Quais são os requisitos da base de dados para o cumprimento da HIPAA?
precisamos mesmo de encriptar todos os valores da base de dados, como o nome do paciente, etc?
2 answers
Sim você tem que encriptar todos os detalhes(nome, e-mail, telefone, endereço) relacionados com o paciente e os médicos, Se você quiser que sua aplicação de trilhos seja a conformidade HIPAA.
Aqui abaixo de 2 pedras de rubi são muito úteis para si.Encrypted: https://github.com/shuber/attr_encrypted
Paper_trail: https://github.com/airblade/paper_trail
A HIPAA é uma lei invulgar, na medida em que faz muitas recomendações (artigos endereçáveis) e uma poucas afirmações (itens necessários), mas, no final, cabe a cada organização determinar por si mesmo o que eles precisam fazer para serem compatíveis.Isto cria uma grande flexibilidade e também uma grande incerteza. Em geral, para ser conforme com o HIPAA, um sítio Web deve, no mínimo, garantir que todas as informações de saúde protegidas (ePHI) abaixo:Encriptação do transporte: está sempre encriptada, uma vez que é transmitida pela Internet
Cópia de segurança: nunca está perdida, ou seja deve ser feito backup e pode ser recuperado
Autorização: só é acessível por pessoal autorizado utilizando controlos de acesso únicos e auditados
Integridade: não foi adulterada nem alterada
Encriptação de armazenamento: deve ser encriptada quando estiver a ser guardada ou arquivada
Eliminação: pode ser eliminado permanentemente quando já não for necessário
Omnibus / HITECH: está localizado nos servidores web de uma empresa com quem você tem um acordo de associação de negócios HIPAA (ou ele é hospedado em casa e esses servidores são devidamente seguros de acordo com os requisitos da regra de segurança HIPAA).
Quando o HIPAA e o PCI-DSS não são suficientes, é porque não indicam o modo de funcionamento a utilizar. Em fact Mysql's aes_encrypt() usa o modo BCE, o que é horrível. Além disso, há problemas com a aplicação da segurança ao usar a criptografia nesta camada. aes_ Encrypt () é fácil de quebrar, configurando o mysql para registar todas as consultas. A chave AES deve ser incorporada em sua aplicação de modo que, se estiver comprometida, o atacante poderia ler o valor de um arquivo de configuração e acessar os registros. Estes são dois pontos de falha que podem ser evitados criptografando os dados dentro de sua aplicação e, em seguida, a transmitir texto cifrado para a base de dados. Mas o HIPAA não quer saber deste problema. Os outros requisitos da HIPAA, como a exigência de um CISSP para analisar sua aplicação, são mais importantes.
Peço-lhe que implemente um sistema seguro, mas o HIPAA não foi concebido o suficiente para se importar.