Anforderungs- und Leistungskatalog
Hier finden Sie einen Anforderungskatalog zu IT und IT-Sicherheit und Erläuterungen, inwiefern Curafida diese erfüllt. Zusätzlich haben wir Ihnen einen Leistungskatalog zusammengestellt, der einige grundlegende Leistungskriterien rund um Curafida zusammenfasst.
-
Client
-
Server
-
Anforderungen Dokumentation, Schulung und Support
-
Geschäftsführung (Governance)
-
Umsetzung von Sicherheitsanforderungen
-
Marktdurchdringung
-
Betrieb/Logging
-
Installation: Vorbedingungen/Anforderungen
-
Anwenderdokumentation
-
Notfallplanung
-
Leistungskatalog
Client
| Anforderung | Erfüllung der Anforderung | Erläuterung |
|---|---|---|
Zugriff auf alle Funktionen des Verfahrens ohne Zusatzinstallation von Plugins/Clientsoftware möglich. | Ja | Anwender können die Anwendung sowohl im Browser als auch per App nutzen. Die App hat den Vorteil, auch offline für bestimmte Bereiche nutzbar zu sein. |
Der Zugriff auf alle Funktionen des Verfahrens ist ohne Adobe Flash und Microsoft Silverlight möglich. | Ja | |
Der Zugriff ist auf alle Funktionen des Verfahrens über alle markgängigen, aktuellen Browser-Versionen und Mobilgeräte möglich (Browser derzeit mindestens Edge, Firefox, Chrome, Safari) | Ja | Aus Sicherheitsgründen werden veraltete Browserversionen nicht unterstützt. |
Gibt es einen dokumentierten/ nachvollziehbaren Softwarelebenszyklus? | Ja | Wir veröffentlichen pro Quartal die Release Notes auf unserer Webseite. |
Server
| Anforderung | Erfüllung der Anforderung | Erläuterung |
|---|---|---|
Ein Parallelbetrieb des Verfahren in verschiedenen Umgebungen ist möglich (Entwicklung, Fachtest, Produktion, Intranet) | Ja | Wir stellen eine Test- und Produktivversion bereit. Bei On Premise Installationen benötigen wir einen VPN Zugang. |
Regelmäßiges OS-Sicherheits-Patch-Management (Sicherheitsupdates zum Betriebssystem) ist unkritisch. OS-Sicherheits-Patches können problemlos installiert werden und haben keinen negativen Einfluss auf das gelieferte System. (Anforderung ist vollständig erfüllt, wenn regelmäßiges OS-Sicherheits-Patchmanagement ohne Einschränkung unterstützt wird) | Ja | Wir updaten die Infrastruktur quartalsweise. Kritische Sicherheitsupdates erfolgen außerhalb des Updatezyklusses. |
Systemanpassungen, die im Zuge von OS-Versionswechseln erforderlich sind, erfolgen ohne Aufforderung durch den Auftraggeber mit geringem zeitlichen Verzug, spätestens ein Jahr nach Veröffentlichung der neuen OS-Version. | Ja | Mit ISO 27001 haben wir ein ISMS eingeführt, und überwachen damit OS Updates und Sicherheitswarnungen, um eine höchst-mögliche IT-Sicherheit zu bieten. |
Ist das System skalierbar? | Ja | Speicher und CPU sind flexibel ausbaubar, System ist auf hohe Performanz mit Betreuung hoher Zahlen von Patienten angelegt. |
Werden Schwachstellen in der auf dem Server laufenden Software zeitnah abgestellt bzw. Patches für die Behebung der Schwachstellen zeitnah bereitgestellt? | Ja | Durch ISO 27001 sind wir dazu verpflichtet. Das wird mit unserem ISMS überwacht und organisiert. |
Anforderungen Dokumentation, Schulung und Support
| Anforderung | Erfüllung der Anforderung | Erläuterung |
|---|---|---|
Eine Verfahrensdokumentation ist vorhanden. Sie enthält mindestens: eine allgemeine Beschreibung, eine Anwenderdokumentation, eine technische Systemdokumentation (mit Auflistung der verwendeten Systemkomponenten (z. B. Web-Server, Betriebssysteme für Server und Client, Datenbankmanagementsysteme, verwendbare Browser, gibt Auskunft z.B. über Update der SW, Backup und Recovery, Skalierbarkeitsmechanismen)) und eine Betriebsdokumentation. | Ja | Wir haben u. a. Info-Center, Handbuch, Gebrauchsanweisung, Nutzungsvereinbarung, Datenschutzerklärung, Beschreibung zu Systemvoraussetzungen und Schulungsmaterial für die Anwender. |
Die Meldung von Fehlern und/oder Schwachstellen ist über das Internet und die Hotline möglich. | Ja | Unser IT-Service kann bei Fehlern/Schwachstellen folgendermaßen von Anwender direkt kontaktiert werden: E-Mail, 0800-Hotline, Whatsapp Business Kanal, Kontaktformular (die Reaktionszeiten betragen durchschnittlich 1–2 Stunden, max. 72 Stunden wegen Wochenende). |
Wird der Source-Code in Fällen der Geschäftsaufgabe kostenfrei zur Verfügung gestellt? | Ja | Im Falle einer Geschäftsaufgabe oder für den Fall, dass wir das Produkt nicht mehr anbieten möchten (was sehr unwahrscheinlich ist), stellen wir den Quellcode gerne bereit. Das haben wir auch schon anderen Kunden zugesichert. |
Geschäftsführung (Governance)
| Anforderung | Erfüllung der Anforderung | Erläuterung |
|---|---|---|
Eine Verfahrensdokumentation ist vorhanden. Sie enthält mindestens: eine allgemeine Beschreibung, eine Anwenderdokumentation, eine technische Systemdokumentation (mit Auflistung der verwendeten Systemkomponenten (z. B. Web-Server, Betriebssysteme für Server und Client, Datenbankmanagementsysteme, verwendbare Browser, gibt Auskunft z.B. über Update der SW, Backup und Recovery, Skalierbarkeitsmechanismen)) und eine Betriebsdokumentation. | Ja | Wir haben u. a. Info-Center, Handbuch, Gebrauchsanweisung, Nutzungsvereinbarung, Datenschutzerklärung, Beschreibung zu Systemvoraussetzungen und Schulungsmaterial für die Anwender. |
Die Meldung von Fehlern und/oder Schwachstellen ist über das Internet und die Hotline möglich. | Ja | Unser IT-Service kann bei Fehlern/Schwachstellen folgendermaßen von Anwender direkt kontaktiert werden: E-Mail, 0800-Hotline, Whatsapp Business Kanal, Kontaktformular (die Reaktionszeiten betragen durchschnittlich 1–2 Stunden, max. 72 Stunden wegen Wochenende). |
Wird der Source-Code in Fällen der Geschäftsaufgabe kostenfrei zur Verfügung gestellt? | Ja | Im Falle einer Geschäftsaufgabe oder für den Fall, dass wir das Produkt nicht mehr anbieten möchten (was sehr unwahrscheinlich ist), stellen wir den Quellcode gerne bereit. Das haben wir auch schon anderen Kunden zugesichert. |
Existiert eine Dokumentation der Sicherheitsanforderungen und -ziele, Einsatzszenarien, Annahmen, Einschränkungen? | Ja | Über unsere Balanced Score Card und der Medizinproduktzertifizierung haben wir eine bestimmte Anzahl an Design-Reviews pro Jahr festgelegt. Hier haben wir auch die Code-Coverage von 80 % und eine Testspezifikation von 100 % festgelegt. Diese Daten erfassen wir quartalsweise und wird im Audit überprüft. |
Umsetzung von Sicherheitsanforderungen
| Anforderung | Erfüllung der Anforderung | Erläuterung |
|---|---|---|
Sichere Datenablage: Konzeptionell vorbereitete Rücksicherungen: Ist die Rücksicherung einzelner Bereiche des Datenbestandes möglich? | Ja | Es werden täglich inkrementelle Backups durchgeführt. Umfang ist hierfür flexibel einstellbar. |
Authentifizierung: Captcha: Sind Captchas einbindbar? | Ja | Auf Wunsch ist das integrierbar. Wir haben andere Methoden im Einsatz, um die Robustheit des Systems sicherzustellen. |
Ist das System mandantenfähig? | Ja | Die Mandantenfähigkeit ist bei uns über die Gruppenfähigkeit gelöst. Pro Gruppe lassen sich die Nutzer organisieren, und gruppenübergreifend können Vorlagen, z. B. Formulare eingesetzt werden. Jede Gruppe kann für sich auch eigene Formulare einsetzen. |
Wir die technische No-Spy-Klausel erfüllt? | Ja | Dazu sind wir mit unserer AVV und gesetztlichen Datenschutzvorgaben verpflichtet. Alle unsere Aktivitäten sind made in Germany und wir setzen ausschließlich deutsche Server in Deutschland ein, und können alles eigenständig entwickeln, installieren und betreiben. Es werden keine Dritte außerhalb von Deutschland einbezogen. Daher ist die no-spy-Klausel vollumfänglich erfüllt. |
Marktdurchdringung
| Anforderung | Erfüllung der Anforderung | Erläuterung |
|---|---|---|
Anzahl an Installation in Deutschland | mehr als 30 Plattformen | |
Gibt es Referenzsysteme/ -installationen? | Ja | Referenzsysteme und -installationen können Sie auf unserer Webseite einsehen und im Bereich „Case Studies“. |
Gibt es belastbare Kennzahlen zur Performancemessung? | Ja |
|
Wird die technische No-Spy-Klausel erfüllt? | Ja | Dazu sind wir mit unserer AVV und gesetztlichen Datenschutzvorgaben verpflichtet. Alle unsere Aktivitäten sind made in Germany und wir setzen ausschließlich deutsche Server in Deutschland ein, und können alles eigenständig entwickeln, installieren und betreiben. Es werden keine Dritte außerhalb von Deutschland einbezogen. Daher ist die no-spy-Klausel vollumfänglich erfüllt. |
Betrieb / Logging
| Anforderung | Erfüllung der Anforderung | Erläuterung |
|---|---|---|
Bei Cloud-Betrieb: Sind die im "Anforderungskatalog Cloud Computing (C5)" des BSI aufgeführten Basismaßmahmen umgesetzt? | Ja | Wir können auf Hosting-Anbieter mit C5 Testat zurückgreifen, mit denen wir die Anforderungen des BSI erfüllen. Mit der ISO 27001 haben wir selbst alle Anforderungen aus der Kreuztabelle „C5 vs. 27001“ abgebildet. Darüber hinaus erfüllen wir alle Anforderungen der BSI TR 03161 „Web-Anwendungen im Gesundheitswesen“ bis auf die Verschlüsselung der Daten bei Nutzung. Hierfür entwickeln wir aktuell ein Konzept für den Einsatz mit unterschiedlichsten Rollen und Rechten und möchten dies in Q2/2025 abschließen und vom TÜV Nord zertifizieren lassen. |
Bei Cloud-Betrieb im Gesundheitswesen: Der Anbieter besitzt für die C5-Basiskriterien ein C5-Testat Typ 1. Ab dem 1. Juli 2025 ist ein C5-Testat Typ 2 erforderlich. | Ja | Wir selbst sind ISO 27001 zertifiziert, und implementieren aktuell weitergehende Sicherheitsmaßnahmen, um eine BSI Zertifizierung in 2025 einzuholen. Unsere Software ist OnPremise in einem Rechenzentrum installierbar, sodass kein Cloud-Betrieb notwendig ist. Wir haben als Hostingpartner für Cloud-Dienste die Auswahl zwischen Syseleven, Hetzner und Stackit. Syseleven und Hetzner sind aktuell dabei, ein C5 Zertifikat bis Ende 2024 einzuholen. Stackit hat es bereits umgesetzt, sodass wir Stackit im Falle eines Cloud-Dienstes einsetzen werden. |
Die Verarbeitung von allgemeinen Daten sowie Sozial- und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes darf nur im Inland oder in einem Mitgliedstaat der Europäischen Union oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen und sofern die datenverarbeitende Stelle über eine Niederlassung im Inland verfügt. | Ja | Die Sever werden in Deutschland gehostet. |
Bei Cloud-Betrieb: Ein Vertrag zur Auftragsdatenverarbeitung ist abzuschließen. Der Anbieter verpflichtet sich nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Aussagekräftige technische und organisatorische Maßnahmen für das Verfahren und die Betriebsumgebung sind dem Auftraggeber zur Verfügung zu stellen. | Ja | Wir schließen mit jedem Kunden einen Wartungs- und AV-Vertrag ab. |
LogLevel konfigurierbar: Sind verschiedene Loglevel zwischen Trace und Info konfigurierbar? | Ja |
Installation: Vorbedingungen / Anforderungen
| Anforderung | Erfüllung der Anforderung | Erläuterung |
|---|---|---|
Netzwerkkommunikation: Welche Netzwerkverbindungen werden für den Betrieb benötigt? (Quell- und Ziel-Adressen, Protokolle, Ports) | Port 443, https | Bei eigener Mailserver-Anbindung: TCP Port 25 |
Anwenderdokumentation
| Anforderung | Erfüllung der Anforderung | Erläuterung |
|---|---|---|
Qualität: Zielgruppenorientierung: Gibt es für die Zielgruppen Administratoren, Entwickler und Anwender separate Dokumentationen? | Ja | Im QM sind für die Zielgruppen jeweils SOPs definiert. |
Qualität: Navigation und Suche: Sind Struktur und Formulierung geeignet, die Informationen zu finden? Kann man punktuell darauf zugreifen? Enthält jedes Thema sinnvolle Informationen (oder gibt es Seiten, die nur weiter verweisen)? | Ja | In unserer QM-Software "Orgavision" kann sich jeder Mitarbeiter die SOPs abrufen. |
Qualität: Mehrsprachigkeit: Ist sicherheitsrelevante Dokumentation auch in deutsch vorhanden? | Ja | Die Anwenderdokumentation ist in Deutsch vorhanden. |
Qualität / Vollständigkeit: Werden verschiedene Einsatz-Szenarien beschrieben? | Ja | Wir zeigen Beispiel-Szenarien, anhand derer man die Einsatz-Szenarien nachvollziehen kann. Die Dokumentation passen wir für jeden Anwendungsfall individuell an, um den Anwendern den Einstieg zu vereinfachen. |
Notfallplanung
| Anforderung | Erfüllung der Anforderung | Erläuterung |
|---|---|---|
Wird eine Musterbeschreibung für das Verzeichnis der Verarbeitungtätigkeiten des Kunden zur Verfügung gestellt? | Ja | Wir können das gerne bereitstellen, und auf die individuelle Umsetzung anpassen. |
Leistungskatalog
| Leistung | Erfüllung der Leistung | Erläuterung |
|---|---|---|
Dashboard: Die Plattform verfügt über ein anwenderspezifisches Dashboard. | Ja | Es gibt mehrere patientenübergreifende Sichten für Aufgaben, Notizen, Termine, etc. In der Übersicht werden alle Informationen je nach Modul separat angezeigt. In der Patientenakte werden alle Informationen zum entsprechenden Patienten angezeigt. |
Terminmanagement: Es ist ein Terminmanagement verfügbar, über das Termine flexibel eingetragen und gebucht werden können. Beteiligte erhalten eine automatische Terminbestätigung und -erinnerung. | Ja | Für Betreuer ist ein Kalender bereits umgesetzt, mit dem Termine erstellt, Teilnehmer eingeladen, und Termine koordiniert werden inkl. Benachrichtigungen. Für Patienten ist im Front-End noch keine Funktionalität umgesetzt, da dies von bisherigen Kunden nicht gewünscht war. Im Backend sind alle Funktionen hierfür vorhanden. Zu jeder Aufgabe kann ein Termin zugeordnet werden und die Erinnerungsfristen eingestellt werden. |
Fragebögen und Arbeitsblätter: Über eine Schnittstelle können Fragebögen und Arbeitsblätter von Drittanbietern ausgewählt, versendet und nachverfolgt werden. Es können automatische E-Mail-Benachrichtigungen als Hinweise versendet werden. | Ja | Wir haben den Formulareditor myMedax und die eLearning Plattform Articulate an Curafida angebunden.
E-Mail-Benachrichtigungen können über die Aufgabenvorlagen eingestellt werden. |
Feedback: Nach einem Termin erhalten beide Parteien eine Abfrage (Behandler: Anwesenheitsbestätigung und Verlaufsdokumentation, Patient: Feedback). | Ja | Dies kann über Fragebögen abgebildet werden. |
Export: Es exisitiert eine Exportfunktion für Patientendaten inkl. Dokumentation, Termine und Auswertungen. | Ja | Wir können einen Export der Daten auf der Plattform vornehmen. |
Datenaustausch: Behandler und Patient können über die Plattform verschiedene Dokumententypen (PDF, Word) austauschen. | Ja | Die Benutzer können über Chat oder Notizen verschiedene Dokumententypen austauschen. |
Bescheinigungen: Teilnahmebestätigungen können nach erfolgter Anwesenheitsbestätigung durch den Patienten abgerufen werden. | Ja | Über die Berichtsfunktion können Teilnahmebestätigungen generiert werden. |
Administration: Benutzeraccounts können durch den Auftraggeber administriert werden. | Ja | Über die Verwaltungsoberfläche kann der Auftraggeber Benutzeraccounts selbst administrieren. |