.Profilaktyka krótkowzroczności u dzieci - Aplikacja Internetowa z pseudonimizacją danych

Aplikacja internetowa - UM w Lublinie

Zleceniodawcą projektu tym razem był Uniwersytet Medyczny w Lublinie. Aplikacja Internetowa została zaimplementowana w celu realizacji badań przesiewowych dotyczących diagnostyki wad wzroku u dzieci.
Generalnie logika biznesowa aplikacji polega na rejestracji pacjentów, możliwości realizowania badań (z częściową automatyzacją diagnostyki), a także generowania raportów PDF z tych badań.
Dodatkowo, z uwagi na to, że dane medyczne przypisane do użytkowników (pacjentów) są bardzo wrażliwe, w aplikacji zastosowano dedykowaną metodykę pseudonimizacji danych.
Sposób w jaki "ukrycie" danych zostało zrealizowane jest następujący:
  • W bazie danych zamiast danych osobowych pacjenta jest zapisywany unikalny, częściowo losowy ciąg znaków,
  • Jednocześnie na serwerze tworzony jest plik w formacie JSON o nazwie identycznej jak wcześniej zapisany do bazy ciąg znaków,
  • Struktura nowoutworzonego pliku składa się z pól dotyczących danych osobowych pacjentów,
  • W aplikacji rekordy dotyczące pacjentów są wyświetlane z bazy danych i plików JSON.
W ten sposób dane medyczne są wyizolowane od danych osobowych, a dostęp do bazy danych nie daje możliwości ustalenia osoby, której dotyczą dane wyniki badań.

Automatyzacja diagnostyki

System wsparcia procesu badań działa w oparciu o następujące technologie: JavaScript, AJAX, JSON.
Przy realizacji badania, podczas wypełniania pól dotyczących ostrości wzroku i refrakcji, aplikacja w sposób automatyczny sugeruje diagnostykę (krótkowzroczność, nadwzroczność, astygmatyzm).
Algorytm korzysta z danych bezpośredno zapisanych w JavaScript lub idzie dalej do serwera (za pośrednictwem AJAX) i tam na podstawie uzyskanych informacji dokonuje diagnostyki. Następnie dane przygotowane do postaci JSON przesyłane są z powrotem na stronę klienta, a w formularzu badania automatycznie zaznaczane są odpowiednie pola.

Audyt bazpieczeństwa OWASP ZAP

Na potrzeby potwierdzenia bezpieczeństwa danych aplikacji wykonano ataki "pająkami" zaimplementowanymi w narzędziu OWASP ZAP. Sprawdzono podatność m.in. na:
  • Cross Site Scripting (XSS),
  • SQL injection,
  • Wykonanie kodu ze złośliwego plik u Malicious File Execution,
  • Bezpośrednie odwołania w kodzie,
  • Obchodzenie ścieżki,
  • Zabezpieczenia Cookies,
  • Dostęp do prywatnych zasobów.
Wiecej informacji znajduje się w raporcie, udostępnionym poniżej.
I na koniec dodam, że cała aplikacja zrealizowana jest na najnowszej wersji silnika IM-CMS (nowa funkcjonalność, pakiety z parametrem technicznym).
Dokumentacja aplikacji: dokument PDF.
Audyt bezpieczeństwa OWASP ZAP: dokument PDF.
Diagram przypadków użycia (UML): dokument PDF.

2022 - Internet.Media - Damian Krawiec, Zielona Góra, Lubuskie
m(at)internet.media.pl