專人諮詢
後台登入
專人諮詢

診所數位轉型大小事

搜尋

在醫療服務的日常中,病患資料的安全與診所營運的穩定性一樣重要。AlleyPin 深知,診所不僅是醫師行醫的場所,更是病患信任的起點,因此,我們將資訊安全視為企業最核心的責任之一。我們相信,資安不應只是內部流程或隱藏在系統裡的細節,而應該是能被客戶理解與信任的承諾。

這份「資安優化紀錄」,將持續分享我們在系統服務上的強化與修補,包含來源、處理方式、與對診所實際影響。資訊安全沒有終點,我們將持續更新這份紀錄,讓診所與患者都能看見我們的努力與承諾,透過透明、公開的方式,打造更安全的醫療數位環境。

感謝所有 AlleyPin 團隊夥伴、外部合作夥伴、駭客社群、第三方檢測單位以及所有合作診所的支持,如您有任何疑慮或希望回報問題,歡迎隨時與聯繫我們:info@alleypin.com

特定 API 盤查 / 傳輸加密 / 端點輪換 / 敏感資訊移除

  • 完成日期:2025/07/13
  • 來源:內部檢測|外部掃描|白帽回報|例行稽核|客戶通報
  • 潛藏風險:特定 API 傳輸未加密可能導致帳密或個資外洩。
  • 優化措施:經通報後立即制定 2 週修補計畫,並新增異常行為偵測與稽核流程,已完成測試上線。具體行動包含:
    • 立即防護 – 關閉不必要的對外 API。
    • 系統整合 – 將舊 API 遷移至有認證保護的內部系統。
    • 資料保護 – 移除 API 回應中的敏感資訊。
    • 安全強化 – 輪換 API 端點,防止舊端點被濫用。
  • 最終影響:經盤查與修補後,未發生資料外洩或服務中斷之情形,使用者無需額外操作。

    特定 API 架構優化 / 權限調整

    • 完成日期:2025/06/17
    • 來源:內部檢測|外部掃描|白帽回報|例行稽核|客戶通報
    • 潛藏風險:因應後端系統架構調整,部分過舊 API 可能導致帳密或個資外洩。
    • 優化措施:調整對應 API 架構,並針對資料存取權限細化,已完成測試上線。具體行動包含:
      • 完成舊系統 API 遷移,統一納入內部系統認證。
      • 整合重複度高的 API,降低潛在的安全風險。
      • 建立完整的 API 存取清單,定期審查使用狀況。
    • 最終影響:未發生資料外洩或服務中斷之情形,使用者無需額外操作。

    後台權限驗證架構優化

    • 完成日期:2025/04
    • 來源:內部檢測|外部掃描|白帽回報|例行稽核|客戶通報
    • 潛藏風險:權限驗證多層架構增加系統複雜度,維護難度高,存在維護安全風險。
    • 優化措施:主動檢視權限驗證架構安全性,將關鍵安全控制點內化至應用程式層,已完成測試上線。具體行動包含:
      • 安全內化 – 調整權限驗證架構,減少多層架構帶來的攻擊面。
      • 架構簡化 – 調整驗證邏輯,提升安全可維護性。
      • 攻擊面縮減 – 移除不必要的微服務組件,降低潛在入侵點。
      • 測試強化 – 建立完整的單元測試與整合測試機制。
    • 最終影響:未發生資料外洩或服務中斷之情形,使用者無需額外操作。

    PinMed Suite ( 現已合併回 1.Talk ) 滲透測試

    • 完成日期:2024/10/18
    • 來源:內部檢測|外部掃描|白帽回報|例行稽核|客戶通報
    • 潛藏風險:例行性委外公正第三方進行漏洞滲透測試,並非屬於風險修復類型。
    • 優化措施:無。
    • 最終影響:經報告確認未發現任何高 / 中 / 低風險弱點,未有任何影響。

    啟動 ISO / IEC 27001 & 27701 國際認證申請

    • 完成日期:2025/2/25 取得 ISO / IEC 27001 證書認證;2025/7/15 取得 ISO / IEC 27701 證書認證
    • 開始日期:2024/10/15
    • 來源:內部資安治理計畫
    • 潛藏風險:非屬於風險修復類型。
    • 優化措施:
      • 成立 PM 專案小組,盤點現有資訊安全流程與制度。
      • 聘請第三方顧問協助導入驗證流程,並著手準備正式審核相關文件。
      • 依據顧問建議補強資安政策、權限管理、資料存取與異常應變機制。
      • 規劃員工資安教育訓練,確保全員理解與落實標準。
    • 最終影響:確保資安管理制度化,強化診所與病患資料的安全保障,且未有任何使用影響。

    系統架構安全升級

    • 完成日期:2024/05
    • 來源:內部檢測|外部掃描|白帽回報|例行稽核|客戶通報
    • 潛藏風險:舊版系統架構存在已知安全漏洞,過時的基礎服務增加安全維護難度。
    • 優化措施:啟動系統架構升級計畫,完成關鍵安全性更新。具體行動包含:
      • 安全升級 – 服務網格架構 從 v1.13 升級至 v1.13.9,包含重要安全性修補。
    • 最終影響:提升整體系統安全性與穩定性,使用者無需額外操作。

    敏感資訊保護機制強化 / 部署安全優化

    • 完成日期:2024/01
    • 來源:內部檢測|外部掃描|白帽回報|例行稽核|客戶通報
    • 潛藏風險:敏感設定檔 ( API 金鑰等 ) 在部署過程中可能遭受未授權存取。
    • 優化措施:主動調整伺服器部署流程,強化敏感資訊的保護機制,已完成測試上線。具體行動包含:
      • 金鑰保護 – 敏感設定如:第三方服務 API 金鑰等,透過 GitHub Secrets 功能加密保護。
      • 部署安全 – 調整自動化部署流程,避免敏感資訊明文傳輸。
      • 存取控制 – 限制敏感設定的存取權限,僅授權人員可操作。
      • 稽核機制 – 建立敏感資訊存取的日誌記錄與監控。
    • 最終影響:未發生資料外洩或服務中斷之情形,使用者無需額外操作。