标签: hipaa

我正在处理受电子保护的健康信息（ePHI 或 PHI），并且 HIPAA 法规要求只有授权用户才能访问 ePHI。列级加密可能对某些数据有价值，但我需要能够对某些 PHI 字段（如名称）进行类似搜索。

透明数据加密 (TDE) 是 SQL Server 2008 的一项功能，用于加密数据库和日志文件。据我了解，这会阻止访问 MDF、LDF 或备份文件的人对这些文件进行任何操作，因为它们是加密的。TDE 仅适用于 SQL Server 的企业和开发人员版本，并且对于我的特定场景，企业成本过高。如何在 SQL Server Standard 上获得类似的保护？有没有办法加密数据库和备份文件（是否有第三方工具）？或者同样好，如果磁盘连接到另一台机器（linux 或 windows），有没有办法防止文件被使用？

管理员可以从同一台机器访问文件，但我只想防止磁盘被移除并连接到另一台机器时出现任何问题。对此有哪些解决方案？

我正在考虑在 Azure VM 上托管符合 HIPAA 标准的 Web 应用程序。对于数据库，现在我倾向于使用带有 SQL 2014 标准版的 VM。

由于标准版不提供 TDE，我将只使用 BitLocker 来加密整个驱动器。但是，根据我所读到的内容，如果不使用某种第三方服务（如CloudLink），就不可能对 Azure VM 上的操作系统驱动器进行加密。

然而，来自 MSDN 的这篇文章暗示可以使用 BitLocker 来加密数据驱动器。因此，我想我的问题有两个方面：

1) 是否可以在 Azure VM 上使用 BitLocker 加密数据驱动器？

2) 如果我使用 SQL Standard 获得 Azure VM，是否需要加密操作系统驱动器以保持 HIPAA 合规性？

在一个小办公室，我客户的人力资源部门需要与一些供应商就 HIPAA 涵盖的材料进行沟通。大多数公司如何安全地发送有关 HIPAA 的电子邮件。我更愿意自己加密电子邮件，而不是要求供应商登录安全的消息传递服务器，但我不知道这是否很普遍

关于 HIPAA 合规性，我一直在从 Godaddy 那里跑来跑去。

有没有人对这个问题有研究过的答案？我们有专用的 5505 和专用服务器，我想知道是否可以使此设置符合 HIPAA/HITECH。

我有点犹豫，因为当我问他们业务伙伴与他们的协议是什么时，他们回答说：“那是什么？”

我刚刚开始使用 Google Kubernetes Engine (GKE)，我很喜欢它。

我花了一些时间让内部负载均衡器正常工作，这样我的应用程序就有了 10.128.0.0/16 IP。

现在我想知道，我可以从集群中删除外部 IP 吗？

我发现 Google 需要集群上的外部 IP，并且无法将其删除。有人对这个有经验么？

我正在处理健康数据，并且犹豫是否将生产应用程序部署到具有外部 IP 的集群中。我认为我的项目上的防火墙提供了足够的保护，但如果我打算将个人健康数据放入其中，我只是觉得系统具有外部 IP 是错误的。如果您不知道“我可以从集群中删除外部 IP 吗？”的答案。问题，我很想得到一些评论。我在 Google 的 HIPAA 合规性文档中看到GKE 是涵盖产品。

在内部电子邮件服务器和外部收件人之间的通信期间使用 STARTTLS 是否足以满足 HIPAA 准则？如果是这样，是否需要强制使用 TLS？

我目前正在与医疗保健行业的一位客户合作。部分工作将涉及接触敏感的患者健康信息 (PHI)。客户使用 AWS 并将其敏感数据保存在虚拟私有云中。

我需要连接到 VPN 服务器才能访问他们的 AWS 服务。他们使用 OpenVPN 客户端。

但是他们配置了 VPN，因此当我连接到它时，我所有的互联网流量都通过 VPN 服务器进行隧道传输，而不仅仅是绑定到他们网络资源的流量。这使我的互联网连接速度降低到大约 1.5 Mbps，这并不理想。

我向他们提出了这个问题，他们说“安全规则阻止任何人从除 VPN 端点之外的任何 IP 地址获取有关我们实例的任何信息。”。但除非我遗漏了什么，否则这并不能真正回答我的问题。

他们以这种方式设置 VPN 是否有任何真正的安全优势？