Med.me: как мы быстро развернули инфраструктуру по 152-ФЗ, чтобы работать с госкомпаниями

Сервис Med.me упрощает взаимодействие клиник и страховых компаний

В медицинском обслуживании по ДМС всегда участвуют три стороны: сам пациент, клиника и страховая. Наша система упрощает это взаимодействие и помогает обмениваться информацией:

• Помогаем пациентам. Пациенты могут выбирать клиники и врачей онлайн. Там же они могут видеть историю посещений и результаты анализов.
• Упрощаем документооборот между клиниками и страховыми компаниями. Количество ручного труда и ошибок снижается, а обмен информацией становится быстрее.

Почему мы используем облака: экономия на ресурсах и гарантия высокой доступности

Еще на старте проекта облачные решения нам показались удобней всего: не нужно строить собственную инфраструктуру, которая может не пригодиться. В облаке мы смогли арендовать небольшой объем ресурсов и увеличивать его по мере роста проекта.

Распределяем нагрузку и экономим на ресурсах. Если использовать свои серверы, то они редко будут загружены на 100% и будут простаивать. С виртуальными серверами проще: можно платить только за те мощности, которые реально используются.

Не нужно поддерживать железо. Все работы по обслуживанию серверов берет на себя облачный провайдер. Это удобно, ведь нам вообще не нужно задумываться о железной составляющей.

Облако обеспечивает высокую доступность. Нам важен высокий аптайм, который позволяет не терять клиентов из-за внезапных простоев. Облачные провайдеры могут гарантировать 99,95-99,99% доступность по SLA, нам не нужно реализовывать отказоустойчивую инфраструктуру самим.

Как мы выбирали облако и почему остановились на VK Cloud

Сначала мы попробовали работать с глобальными вендорами. IBM SoftLayer на тот момент оказался довольно нестабилен, а вот AWS нас устроил, подходил по всем параметрам.

Мы работаем с персональными данными клиентов, и на тот момент наша система соответствовала третьему уровню защищенности (УЗ-3). Но позже мы вышли на государственные организации, а для работы с ними нужно соответствовать УЗ-2, где более строгая сертификация. Мы должны быть сертифицированы как оператор ПДн, а также аттестовать оборудование и всю информационную систему, где хранятся персональные данные. У AWS нет сертификации под требования 152-ФЗ, поэтому мы начали искать альтернативы. Можно было создать и аттестовать такую инфраструктуру самостоятельно, но это очень дорого и трудоемко. Поэтому мы решили посмотреть на готовые решения от облачных провайдеров.

В результате выбрали VK Cloud, так как инфраструктура платформы аттестована в соответствии со 152-ФЗ и позволяет хранить персональные данные с УЗ-2, а не только с УЗ-3, как многие аттестованные российские облака.

Мы получили готовую инфраструктуру за несколько месяцев

Нам важно было быстро получить сертифицированную инфраструктуру, поэтому мы перенесли в VK Cloud лишь необходимый минимум: базу данных с персональными данными пациентов и интернет-шлюз UserGate. Чтобы соответствовать всем сертификационным требованиям, пришлось устанавливать и настраивать дополнительные сервисы.

Вся миграция заняла несколько месяцев, основное время ушло на подготовку документов для сертификации. Если самостоятельно сертифицировать инфраструктуру под требования 152-ФЗ, ушло бы намного больше времени.

Планы на будущее: смотрим в сторону PaaS

Мы построили сертифицированную инфраструктуру, соответствующую требованиям 152-ФЗ и более строгим требованиям безопасности, которые подходят даже для клиентов из государственного сектора.

Конкретных планов на будущее пока нет, но мы рассматриваем некоторые технологии, которые могут нам помочь:

• S3-хранилище в облаке, чтобы хранить статистику от клиник;
• API управления виртуальными машинами. В зависимости от нагрузок на систему мы умеем автоматически включать/отключать виртуальные машины. Это позволяет выдерживать высокие нагрузки, в то же время уменьшает затраты во время низких нагрузок. Сейчас это реализовано при помощи нашей собственной разработки, но, возможно, мы будем использовать VK Cloud API, которое упрощает управление виртуальными машинами;
• Рассматриваем DBaaS, чтобы упростить управление своими базами данных.

Основные результаты от сотрудничества с VK Cloud

1. Быстро развернули инфраструктуру в соответствии со 152-ФЗ, что дало возможность работать с персональными данными.
2. В короткие сроки получили сертификацию, нужную для работы с государственными компаниями.