Декларация о конфиденциальности

Publication date: 21/03/2020, 14:35 | Update date: 01/07/2021, 14:34
Приложение "Ха-Маген" - информация и возможность сообщения о проблемах информационной безопасности и персональных данных.

1. Кто разработал приложение?

Приложение "Ха-Маген" («щит») было разработано совместными усилиями разработчиков из Министерства здравоохранения, коммерческих компаний и добровольцев из различных организаций, а также из Израильского сообщества разработчиков

2. Что конкретно делает приложение?

Один раз в определенный период времени (в настоящее время - каждый час) приложение загружает из облака Министерства здравоохранения файл с анонимным списком мест (включая даты и время), в которых находились больные, у которых был подтвержден коронавирус (диагноз которых подтвердился Министерством здравоохранения и касательно которых были проведены эпидемиологические исследования с помощью различных средств, доступных Министерству), а также данные о нахождении вблизи мобильных устройств больных, у которых подтвердился коронавирус, при условии, что на этих устройствах было установлено приложение, после чего проверяет эти местоположения на соответствие местоположениям (включая соответствие по датам и времени), хранящимся на Вашем устройстве.

Информация о местоположении и времени, а также данные о нахождении вблизи устройств с установленным приложением, сверяются только на Вашем устройстве, а не в облаке. Информация о Ваших местоположениях и данные о нахождении вблизи устройств с установленным приложением не передаются в Министерство здравоохранения кроме случаев, когда Вы даете разрешение Министерству здравоохранения на передачу информации с целью оказания помощи в выявлении людей, которые были в контакте с заболевшим и которые как можно быстрее должны начать пребывание в карантине. Если приложение обнаружит, что есть вероятность того, что Вы находились в одно и то же время и в одном месте с больным, у которого подтвердилось заболевание, Вы получите уведомление от приложения, в котором будет приведена информация о месте и времени, когда Вы были в контакте с заболевшим, после чего Вас попросят подтвердить данные, указанные в уведомлении. Если с помощью использования данных о нахождении вблизи больного, у которого был подтвержден коронавирус, будет определено Ваше пересечение с больным, Вам будет отправлено уведомление с указанием на то, что вы должны начать пребывание в карантине. Если с помощью использования данных о местоположении или данных о нахождении вблизи устройств с установленным приложением будет обнаружено несколько случаев пересечения с больными, Вы получите уведомление с указанием наиболее недавней даты Вашего нахождения вблизи больного, у которого был подтвержден коронавирус.

После получения уведомления от приложения рекомендуется перепроверить и подтвердить информацию на веб-сайте Министерства здравоохранения, где опубликованы списки и карта мест, где находились больные, у которых подтвердился коронавирус. Если у Вас возникают какие-либо сомнения относительно точности информации о местах инфицирования, полученной через приложение, Вы можете проконсультироваться с телефонной службой Министерства здравоохранения по номеру *5400.

3. Где и как хранится информация обо мне?

  • Информация о Вашем местоположении хранится только на Вашем устройстве и дальше не передается.
  • Информация о нахождении вблизи других устройств, на которых установлено приложение, хранится только на Вашем устройстве и дальше не передается.
  • Информация хранится с помощью базы данных SQLite, доступ к которой есть только у приложения.
  • Только в случае, если у Вас была диагностировано коронавирусное заболевание, мы попросим Вашего согласия отправлять нам информацию о местах, в которых Вы находились, чтобы таким образом помочь нам и общественности в проведении многочисленных необходимых эпидемиологических расследований. В таком случае, информация, которая будет передана, будет надежно храниться на серверах Министерства здравоохранения.

4. Как приложение узнает, где я был, и почему ему нужны разрешения на моем устройстве?

  • "Ха-Маген" запрашивает разрешение на доступ к данным о Вашем местоположении, к активации сервиса Bluetooth на Вашем устройстве, а также доступ к интернету (мобильный интернет или WIFI) с Вашего устройства.
  • Доступ к Интернету необходим для загрузки из облака Министерства здравоохранения постоянно обновляемого файла с историей местоположения и с данными о нахождении вблизи устройств больных, у которых подтвердился коронавирус (то есть с результатами эпидемиологического расследования Министерства здравоохранения в отношении других заболевших), и для проверки нахождения вблизи устройств больных, у которых подтвердился коронавирус.
  • Данные о маршруте передвижения больного, у которого подтверждено заболевание, приложение сравнивает с Вашими местоположениями и данными о нахождении вблизи других устройств с установленным приложением за 14 дней до подтверждения диагноза у каждого заболевшего. В связи с этим приложению необходим доступ к данным о Вашем местоположении и к сервису Bluetooth на Вашем устройстве. Все проверки соответствия местоположений выполняются на Вашем мобильном телефоне и не передаются дальше и не загружаются в облако Министерства здравоохранения или другого учреждения, а также не передаются другим пользователям или организациям.
  • Фильтр поездок - Чтобы сбор данных о вашем местоположении и сравнение с данными о местоположении подтвержденных больных не выполнялись во время поездки, рекомендуется разрешить приложению Activity Recognition.

5. Какая информация обо мне хранится в приложении?

  • История местоположений (даты, время и место) на основе функции определения местоположения, доступной на Вашем телефоне, только за последние две недели (в настоящее время – информация о датах до загрузки приложения на Ваше устройство не сохраняется).
  • История данных о нахождении вблизи других устройств, на которых установлено приложение (даты и время), которые определяются с помощью сервиса Bluetooth на Вашем мобильном телефоне только за последние две недели.
  • История беспроводных сетей (WIFI), рядом с которыми Вы находились, только за последние две недели.
  • Соответствие Ваших местоположений местам, в которых находились больные с подтвержденным заболеванием (если такие были) - только за последние две недели.
  • Все данные остаются только в памяти Вашего телефона и не передаются дальше.

6. Откуда берется файл с информацией о больных с подтвержденным заболеванием, как я могу узнать, является ли он подлинным, и содержит ли он идентифицированную информацию?

Файл создается в эпидемиологической системе Министерства здравоохранения Израиля и содержит только достоверную информацию, полученную из лабораторий и в результате эпидемиологических расследований, и контролируется Министерством здравоохранения. Перед отправкой файл подписывается цифровой подписью с использованием ключа Министерства здравоохранения. После получения файла подпись проверяется приложением, для подтверждения, что файл действительно поступил из Министерства здравоохранения и является подлинным, проверка проводится с целью максимально возможного предотвращения проникновения любых вредоносных файлов в приложение.

Нам известно об атаках и попытках проникновения, и мы прилагаем все усилия, чтобы защитить приложение, чтобы оно оставалось безопасным для Вас.

7. Куда попадает файл с информацией о больных с подтвержденным заболеванием до того, как он попадет ко мне?

  • Файл передается из Министерства здравоохранения в специализированное облако для использование Министерством здравоохранения в сервисе Azure (облачный сервис, управляемый компанией Microsoft) с помощью безопасного виртуального сейфа (CyberArk).
  • Соединение Министерства здравоохранения с сервисом Azure происходит через службу ExpressRoute по выделенным линиям связи (не через Интернет).
  • В облаке файл сохраняется в хранилище Blob Storage, откуда приложение загружает файл.
  • Службы информационной безопасности облака и соединения с облаком были одобрены экспертами по информационной безопасности всех организаций, задействованных в процессе

8. Почему Министерству здравоохранения нужна информация и каким образом она используется?

  • Пользователь, у которого было диагностировано коронавирусное заболевание, (или его опекун), сможет дать свое разрешение на передачу информации об истории его местоположений, которая хранится в приложении, Министерству здравоохранения для оказания помощи в проведении эпидемиологических расследований с целью выявления людей, которые были с ним в контакте и которые могут оказаться инфицированными, а также историю данных о нахождении вблизи других устройств, сохраненную в приложении, чтобы информировать других пользователей о пребывании в то же время и в том же месте, где и больные, у которых был диагностирован коронавирус.
  • Передача информации в Министерство здравоохранения будет осуществляться только с согласия пользователя. Если пользователь дает согласие на передачу информации в Министерство здравоохранения, подтверждение будет сделано в два этапа - сначала пользователю будет отправлена ​​ссылка, перейдя по которой он подтвердит свое согласие на передачу информации в Министерство здравоохранения, а затем пользователь подтвердит передачу информации в Министерство здравоохранения непосредственно в приложении. Пользователь может подтвердить разрешение на раздельную передачу данных: отдельно на передачу данных об истории местоположений или данных о нахождении вблизи другим устройств с установленным приложением.
  • Необработанная информация об истории местоположений, которая будет передана от пользователя в Министерство здравоохранения, будет исследована вместе с пользователем в рамках проведения эпидемиологического расследования. Информация о подтвержденных пользователем местах будет сохранена, как часть результатов эпидемиологического расследования, и будет опубликована без какой-либо идентифицирующей информации в целях предупреждения и информирования населения и пользователей приложения, которые также находились в этих местах. Информация об этих местоположениях будет опубликована на веб-сайте Министерства здравоохранения, на карте точек контактирования с больными коронавирусом и, а также вернется в приложение как часть файла истории местоположений больных коронавирусом.
  • Информация о местах, которые были подтверждены пользователем, будет храниться в системе эпидемиологических расследований Министерства здравоохранения в течение 7 лет, включая информацию, которая была помечена в процессе осуществления контроля эпидемиологических расследований как несущественная.
  • Данные о нахождении вблизи других устройств с установленным приложением, которые будут переданы от пользователя в Министерство здравоохранения, вернутся в приложение без какой-либо идентифицирующей информации в рамках информации больных, у которых подтвердился коронавирус, с целью определения возможных совпадений других пользователей с больными, у которых подтвердился коронавирус.
  • Данные о нахождении вблизи других устройств с установленным приложением и другая необработанная информация, которая будет передана в Министерство здравоохранения, и которая не будет использоваться в целях проведения эпидемиологических расследований, будет удалена в течение 30 дней с даты передачи в Министерство здравоохранения, включая записи приложения и любой вид передачи информации в Министерство здравоохранения. На протяжении этого периода Министерство здравоохранения сможет использовать эти данные с целью уточнения информации и улучшения технологических возможностей для выявления людей, контактировавших с больными коронавирусом.
  • Информация, переданная Министерству здравоохранения, не будет передана третьим лицам.

9. Каким образом будет обеспечена защита данных, передаваемых в Министерство здравоохранения?

  • Министерство здравоохранения уделяет должное внимание сохранению конфиденциальности и защите данных. В связи с этим, вся информация, передаваемая Министерству здравоохранения, будет зашифрована и сохранена на серверах Министерства здравоохранения в соответствии с требованиями и стандартами информационной безопасности и защиты конфиденциальных данных, применяемыми в системе здравоохранения Израиля и в соответствии с законом.
  • Министерство здравоохранения регулярно выполняет контроль средств осуществления информационной безопасности и защиты конфиденциальных данных и обновляет их по мере необходимости.

10. Если все установят приложение, не возникнет ли проблем с загруженностью?

  • Проверка соответствия местоположений и нахождения вблизи устройств с установленным приложением выполняется только на Вашем устройстве, поэтому единственная нагрузка, которая может образоваться, — в случае, если большое количество устройств одновременно отправят запрос на загрузку файла с данными Министерства здравоохранения из облака.
  • Следовательно, в определенных случаях (например, если одновременно появится большое количество больных с подтвержденным заболеванием и многочисленные эпидемиологические расследования), проверка и загрузка информации из облака может занять несколько минут и потребовать использование работы батареи устройства.
  • Мы провели успешную проверку загруженности в 1,6 миллиона запросов за 9 минут, что соответствует количеству миллионов пользователей, которые, как мы надеемся, будут использовать приложение в Израиле, но мы также работаем над улучшением этого показателя.

11. На каких технологиях и инфраструктуре основано приложение?

  • Приложение было написано на React Native + составляющих Native.
  • Информация об устройстве хранится в SQLite.
  • Мы также использовали дополнительные компоненты открытого исходного код.

12. Где посмотреть исходный код приложения

13. Есть приложения, которые отслеживают использование, вы тоже это делаете?

  • Мы используем сервис Google Firebase
  • Сервис собирает анонимную информацию исключительно с целью мониторинга производительности приложения.
  • Мы используем анонимную информацию, для анализа производительности приложения, чтобы мы могли улучшать его на благо пользователей и только для этой цели.
  • Мы не собираем идентифицированные данные о Вашем использовании приложения, о том, как вы используете другие приложения, о сетевом трафике, ваших просмотрах в интернете, телефонных звонках и другом контенте на вашем устройстве. Приложение не будет собирать или хранить информацию о чем-либо, что не является связанным с Вашим местоположением: исключительно место, дата и время и / или данные о нахождении вблизи устройств с установленным приложением.

14. Нужно ли что-то делать, чтобы моя информация оставалась конфиденциальной?

  • Следить физически за своим смартфоном - как и обычно.
  • Блокировать устройство с помощью введения пароля, когда оно не используется - как и обычно

15. Какие проверки безопасности прошло приложение?

Министерство здравоохранения уделяет большое внимание соблюдению конфиденциальности информации. Соответственно, приложение было протестировано несколькими агентствами по кибербезопасности и информационной безопасности, в том числе сотрудниками Национального управления по кибербезопасности, специалистами бизнес-структур, а также ведущими экспертами в области кибербезопасности и информационной безопасности из израильского Гражданского сообщества по кибербезопасности и информационной безопасности. Проверка безопасности включала тест архитектуры, проверку кода и PT (тест на проникновение). Были внесены изменения в соответствии с полученными рекомендациями, и теперь мы уверены, что приложение безопасно для использования на достаточном уровне, надежно защищено от атак и сбоев и может служить пользователям в соответствии с поставленными задачами.

Министерство здравоохранения регулярно проводит контроль средств информационной безопасности и защиты конфиденциальности и обновляет их по мере необходимости.

16. Каковы наши действия в случае нарушения информационной безопасности?

Несмотря на то, что мы приложили все усилия, использовали профессиональный опыт и средства контроля, не существует абсолютно безопасной системы. Поэтому мы обязаны информировать пользователей приложения о случаях нарушения информационной безопасности, которые влияют на них, чтобы они могли принять необходимые меры защиты.

17. Вопросы, предложения по улучшению приложения или сообщения, связанные с проблемами информационной безопасности и персональных данных, следует направлять на электронную почту Hamagen@MOH.GOV.IL

Back To Top