Sicherheit beim nursIT Institute
Verantwortungsvolle Meldung von Schwachstellen
Die Sicherheit unserer Software und der Daten, die unsere Kunden uns anvertrauen, ist für uns ein zentrales Anliegen. CareIT Pro wird in Krankenhäusern eingesetzt und verarbeitet besonders schützenswerte Gesundheitsdaten. Wir freuen uns über Hinweise von Sicherheitsforscherinnen und Sicherheitsforschern, die uns dabei helfen, unsere Plattform sicherer zu machen.
Kurz-Übersicht
| security@nursit-institute.com | |
| security.txt | /.well-known/security.txt |
| Disclosure Policy | /security/disclosure-policy |
| Anerkennungen | /security/hall-of-fame |
| Bevorzugte Sprachen | Deutsch, Englisch |
Eine Schwachstelle melden
Wenn Sie eine Schwachstelle, eine Schwäche in unserer Implementierung oder ein Konfigurations-Problem in einem unserer Systeme oder Produkte entdeckt haben, teilen Sie uns das bitte vertraulich mit. So gehen Sie vor:
- Senden Sie uns eine Mail an security@nursit-institute.com. Falls Ihre Meldung besonders sensible Informationen enthält, weisen Sie uns bitte vorab darauf hin, damit wir gemeinsam einen geeigneten Übermittlungsweg abstimmen können.
- Beschreiben Sie möglichst präzise, was Sie beobachtet haben: betroffene URL bzw. Komponente, eingesetzte Methode oder Aufrufe, beobachtetes Verhalten, mögliche Auswirkungen.
- Wenn möglich: fügen Sie Schritte zur Reproduktion bei. Reine Screenshots ohne Reproduktionspfad sind oft schwer einzuordnen.
- Geben Sie uns einen sinnvollen Zeitraum (mindestens 30 Tage), bevor Sie den Befund öffentlich machen oder an Dritte weitergeben. Wir empfehlen das international gängige Fenster von 90 Tagen.
Unsere Reaktionszeiten:
- Bestätigung des Eingangs: innerhalb von drei Werktagen
- Erste fachliche Einschätzung: innerhalb von zehn Werktagen
- Statusupdate während der Bearbeitung: mindestens alle 14 Tage, häufiger bei akuten Befunden
Sicheres Verhalten beim Testen
Wenn Sie unsere öffentlich erreichbaren Systeme testen, beachten Sie bitte:
- Keine Beeinträchtigung des laufenden Betriebs: keine Denial-of-Service-Versuche, kein automatisiertes Scanning in einer Frequenz, die unsere Dienste verlangsamt.
- Keine Datenextraktion über das nötige Minimum hinaus: Sobald Sie ein Sicherheitsproblem identifiziert haben, melden Sie es. Das gezielte Auslesen oder Sichten von personenbezogenen Daten ist nicht zulässig.
- Keine Manipulation von Daten: Wenn Sie zur Demonstration eines Befunds einen Schreibzugriff durchführen wollen, sprechen Sie das vorher mit uns ab.
- Soziale Tricks (Social Engineering) und physische Angriffe sind nicht im Geltungsbereich dieser Policy.
- Beachten Sie geltendes Recht. Diese Policy entbindet Sie nicht von der Verantwortung für Ihr eigenes Handeln, sie definiert lediglich den Rahmen, in dem wir auf Meldungen reagieren.
Details, einschließlich Scope und Safe-Harbor-Erklärung, finden Sie in unserer Disclosure Policy.
Geltungsbereich
Diese Policy gilt für:
- die öffentlich erreichbaren Webseiten und Dienste der NursIT Institute GmbH
- die Demo- und Sandbox-Umgebungen unter
*.careit.one - mobile Anwendungen und APIs, die wir öffentlich anbieten
Nicht im Geltungsbereich sind:
- Drittsoftware, die wir einsetzen, aber nicht selbst entwickeln (z. B. Cloud-Provider, Identity-Provider, Smile CDR als zugekaufter FHIR-Server). Bitte wenden Sie sich für solche Befunde direkt an den jeweiligen Hersteller.
- Produktiv-Installationen bei unseren Kunden in deren Krankenhäusern. Diese sind nicht öffentlich erreichbar und unterliegen dem Sicherheitsregime der jeweiligen Klinik. Falls Sie dort Befunde haben, kontaktieren Sie bitte das jeweilige Krankenhaus direkt.
Was wir Ihnen versprechen
- Wir nehmen jede Meldung ernst und bestätigen Ihnen den Eingang innerhalb von drei Werktagen.
- Wir antworten in deutscher oder englischer Sprache.
- Wir gehen nicht juristisch gegen Sicherheitsforscherinnen oder Sicherheitsforscher vor, die im Rahmen dieser Policy in gutem Glauben gehandelt haben. Details dazu finden Sie in der Disclosure Policy.
- Auf Wunsch nennen wir Sie auf unserer Hall of Fame. Wenn Sie ungenannt bleiben möchten, respektieren wir das.
Hinweise zum Bug-Bounty
Wir betreiben aktuell kein Bug-Bounty-Programm. Wir können Meldungen leider nicht finanziell vergüten. Wir bemühen uns, Sicherheitsforscherinnen und -forschern unsere Anerkennung über die Hall of Fame, ein persönliches Dankesschreiben und gegebenenfalls über Empfehlungen in der Community zu zeigen.
Kontakt für sonstige Sicherheitsfragen
Für sonstige Anliegen rund um Datenschutz und Sicherheit unserer Produkte (z. B. als Kunde, Auftragsverarbeiter, Auditor): [allgemeine Kontaktadresse, z. B. info@ oder datenschutz@]. Der Kanal security@nursit-institute.com ist primär für Schwachstellenmeldungen vorgesehen.
Was ist careIT?
careIT ist die professionelle Ergänzung Ihres KIS-Systems um eine professionelle, interoperable Pflege- und Behandlungsdokumention.
careIT ist in drei Ausbaustufen erhältlich.
Basis Version
careIT Light
Im Paket enthalten:
-
Patienten-Dashboard (ohne grafische Eingabe von Zu-, Ableitungen, und Wunden)
-
Anamnese (anpassbar)
-
Assessment (SeMPA) ohne Maßnahmen
-
Automatische Datenanalyse und -bewertung (ohne Trigger für Info an Sozialdienst und Pflegespezialisten)
-
Pflegeakte
-
Benutzerverwaltung
-
Schnittstellen
-
Reporting
Pro Version
careIT Pro
Im Paket enthalten:
-
alle Leistungen aus careIT Light mit vollem Funktionsumfang
-
Pflegeplanung
-
Evaluation und Re-Assessment
-
Wunddokumentation
-
Bettenübersicht
-
Pflegeplan
-
Abrechnungskennzahlen
-
CareIntelligence careIN
-
Onlineportal für eLearning der careIT-Funktionen
Pro Version + e-Kurve
careIT One
Im Paket enthalten:
-
alle Leistungen aus careIT Pro
-
digitale, mobile Patientenkurve