Die Zusammenarbeit mit der vita surselva Krankenversicherung stand ganz im Zeichen sicherer Softwareentwicklung. Als zertifizierte Datenannahmestelle muss vita surselva regulatorische Vorgaben (DSG, SQS) einhalten. Protect7 unterstützte dabei, Sicherheit, Compliance und Effizienz in den Entwicklungsprozessen zu steigern.
Die Ausgangslage
Für zentrale Services wie die Verarbeitung von SwissDRG-Abklärungen setzt vita surselva auf eine intern entwickelte Applikation. Ein Security Assessment zeigte Verbesserungsbedarf bei Code-Repository, CI/CD-Pipeline und im Entwicklungsprozess. Gemeinsam wurden Schwachstellen identifiziert und konkrete Optimierungen geplant bzw. bereits umgesetzt.
Unser Vorgehen
Das Projekt wurde von Dominik Feger (Protect7) geleitet, in enger Zusammenarbeit mit Ivan Deplazes (Leiter interne Entwicklung, vita surselva) und unterstützt von Roger Caspar (CEO, Protect7).
Ivan Deplazes: «Vorher war der Weg für Änderungen einfach ein ‘Machen und Publizieren‘. Mit GitHub und neuen Vorgaben wurde der Prozess zwar länger, dafür aber strukturierter und sicherer. Die Unterstützung von Dominik war dabei entscheidend.»
Die Ergebnisse
Die Veränderungen wirken sich spürbar aus: «Die Arbeit mit den neuen Prozessen macht enorm Spass. Besonders die Nachvollziehbarkeit der Änderungen hat sich durch die klare Dokumentation und die Historisierung in GitHub deutlich verbessert. Auch die automatisierten Aktualisierungen, die Dominik aufgesetzt hat, sind im Alltag sehr hilfreich. Herausfordernd bleibt einzig, die Dokumentation konsequent - sauber zu halten - selbst wenn es sich nur um eine minimale Code-Änderung handelt.» - Ivan Deplazes
Auch das Projektteam zieht ein positives Fazit: «Die grösste Herausforderung war, Lösungen zu entwickeln, die für die Grösse von vita surselva praktikabel und langfristig wartbar sind. Ein so komplexes Thema wie die Einführung von S-SDLC-Massnahmen lässt sich nur Schritt für Schritt umsetzen. Der Aufwand hat sich gelohnt: Die bisherigen Ergebnisse sprechen für sich - und persönlich war es eines meiner spannendsten Projekte bei Protect7. Besonders freut mich, dass ich bis heute von Ivan über die weiteren Fortschritte auf dem Laufenden gehalten werde.» - Dominik Feger
Blick in die Zukunft
Ziel ist nun die erfolgreiche SQS-Zertifizierung sowie die kontinuierliche Weiterentwicklung der Applikation. «Dank der Massnahmen sind wir unserem Ziel deutlich näher gekommen. Mit Protect7 haben wir eine bewährte Zusammenarbeit etabliert.» - Ivan Deplazes.
Möchten Sie mehr über sichere Softwareentwicklung und Best Practices erfahren? Kontaktieren Sie uns - wir beraten Sie gerne!