Sedlacek_ATOS
Transkript
Sedlacek_ATOS
Identity and Access Management a jeho využžití na projektech Atos 25.4.2013, SÚKL Praha 26/04/2013 Agenda ▶ ▶ ▶ ▶ Přředstavení Atos Přehled nástrojů a řešení Atos pro Identity and Access Management Případové studie - zdravotnictví Případové studie - jiné 26/04/2013 Přředstavení společ čnosti Atos Atos je společností, poskytujícící služby informační technologie, hi-tech transakční služby, consulting, systémovou integraci and řízené služby. Atos je zaměřen na business technologie, které akcelerují pokrok a pomáhají organizacím dosahovat jejich budoucích cílů. Atos byl Worldwide Information Technology Partner pro Olympic Games a je kotován na Paris Eurolist Market. Atos operuje pod jmény Atos, Atos Consulting & Technology Services, Atos Worldline a Atos Worldgrid. ▶Roční revenue € 8,8 billion (2012) ▶cca 76,400 konzultantů ve 47 zemích 3 26/04/2013 Pavel Sedláček eHealth BC 26/04/2013 Atos ve zdravotní péč či Pavel Sedláček eHealth BC ▶ Atos kombinuje řadu možžností poskytování služžeb – Konzultační služby založené na detailní znalosti trhu – Outsourcing partnerships a know-how z vlastního výzkumu ▶ Řešení pro poskytovatele zdravotní péč če s přřidanou hodnotou – Úspěšné zkušenosti s projekty PPP (Public Private Partnership) – Nové technologie pro zlepšení péče o pacienta – Řešení založená na efektivnosti provozu a úspoře nákladů ▶ Řada úspě ěšných referencí – Strategické partnerství pro regionální zdravotnictví ve Španělsku – Největší Evropský outsourcingový kontrakt k poskytování zdravotních služeb ve Skotsku – Konzultační a ICT služby pro poskytovatele zdravotních služeb v Holansku – Specializované nemocniční systému v Německu a v zemích střední Evropy – Vývoj a implementace ICT řešení pro nové nemocnice v USA a na Středním Východě – Vedoucí role v elektronizaci zdravotní dokumentace (Francie, Německo, Rakousko) 4 Atos – Portfolio služžeb pro zdravotnictví Ministerstva zdravotnictví Zdravotní péčče 26/04/2013 Pavel Sedláček eHealth BC Pacienti Transformace znalostí Řešení pro státní správu Zdravotnické portály pacienta, profesionála 24hodinové eHealth Bezpečná spolupráce se státní správou ERP pro nemocnice Bezpečnost dat pacienta Biometrická řešení a ID občanů Management dat o pacientovi Management zdrav. systémových informací Řízení procesů ů ve zdravotnictví Udržžitelnost a „zelené“ IT IT řešení zdravotní péče Cloud computing Bezpečný archiv Adaptive workplace Služby informační bezpečnosti Enterprise content management ERP Testování a Řízení aplikací management a hosting akceptací Technologická základna 5 26/04/2013 Agenda ▶ ▶ ▶ ▶ Pavel Sedláček eHealth BC Představení Atos Přřehled nástrojů ů a řešení Atos pro Identity and Access Management Případové studie - zdravotnictví Případové studie - jiné 6 Atos nabízí integrované portfolio pro Identity a Access management 7 26/04/2013 Pavel Sedláček eHealth BC Aplikace Atos CardOS Smart karet 26/04/2013 (ve Pavel Sedláček eHealth BC standardu PKCS#11) Aplikace a služžby Oblast Státní správa Zdravotní Bezpečná identifikace Infrastruktura Card /Token Bezpečná autentizace Elektronický podpis Atos CardOS® API Crypto Interface péče Smart card čteč čka Doprava Průmysl Identity management USB token s CardOS® Smart karta s Atos CardOS® operač čním systémem Kryptování dat management Bezpečné transakce 8 Bezpečný eBusiness Public key infrastructure Card reader infrastructure 26/04/2013 Public Key Infrastructure (PKI) Pavel Sedláček eHealth BC Výzvy Elektronický podpis PKI je základem pro aplikace k řešení zabezpečeného přístupu Neexistuje žádný strandardní koncept PKI – který by byl integrovaný do infrastruktury a procesů zákazníka Je potřeba uřídit konsistentní integraci PKI a IAM do bezpečnostní infrastruktury zákazníka Document Web signing … Digitální šifrování PKI je řešením pro nové aplikace (jako kontroverzní DRM, digital rights management) Řešení Vyhodnocení bezpečnostních požadavků a návrh řešení pro procesy a organizaci zákazníka Autentizace Řešení s využitím PKI komponent - OS, middleware, identity frameworks a dedikované bezpečnostní produkty Integrace existujících bezpečných ostrovů do celistvé bezpečnostní infrastruktury, založené na PKI 9 E-mail File / folder Network shares Hard disk … Domain login Web Single Sign-on (Remote) LAN access SAP R/3 access … Atos CardOS - Osobní PKI prostřředí, které lze odnést v kapse Plug in to USB device of pc Start e.g. Portable Firefox Connect to website or application 26/04/2013 Pavel Sedláček eHealth BC Perform signature, authentication Výhody ▶ Atos CardOS je multifunkční operační systém Smart karet, který splňuje nejpřísnější požadavky na data security. Nabízí aktivní i pasivní ochranu uložených dat, certifikátů a kryptografických klíčů. ▶ Atos CardOS API je rozhraním na aplikace zákazníka, nezbytným pro zabezpečené využití karet s CardOS ve standardu PKCS#11. + CardOS Smart karty integrovány s CardOS API middleware + Portable PKI prostředí, včetně certifikátů, aplikací, četček + Nepotřebuje žádnou instalaci na straně klienta + Žádná historie přístupů na straně klienta Use Cases ▶ Atos CardOS API rozšiřuje užití a bezpečnost technologie veřejných klíčů ve společnosti zákazníka, využivajícího Smart karty (PKCS#11) o šifrování, autentizaci a digitální podpisy, v přístupu k běžným aplikacím, připravenými na PKI. PKI pro obchodní partnery k využití v jejich prostředí např. Pro autentizaci k aplikacím nebo pro podpis dokumentů PKI rollout ve společnostech, kde PKI je potřeba jen pro část zaměstnanců Cloud, Managed Service: Všechna data určených aplikací v cloudu, např. Autentizace k logování do SAPu přes Web, podpis dokumentů 10 26/04/2013 CardOS API – přříklad využžití PKI pro Pavel Sedláček eHealth BC mobilní zařřízení Apple * Connect Smart card to reader Start application on the Mobile device ▶ Komponenty: ▶ ▶ Mobilní zařízení s iOS Čtečka (Tactivo™ **, v případě iPhone, iPad ) ▶ Middleware (Reader driver, PCSC, CardOS API PKCS#11) ▶ ▶ Aplikační prostředí zákazníka Certikát na Smart Kartě ▶ Zákazníci ▶ ▶ Perform authentication, secure email, signature… Výhody + Integrace CardOS Smart karet s mobilním zařízením + Bezpečný přístup k informacím a aplikacím s využitím tabletů a chytrých telefonů + Bezpečnost mobilních zařízení společností i mobilních zařízení uživatelů Use Cases Siemens Německý penzijní fond Zabezpečený přístup k interním web aplikacím nebo bezpečné užití emailu nebo podpis dokumentů na mobilních zařízeních Bezpečný přístup do infrastruktury společnosti z domova nebo ze služební cesty přes mobilní zařízení * IPhone pictures are materials by Apple Computer Inc. (“Apple”) copyright at Apple Computer, Inc. ** Tactivo is a trademark of Precise Biometrics 11 Portfolio biometrických řešení Atos - Silná autentizace - Centrálně řízená biometrická identifikace pro vysoké rychlosti přenosu a velké objemy dat - Flexibilní kombinace s řadou aplikací. Self Services: Welcome Desk Password reset Pin Unblocking Identifikace klienta Identifikace pacienta Identifikace bankovního klienta Biometric Ticketing Parky, výstavy - Systém pro vytváření a verifikaci biometrických cestovních dokumentů - Vyhovuje mezinárodním standardům, např. ICAO. -HSS obsahuje HSS Moduly, Aplikace a Řešení Elektronická ID (eID) Hranič ční kontroly Visa Systemy Posílení policie - Ukládá otisky prstu na čip a provádí jrejich kontrolu proti referenčnímu vzorku na čipu. - Všechna data k autentizaci zůstávají na čipu Korporátní karty Národní ID karty 12 26/04/2013 Pavel Sedláček eHealth BC Specializovaná bezpečnostní zařízení Siemens ID mouse palm vein scanning devices 26/04/2013 CardOS API – přříklad PIN / Pavel Sedláček eHealth BC biometrické verifikace přřístupu Komponenty na straně klienta: ▶ CardOS API, CardOS Smart karta, bio verification tool - čtečka karet, mouse/keyboard se senzorem otisku. BIO GUI – získá otisk prstu ze senzoru Pošle data do API Výhody: + + + CardOS API podporuje autentizaci s PIN a nebo autentizaci se zadáním biometrických údajů (otisk prstu, dlaně, ...) Sejmutý otisk prstu je bezpečně uložen na Smart kartě (podrobnosti otisku prstu) Otisk prstu nikdy neopustí kartu. Porovnání kontrolovaného otisku s uloženými data je prováděno ve Smart kartě (Matcher on Card, MOC) Mění bezpečnostní status kontrolovaného objektu a umožní přístup k aplikacím Úspěšná kontrola 13 Pošle data do MOC k verifikaci Verifikuje uložená a kontrolovaná data Atos DirX - integrovaná rodina produktů ů pro komplexní Identity and Access management Služžby 26/04/2013 Pavel Sedláček eHealth BC Produkty DirX Identity Self-Service & Delegation User Management Komplexní Identity Management pro management uživatelů a přístupových práv Workflow Role Management Metadirectory DirX Directory Provisioning Directory Bezpečné uložení velkého počtu digitálních identit, veřejných klíčů pro podnikové a e-Business prostředí Audit Identity Federation Authentication Authorization Personal Identity Frameworks Web Single Sign-on DirX Access Bezpečný a spolehlivý Access Management pro portály a Web aplikace Web Services Security 14 Atos DirX - konsistentní a centralizovaná administrace užživatelů ů a přřístupových práv 26/04/2013 Pavel Sedláček eHealth BC IT-Systemy Zdroje identit Identity Management HR Department DirX Identity Administrationsyst ems(SAP R/3, NetWeaver) 1 3 Další zdroje identit Portals, Applicat., Databases, Directories Access Management DirX Access Personál & Externí vstupy 5 6 Platforms (Windows, Unix, Citrix, etc.) 2 Provádě ění Self-service Metadirectory Audit Administrace & Audit 5 Clinical Applications (Soarian IC, medico, etc.) 3 ID Center 4 Directory DirX Directory Autentizace Autorizace Záznamy úspě ěchů ů/chyb Identity / Policy / Configuration Store 15 5 Lékařři 26/04/2013 Agenda ▶ ▶ ▶ ▶ Pavel Sedláček eHealth BC Představení Atos Přehled nástrojů a řešení Atos pro Identity and Access Management Přřípadové studie - zdravotnictví Případové studie – jiné 16 Námě ěty ke zlepšení zdravotní péč če Transformace IT prostřředí 26/04/2013 Pavel Sedláček eHealth BC Od administrace k řízení od od od od administrace preskripce papírových dokladů o pojištění léků neznámého původu tradičních forem léčby k plnému řízení medikace k 360o managementu pojištění k transparentní distribuci ke komplexní léčbě s pomocí IT technologií Od software ke služžbám od standardních řešení ERP od nepersonalizovanému logování (v rámci oddělení) od administrace pacienta jako v 19. století k IT řešením podle požadavků zdrav. péče k osobní identifikaci profesionálů i pacientů ke zdravotní péči PRO pacienta od IT infrastruktury ke cloud computingu (vzdálený přřístup, platba za služžbu) od lokálních fragmentovaných záznamů v papírových zdravotních kartách od nevýkonných hardwarových platforem ke kompletním zdravotním záznamům se vzdáleným přístupem řízených pacientem ke cloud computingu – výhoda nákladů podle spotřeby služeb 17 Nemocnice Inca, Španě ělsko - Mobilní Výzvy Klinické informace z vyšetření jsou vedeny v papírové podobě a jsou často nekompletní Zabezpečit kompletní, obsažná data o pacientovi, vždy dostupná ošetřujícímu lékaři Řešení Systém využívající mobilních zařízení s přístupem k vyčerpávajícím informacím na cloudu Atos CardOS, Atos CardOS API Atos DirX Redesign klíčových nemocničních procesů s využitím metodologie Lean. Detailní zhodnocení nákladů a výhod. Proškolení uživatelů. Výhody přřístup k zdrav. dokumentaci Ošetřující lékař nyní má bezprostřední on-line přístup k informacím Zlepšení diagnózy a ošetření tam, kde je to nejvíce potřeba – u lůžka Lepší využití léků Podstatné zvýšení spokojenosti pacientů i lékařů. 18 26/04/2013 Pavel Sedláček eHealth BC 26/04/2013 Zdravotní karta pacienta a Přřístupová karta profesionála – Itálie Pavel Sedláček eHealth BC Demografické informace Detaily o pojištění Elektronický záznam pacienta Výzvy Data pro naléhavé situace, alergie ▶ Dodat a naimplementovat zdravotni karty pacienta a přístupové karty profesionála pro Italské regiony Medikace a vakcinace ePreskripce Kryptografické klíče a certifikáty (pro zabezpečený přístup k centrálně uloženým datům) Přřístupová karta profesionála Zdravotní karta pacienta Kryptografické klíče a certifikáty pro zabezpečené emaily a digitální podpis Kryptografické klíče a certifikáty pro mobilní a zabezpečený přístup k elektronickým záznamům pacienta Logovací informace pro různé aplikace Administrativní data pro Zabezpečený fyzický přístup Dodržování termínů Elektronickou peněženku 19 Řešení Návrh a implementace systému Smart karet ▶ Založeno na technologii Atos CardOS ▶ Smart Karty pro cca 7,700.000 obč čanů ů Výhody ▶ Přístup k elektronickým službám a centrální a lokální administrace (Příst. karty profesionála) ▶ Snažší přístup ke službám zdravotní péče a rychlejší zdravotní služby pro občany (Zdrav. karta pacienta) Výzvy Zdravotní karty - 26/04/2013 Rakousko Pavel Sedláček eHealth BC Potřeba zlepšit řízení přístupových práv uživatelů Zajistit zabezpečené sdílení citlivých informacích, zlepšení péče o pacienta Zlepšit efektivnost v čerpání nákladů. Řešení dostupné pro všechny občany poskytující pojištěným občanům přímý přístup ke všem klíčovým zdrojům zdravotní péče Atos DirX Atos CardOS. Výhody Atos dodal smart card řešení: Jedno z nejkomplexně ějších řešení ve svě ětě ě Zahrnuje 12.000 lékařů a zdravotních center A mnoho tisíc ordinací dentistů, optik a lékáren. 20 PKI infrastruktura – DKTIG, Certifikač ční autorita, Ně ěmecko 26/04/2013 Pavel Sedláček eHealth BC Výzvy • • Implementace a provozování Certifikač ční autority pro Ně ěmecký systém zdravotní péč če Datová výmě ěna mezi nemocnicemi a pojišťťovnami Řešení • DKTIG bylo založeno v 1996 jako Centrum zabezpečení k zajištění bezpečné výměny dat mezi nemocnicemi a zdravotními pojišťovnami. Od té doby DKTIG vystavuje certifikáty pro nemocnice, tak aby mohly přenášet šifrovaná data pacintů • Definice a implementace procesů ů pro registraci, certifikaci a vystavování certifikátů ů Vývoj certifikač ční infrastruktury, založžené na technologii Oracle a vývoj certifikač čního management systému Výhody • • Implementace PKI bě ěhem 4 mě ěsíců ů Migrace pů ůvodního PKI, provozovaného ažž do 12/2005 společ čností IBM 21 Výmě ěna EHR 26/04/2013 – zdravotní pojišťťovna TK, Ně ěmecko Techniker Krankenkasse Pavel Sedláček eHealth BC Výzvy » Vystavení a řízení více než 40 milionu certifikátů » 5 certifikátů na uživatele per user (4 * X.509, 1 * CVC) » On-line výměna dat s Card Application Management System v TK » Vysoce výkonné a snadno přístupné služby řízení certifikace Německého systému zdravotní péče Řešení » Systém certifikace pro certifikáty X.509- & CVC (content verification certificate) Techniker Krankenkasse (TK) je německá zdravotní pojišťovna s více než 8 miliony členy. » Adresářová infrastruktura pro protokoly LDAP & OCSP Výhody » Rychlý a efektivní systém řízení certifikátů pro Německou elektronickou zdravotní kartu » Rozšiřitelný a flexibilní systém, který reaguje na dynamicky se měnící požadavky 22 Výmě ěna EHR 26/04/2013 – zdravotní pojišťťovna KKH-Allianz, Ně ěmecko Kaufmännische Krankenkasse Pavel Sedláček eHealth BC Výzvy » Vystavení a řízení více než 10 milionu certifikátů » 5 certifikátů na uživatele per user (4 * X.509, 1 * CVC) » On-line výměna dat s Card Application Management System v KKH-Allianz » Vysoce výkonné a snadno přístupné služby řízení certifikace Německého systému zdravotní péče Řešení » Systém certifikace pro certifikáty X.509- & CVC (content verification certificate) The KKH-Allianz is a German compulsory health insurance with about two million members. » Adresářová infrastruktura pro protokoly LDAP & OCSP Výhody » Rychlý a efektivní systém řízení certifikátů pro Německou elektronickou zdravotní kartu » Rozšiřitelný a flexibilní systém, který reaguje na dynamicky se měnící požadavky 23 Výmě ěna EHR – zdravotní pojišťťovna BARMER GEK, Ně ěmecko Barmer GEK BARMER GEK je největší Německá zdravotní pojišťovna s cca 9 miliony členů. 26/04/2013 Pavel Sedláček eHealth BC Business challenges » Vystavení a řízení více než 45 milionu certifikátů » 5 certifikátů na uživatele per user (4 * X.509, 1 * CVC) » Online výměna dat » Založeno na Certificate Management Protocol (CMP) » BARMER GEK využívají Card Management System (KAMS) » Vysoce výkonné a snadno přístupné služby řízení certifikace Německého systému zdravotní péče Solutions » Systém certifikace pro certifikáty X.509- & CVC (content verification certificate) » Adresářová infrastruktura pro protokoly LDAP & OCSP Benefits » Rychlý a efektivní systém řízení certifikátů pro Německou elektronickou zdravotní kartu » Rozšiřitelný a flexibilní systém, který reaguje na dynamicky se měnící požadavky 24 Národní zdravotní služžby, Skotsko Výzvy Dodává IT outsourcing pro 4.000 zaměstnanců v 21 lokalitách Skvělý model, využitelný opakovaně regionálně nebo pro menší země Outsourcing Atos CardOS Atos DirX. Výhody Požadavek zabezpečit rychlou podporu a integrovat složité IT prostředí včetně řady poskytovatelů služeb Řešení Strategické partnerství Vyšší účinnost a zvýšení efektivity vynakládání nákladů Zlepšení provádění služeb Podpora při řešení následků katastrof Umožňuje zdravotním profesionálům přijímat informovaná rozhodnutí a zlepšit tak zdravotní péči pro občany. 25 26/04/2013 Pavel Sedláček eHealth BC 26/04/2013 Agenda ▶ ▶ ▶ ▶ Pavel Sedláček eHealth BC Představení Atos Přehled nástrojů a řešení Atos pro Identity and Access Management Případové studie - zdravotnictví Přřípadové studie – jiné 26 26/04/2013 Biometrické pasy ve Švýcarsku Pavel Sedláček eHealth BC Výzvy ▶ Pilotní projekt biometrických pasů ve Švýcarsku ▶ Systémy pořízení a verifikace záznamů obličeje, otisků prstů a biometrických dat ▶ Checkpointy ve Švýcarsku a na zahraničních zastoupení ▶ Vyhovuje ICAO požadavkům (International Civil Aviation Organization) Federal Department of Justice and Police / Fedpol, Switzerland Řešení ▶ Vývoj a dodávka customizovaného SW řešení ve čtyřech jazycích založeném na Atos Homeland Security Suite ▶ Návrh a dodávka stand-alobe stanic pro pořízení a verifikaci dle požadavků ICAO a pro interakci občanů – na ambasádách, v kancelářích, hotelech Výhody ▶ Vyhovuje mezinárodním standardům ▶ Sběr zkušeností pro národní roll-outy 27 PKI - pro Ně ěmecký penzijní fond 26/04/2013 Pavel Sedláček eHealth BC Výzvy ▶ Vytvoření infrastruktury pro jednoznačnou identifikaci / autentizaci zaměstnanců a kontrolní access pointy v budovách a místnostech, záznam odpracované doby, logování na pracovní PC a přístup k aplikacím ▶ Electronic processing of business transactions without any media discontinuities (e.g. electronic payment orders) Řešení ▶ ▶ ▶ ▶ ▶ ▶ Architektura důvěryhodného centra / certifikační autority Centrální řešení založené na Atos DirX Registrace, personifikace, vydávání karet, kontrola platnosti karet, revokace cardOS Smartcards a Middleware - certifikát pro každého zaměstnance Upozornění o expiraci a obnově certifikátu Implementace produkčního systému – vysoká dostupnost, clustrování, load balancing, backup systémy s průběžnou synchronizací Výhody ▶ Vysoká kvalita ▶ Snížení administrativních nákladů ▶ Příspěvek k zefektivnění administrativních procesů 28 eID karta Ně ěmecko 26/04/2013 - Bezpeččný přřístup k eGovernmentu a eBusinessu Obč čan Obč čan s eID kartou - chce využít eGovernement služby PC obč čana (včetně čtečky) a instalované aplikace klienta Nová eID karta eID Service – Certifikační autorita zajistí vzájemnou autentizaci občana a strany, provádějící službu Obč čan Service providers kteří provádí autentizaci občana, aby mohl využívat služeb Služžby/ expertní procedury Služžby/expertní procedury service providera 29 Pavel Sedláček eHealth BC Konsorcium Atos – generální dodavatel řešení a zajišťuje provoz a podporu Bundesdruckerei (German Federal Printing Office) provádí eID služby OpenLimit vyvíjí ASW Identity management založžený na rolích 26/04/2013 Pavel Sedláček eHealth BC Výzvy ▶ Konsolidovat dříve nezávislé Švýcarské pojišťovací společnosti s rychle rostoucím počtem IT uživatelů, platforem, služeb, dat a aplikací, pod jednu střřechu, s centrálnímm řízením identit. ▶ Manuální přiřazování uživatelských práv zautomatizovat systém řízení přístupů ▶ Transformace System-specific přístupových právna standard Role-based access management (RBAC standard) Řešení Generali Group Switzerland Role-based identity management ▶ Popis pracovních pozic ve formátu rolí; HR department je zodpovědný za přiřazení role a zaměstnance ▶ Transfer systému přiřazení uživatel x role z HR databáze do DirX ▶ Automatické vytváření uživatelských účtů a přiřazení přístupových práv dle role Výhody ▶ Vyšší dostupnost informací, aplikací a služeb Vyšší produktivita Rychlejší reakce produktivity na změny ▶ Automatizace procesůses Nižší administrativní zátěž ▶ Nižší provozní náklady ▶ Podpora souladu s legislativními požadavky 30 26/04/2013 Kontakt Atos Pavel Sedláček eHealth BC ▶ Kontakt: ▸ Pavel Sedláček, Business Consultant ▸ [email protected] ▸ +420 724 518 520 31