истакнути део на слици 8 приказује називе колона које садрже ПХИ осетљиве податке у нашим извештајима. Иако се наше узорно окружење састоји од колона са именима ИЦД10 дијагностичког кода, описа дијагнозе, процедуре и Рк, свакако бисте могли да измените ову листу тако да одговара вашим потребама.
Коначно, доњи део означен на слици 8 приказује опције е -поште. У случају грешке, ова тврдња ће послати детаљну поруку е -поште примаоцу конфигурисаном у овом одељку.
Фаза И: Извештаји приказују само податке који откривају идентитет
Креирајмо пројекат под Развој инстанца у MotioCI и назови га Дозволи само податке који откривају идентитет. То можемо учинити тако што ћемо прво кликнути десним тастером миша на Развој чвор инстанце у MotioCI навигацијско стабло и одабир Додај пројекат опцију (слика 9).
Слика 9: Креирање новог пројекта. Ин MotioCI сваки пројекат делује као полигон за тестирање унапред дефинисаног одељка складишта садржаја.
Додај чаробњак за пројекат провешће вас кроз неке кораке да изаберете путање потребне за ваш пројекат. У нашем примеру, сви извештаји који садрже податке осетљиве на ПИИ и ПХИ постоје под Подаци о пацијентима фолдер. Провера ове надређене фасцикле аутоматски ће укључити све основне извештаје (слике 10 и 11).
Слика 10: Одређивање обима пројекта у MotioCI одабиром путања из Цогнос окружења.
Слика 11: Приказивање свих Цогнос објеката изабраних за MotioCI пројекат.
Будући да се очекује да ће сви извештаји у овом пројекту омогућити приказивање свих ПИИ података и заташкавање свих ПХИ, мораћемо да конфигуришемо наш тип тврдњи са исправним поставкама пре додавања било каквих тестних случајева (слика 12). То значи постављање две опције тестирања на исту тврдњу прозор са одзивом које смо раније видели на слици 8.
Слика 12: Опције тестирања ПИИ и ПХИ тврдње „Тестирање усаглашености осетљивих података“.
Сада смо спремни да додамо наше тестне случајеве у наше извештаје. Да бисте то урадили, кликните десним тастером миша на чвор пројекта (тј Дозволи само податке који откривају идентитет пројекат) у MotioCI и изаберите Генерирајте тестне случајеве опцију (слика 13). Ово ће покренути чаробњака за генерисање тестних случајева који ће нам омогућити да створимо велики број тестних случајева за све извештаје у оквиру пројекта.
Слика КСНУМКС: MotioCI може аутоматски генерисати све потребне тест случајеве на било ком нивоу у оквиру пројекта.
Генериши тест случај чаробњак ће нам такође омогућити да изаберемо излазне формате за тест случај на којем бисмо желели да извршимо тестове. За наше узорно окружење изабрао сам ЦСВ излаз. Чаробњак ће нам такође омогућити да изаберемо тврдње које ће сваки тестни случај користити за стварни посао тестирања. А за нас би то било Тестирање усаглашености осетљивих података тврдња. Испод можете видети обе ове опције истакнуте (слика 14).
Слика 14: Опције откривене у чаробњаку „Генериши тестне случајеве“.
Након што кликнете на „ОК“, бићете враћени на MotioCI почетни екран, где ћете моћи да видите све наше извештаје од којих сваки садржи један тестни случај и сваки садржи нашу појединачну тврдњу (слика 15).
Слика КСНУМКС: MotioCI навигационо дрво које приказује све Цогнос објекте који сада садрже тест случај и основну тврдњу.
Коначно, морамо да конфигуришемо све тест случајеве за извршавање њихових родитељских извештаја користећи исправног корисника Цогнос -а (нпр. Једног од три пробна корисника које смо конфигурисали у Цогносу пре постављања ствари у MotioCI). Будући да за овај пројекат тестирамо како бисмо се уверили да је ПХИ садржај не приказане корисницима којима је дозвољено само да виде ПИИ податке, мораћемо да подесимо све тест случајеве за рад ТестУсерА (види табелу 2).
У почетку би ово могло звучати као досадан задатак, али срећом по нас можемо поставити корисника на ниво пројекта који би потом наслиједили СВИ основни тестови у оквиру тог пројекта. Да бисмо то урадили, на левом навигационом стаблу ћемо кликнути на чвор пројекта ( Дозволи само податке који откривају идентитет пројекат), а затим изаберите Подешавања пројекта у средини екрана. Затим, под Тестирање одељак, видећемо опцију за промену акредитива (слика 16):
Слика 16: Постављање корисничких акредитива на пројекту ће узроковати да сви тест случајеви извршавају надређени Цогнос извештај у Цогносу са тим корисником. Ово се може преписати сваким појединачним тест случајем.
Након што кликнете на едит дугме које се налази испред акредитив опцију, биће нам представљено Измените акредитиве прозор. Наставићемо и унећемо акредитиве за ТестУсерА (Слика КСНУМКС).
Слика 17: Прозор „Уреди акредитиве“ вам омогућава да поставите нове корисничке акредитиве или користите родитељске акредитиве постављене на нивоу инстанце Цогнос, познате и као системске акредитиве.
Сада видимо новог корисника који се огледа у Тестирање секција Подешавања пројекта картицу (слика 18).
Слика 18: Нови кориснички акредитиви су сада постављени на пројекту.
Сада смо спремни и спремни за извршавање свих наших тестних случајева.
Да бисмо то урадили, кликните на Дозволи само податке који откривају идентитет пројекта, а у средини ће нам бити представљен Тест случајева картицу која приказује све тест случајеве који се налазе у оквиру пројекта. Пошто још увек нисмо ништа извршили, видели бисмо статус показујући као Нема резултата. Да бисмо извршили све тест случајеве, кликнућемо на сићушну стрелицу поред трчање дугме и изаберите Покрени све опцију (слика 19).
Слика 19: Картица „Тест Цасес“ пружа бројне радње које се могу извршити на свим или на једном делу тестних случајева. Овде само извршавамо све тест случајеве.
MotioCI сада ће извршити све тест случајеве и представити нам резултате када буду завршени (слика 20).
Слика 20: Картица „Тест Цасес“ приказује статус извршавања сваког тест случаја, укључујући излазе, ако их има.
Као што видите, сви наши тест случајеви су успели са изузетком Болнички извештај. Па, хајде да погледамо резултате. Да бисмо то учинили, кликните на плаву временску ознаку која се налази испод Резултат колоне и погледајте детаље на слици 21.
Слика 21: Панел „Резултат тестног случаја“ приказује детаљне резултате извршења тестног случаја, укључујући путању тестираног објекта, резултате тврдњи и све излазне податке добијене у извештају.
Под Резултати тврдњи одељак сада можемо видети да наш извештај крши захтеве усклађености ПХИ. Излаз ЦСВ извештаја можемо преузети са Излази из тестног случаја одељак кликом на икону ЦСВ (слика 21).
Слика 22: Излаз ЦСВ извештаја приказује приказану колону „Процедура“ која је морала бити замагљена за тест корисника.
Као што можете видети у нашем извештају (слика 22), поред ПИИ података који су у реду да ТестУсерА има приступ, у могућности смо да видимо и податке ПХИ процедуре који извештај крше федерално правило безбедности ХИПАА.
Ако се сећате из прозора поставки тврдње, требало је и да примимо обавештење путем е -поште о овом грешку. Да видимо како то изгледа (слика 23):
Слика 23: Порука е -поште послата због тврдње о неуспешном тестном случају, која приказује кршење усклађености осетљивих података, вероватно због недавне промене у извештају.
На овом месту смо завршили тестирање како бисмо били сигурни да су ПХИ подаци скривени од корисника без потребних АлловПХИ Цогнос улога. Сада смо спремни да проширимо тестирање на ПИИ податке који су скривени од корисника којима недостаје потребно АлловПИИ Цогнос улога.
Фаза ИИ: Извештаји приказују само ПХИ
Пре креирања новог пројекта, прво уредимо опције наше главне тврдње како бисмо били сигурни да сада тестира да ли су сви ПИИ скривени и сви ПХИ приказани (слика 24).
Слика 24: Опције тестирања ПИИ и ПХИ тврдње „Тестирање усаглашености осетљивих података“ постављене за ТестУсерБ.
С нашом тврдњом која је сада све конфигурисана, сада смо спремни за креирање новог пројекта и наших тестних случајева. За то ћемо само следити исте кораке као у „Фази И“ и креирати пројекат под називом Дозволи само ПХИ. Такође, не заборавимо да додамо акредитиве за ТестУсерБ као корисник пројекта.
Када завршимо са свим корацима конфигурације, извршићемо све тест случајеве као што смо урадили у фази И. У нашем узорку окружења, овај пут имамо другачији извештај који изгледа да крши ХИПАА (слика 25).
Слика 25: Картица „Тест Цасес“ приказује статус извршења сваког тест случаја, укључујући и излазе, ако их има.
Даља истрага о резултатима тест случаја Дневни унос пацијената извештај показује да наш извештај приказује бројеве социјалног осигурања пацијентима ненамерној публици (слика 26).
Слика 26: Резултат тест случаја који показује кршење захтева усклађености са ССН ПИИ.
Преузимање и отварање ЦСВ датотеке додатно ће потврдити резултате нашег теста (слика 27):
Слика 27: ЦСВ излаз приказује откривени ССН пацијента где је требало да буде прикривен.
Као што видите на слици 27, међутим, наш извештај правилно маскира колону са презименом пацијента (такође ПИИ) приказивањем само почетног слова.
| Домаћи задатак! |
| Поновите исте кораке за ТестУсерЦ којој недостају оба АлловПИИ АлловПХИ улоге, што значи да не би требало да виде ни ПИИ ни ПХИ податке када извршавају било који од наших извештаја. |
До овог тренутка наше окружење је требало да постигне потпуно регресијско тестирање и ПХИ и ПИИ осетљивих података користећи Цогнос -ову сигурност података. Наши тест случајеви ће сваки извршити свој родитељски извештај и анализирати излаз у складу са конфигурацијом тестирања постављеном у оквиру њихових основних тврдњи и рећи ће нам да ли неки од извештаја испадне из реда.
Свакако једна од најважнијих разлика између нашег тестног окружења и онога што можда имате у свом окружењу је величина. Типично Цогнос окружење највероватније има више од стотине или чак хиљаде извештаја, а њихово извршавање у исто време, као што смо радили у нашем малом узорку окружења, могло би да утиче на перформансе компаније Цогнос. Витх MotioCI'тест скрипте, међутим, можете заказати да се ваши тестни примери изводе у мањим серијама током радног времена, чиме се осигуравају оптималне перформансе вашег Цогнос окружења током сати са великим прометом.
Добра пракса тестирања током развоја
Између планираних времена извођења, ипак бисте могли ручно покренути онолико појединачних тестних случајева колико желите. Добар пример би био када бисте развијали извештај, могли бисте покренути тестни случај како бисте били сигурни да ваше промене нису довеле до кршења ХИПАА -е.
Аутоматизовање Цогнос тестних случајева
Назад на MotioCI, на навигацијском стаблу, проширујемо један од пројеката које смо креирали како бисмо открили његов садржај. Ово би требало да открије чвор који се зове Тест скрипте. Ако га проширите, приказаће се скуп тестних скрипти које су аутоматски креиране при првом креирању пројекта (слика 28).
Слика 28: Тест скрипте се могу креирати за приказ само ограниченог броја тестних случајева који одговарају одређеним критеријумима које је поставио корисник администратор.
По дефиницији, а тест скрипта је компонента пројекта која бира тест случајеве који припадају пројекту на основу наведених критеријума. Можете заказати тестне скрипте или их покренути ручно. Када покренете тестну скрипту, MotioCI покреће све тест случајеве који се придржавају критеријума скрипте.
У нашем случају желимо да све тест случајеве поставимо по распореду. Да бисмо то учинили, кликните на Све тест скрипту из навигационог стабла, а затим кликните на Поставке тестног скрипта картицу која се налази у средини екрана (слика 29).
Слика 29: Картица „Поставке тестног скрипта“ вам омогућава да додате распоред за све тест случајеве.
Затим бирамо Додај распоред опција. Овде сада можемо поставити распоред за нашу тест скрипту. Ја ћу наставити и тестирати наше тестове свакодневно од понедељка до петка у 3:00 ујутру (слика 30).
Слика 30: Осим дневног и недељног распореда, на распореду можете поставити и минутну фреквенцију.
То је то! Сада свако јутро можемо да проверавамо пријемно сандуче за е -пошту да бисмо сазнали да ли је неки од наших извештаја испунио усклађеност. Такође можемо видети све неуспеле извештаје једноставним кликом на Промењено или неуспешно тест скрипта и сви неуспели тест случајеви биће нам представљени под Тест случајева панел (слика 31).
Слика 31: Укључена тест скрипта „Промењено или неуспело“ која приказује појединачни тест који није успео у последњем серијском извођењу теста.
Zakljucak
Непоштовање ХИППА, ГДПР и других савезних прописа који се односе на осетљиве информације и приватност може бити прилично скупо, у ствари око 1.5 милиона долара по случају за који се утврди да је прекршио.
Применом стратегије аутоматизованог тестирања за руковање тестирањем усклађености, имат ћете тај додатни ниво сигурности, као и душевни мир који се придржавате закона. Осим мандата података о приватности, аутоматизовано тестирање може имати користи за све врсте индустрија и све врсте захтева за тестирање које би ваша организација желела да постави.
Како можемо помоћи?
Ако желите да гледате вебинар о овој теми блога, приступите му овде. Или, контактирајте нас да бисте даље расправљали о својим питањима о Цогнос тестирању.
