Lei*_*fel 6 oracle vendor-support
根据Oracle 的说法,Oracle 的配置管理器是否提供了“将问题解决速度提高了40%”、是否违反了HIPAA或需要特定配置以符合要求?
此问题涉及包含受保护医疗保健信息 (PHI) 的数据库。问题范围仅涵盖 OCM,而不是更广泛的 Oracle 支持访问数据库的范围。
以下来自 Oracle 的内容描述了 OCM 收集的内容:
Oracle Configuration Manager 可以自动收集 Oracle 产品安装的配置信息,并将这些信息上传到 Oracle 的支持系统。Oracle Configuration Manager 收集的配置信息包括:
• 安装的补丁
• 部署平台、日期、版本和类型
• 部署的组件和应用程序
• 配置文件的内容
• 有关网络配置的信息请注意,Oracle Configuration Manager 收集的信息仅限于配置信息。该实用程序不会收集诸如实际客户数据(即配置信息以外的任何数据,包括实际应用程序或数据库事务)、密码哈希值、登录事件等敏感数据。My Oracle Support 说明728985.1提供了所有Oracle 配置管理器收集的数据。
根据hss.gov,以下信息受 HIPAA 保护:
隐私规则保护涵盖实体或其业务伙伴以任何形式或媒体(无论是电子、纸质或口头)持有或传输的所有“可识别个人身份的健康信息”。隐私规则将此信息称为“受保护的健康信息 (PHI)”。12
“个人可识别的健康信息”是与以下相关的信息,包括人口统计数据:
• 个人过去、现在或未来的身体或心理健康或状况,
• 向个人提供的医疗保健,或
• 过去、现在或未来为向个人提供医疗保健的费用,13 个人可识别的健康信息包括许多常见的标识符(例如,姓名、地址、出生日期、社会安全号码)。
是的,只要以“合理”的方式监控正在传输的数据。
\n如果数据库托管 PHI 并且 Oracle 协助管理数据库,您必须与供应商签订书面合同。
\n\n\n标准:业务伙伴合同和其他安排。根据\xc2\xa7164.306,涵盖实体可以允许业务伙伴代表涵盖实体创建、接收、维护或传输受保护的电子健康信息,前提是该涵盖实体获得满意的保证,根据 \xc2\xa7164.314(a),业务伙伴将适当保护信息。
\n通过与满足 \xc2\xa7164.314(a) 适用要求的业务伙伴签订书面合同或其他安排,记录本节 (b)(1) 段所要求的令人满意的保证。
\n
您必须将供应商的访问记录到数据库中,并确保他们无法访问 PHI。
\n\n\n(A) 授权和/或监督(可寻址)。对使用电子受保护健康信息或在可能访问该信息的地点工作的员工实施授权和/或监督程序。
\n(C) 登录监控(可寻址)。监控登录尝试和报告差异的程序。
\n(B) 访问授权(可寻址)。实施授予对电子受保护健康信息的访问权限的政策和程序,例如通过对工作站、交易、程序、流程或其他机制的访问。
\n(a)(1) 标准:访问控制。对维护电子受保护健康信息的电子信息系统实施技术政策和程序,以仅允许那些已被授予 \xc2\xa7164.308(a)(4) 中指定的访问权限的人员或软件程序进行访问。
\n(b) 标准:审计控制。实施硬件、软件和/或程序机制,记录和检查包含或使用受保护的电子健康信息的信息系统中的活动。
\n
如果他们访问 PHI,您将必须记录该事件并报告。
\n有关 HIPAA IT 政策的更多信息,请参阅http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/adminsimpregtext.pdf第 38 页。
\nHIPPA 的问题在于,大多数要求都很模糊,它要求您采取“合理”的步骤来防止 PHI 信息泄露(它将这些项目标记为可寻址)。我自己也经历过几次 HIPAA 审核。
\n