Quais são os requisitos da base de dados para o cumprimento da HIPAA?

Estou a usar o Ruby on Rails 4.2 com o mySql para a minha aplicação de conformidade HIPAA e preciso de saber os requisitos técnicos da base de dados para esta aplicação.

precisamos mesmo de encriptar todos os valores da base de dados, como o nome do paciente, etc?

Author: Nitesh, 2016-04-19
Source

2 answers

Sim você tem que encriptar todos os detalhes(nome, e-mail, telefone, endereço) relacionados com o paciente e os médicos, Se você quiser que sua aplicação de trilhos seja a conformidade HIPAA.

Aqui abaixo de 2 pedras de rubi são muito úteis para si.

Encrypted: https://github.com/shuber/attr_encrypted

Paper_trail: https://github.com/airblade/paper_trail

A HIPAA é uma lei invulgar, na medida em que faz muitas recomendações (artigos endereçáveis) e uma poucas afirmações (itens necessários), mas, no final, cabe a cada organização determinar por si mesmo o que eles precisam fazer para serem compatíveis.Isto cria uma grande flexibilidade e também uma grande incerteza. Em geral, para ser conforme com o HIPAA, um sítio Web deve, no mínimo, garantir que todas as informações de saúde protegidas (ePHI) abaixo:

Encriptação do transporte: está sempre encriptada, uma vez que é transmitida pela Internet

Cópia de segurança: nunca está perdida, ou seja deve ser feito backup e pode ser recuperado

Autorização: só é acessível por pessoal autorizado utilizando controlos de acesso únicos e auditados

Integridade: não foi adulterada nem alterada

Encriptação de armazenamento: deve ser encriptada quando estiver a ser guardada ou arquivada

Eliminação: pode ser eliminado permanentemente quando já não for necessário

Omnibus / HITECH: está localizado nos servidores web de uma empresa com quem você tem um acordo de associação de negócios HIPAA (ou ele é hospedado em casa e esses servidores são devidamente seguros de acordo com os requisitos da regra de segurança HIPAA).

 9
Author: Anil Kumar, 2016-04-19 08:40:16
As exigências do HIPAA não são suficientemente fortes. Em resumo, afirma que você deve criptografar registros médicos em repouso e você não pode usar um primitivo quebrado, o que é óbvio. Quem quer que faça uma auditoria ao seu sistema, deve gostar de ver a AES. Isto é trivial de suportar, e uma instância Amazon RDS MySQL já suporta isso fora da caixa com as funções aes_encrypt() e aes_decrypt ().

Quando o HIPAA e o PCI-DSS não são suficientes, é porque não indicam o modo de funcionamento a utilizar. Em fact Mysql's aes_encrypt() usa o modo BCE, o que é horrível. Além disso, há problemas com a aplicação da segurança ao usar a criptografia nesta camada. aes_ Encrypt () é fácil de quebrar, configurando o mysql para registar todas as consultas. A chave AES deve ser incorporada em sua aplicação de modo que, se estiver comprometida, o atacante poderia ler o valor de um arquivo de configuração e acessar os registros. Estes são dois pontos de falha que podem ser evitados criptografando os dados dentro de sua aplicação e, em seguida, a transmitir texto cifrado para a base de dados. Mas o HIPAA não quer saber deste problema. Os outros requisitos da HIPAA, como a exigência de um CISSP para analisar sua aplicação, são mais importantes.

Peço-lhe que implemente um sistema seguro, mas o HIPAA não foi concebido o suficiente para se importar.
 2
Author: Bharat soni, 2017-02-14 21:19:08