xki*_*pin 19 browser activex amazon-s3 amazon-web-services hipaa
在尝试使用ASP.NET MVC设计S3应用程序并尝试保持HIPAA兼容时,我遇到了一些问题.
我最初的计划是要求与我的网络服务器建立SSL连接,加密我服务器上的图像,然后使用我的私钥将它们发送到s3.
这是我明显的担忧:
说图像将被加密,因为您将通过https连接到我的服务器仍然不保证所有浏览器都不会缓存数据.
甚至不能考虑具有到期选项的"查询字符串",因为数据在被存储在s3的磁盘上之前将被加密,并且将再次在我的服务器内存中解密.
我认为我唯一的选择是编写/购买某种ActiveX组件,它不会将图像作为简单的html图像源公开,或者将我的应用程序编写为客户端WinForm应用程序.
APC*_*APC 17
从表面上看,云计算似乎不太可能符合HIPAA标准.当实例托管在别人的硬件上时,肯定是不可能满足安全规则,这是由其他人的系统管理员提供的?
但是,亚马逊发布了关于这一主题的白皮书:使用AWS创建符合HIPAA标准的医疗数据应用程序.这是值得一读的,似乎解决了主要问题.它以免责声明结束:
"本白皮书并非旨在构成法律意见.建议您咨询律师有关遵守HIPAA以及可能适用于您和您的业务的其他法律的建议."
当然,这同样适用于你从Das Interwebs的一些随机人员那里得到的任何建议.
Rya*_*yan 11
与其他一些答案相反,云计算和云数据存储实际上可以符合HIPAA(请注意,它们是在2010年编写的,当时这是一个更加强硬的电话).
你应该考虑两件主要的事情:
以下是一些将签署BAA的云提供商:
(直到最近,亚马逊并不愿意签署BAA,所以即使他们有关于合规性的白皮书,遵循他们的指导原则并没有削减它 - 但所有这一切都发生了变化).
至于你对在浏览器中提供图像的担忧,我实际上不确定你有多严格,但似乎你可以将你的图像嵌入:
看起来,PracticeFusion开始使用Flex和Flash,并且正在逐步过渡到HTML5.
该HIPAA和信用卡PCI合规性基本上是不可能实现的,还是微不足道的 - 这一切都取决于你雇用告诉你一个"封闭"网络的意义是什么什么顾问 - 是在数学封闭的(这我认为是最高形式),或指收在后面的墙上,而不是连接到外面的世界,但十分容易与外的人行道一些基本的设备窃听?
当你完成咨询顾问,租用了大量计算机设备这一事实,计算机有USB端口及其用户可拍照手机,如何将加密数据存储在任何地方都是一个问题?如果您在S3上存储加密数据,则S3不会存储除随机垃圾位之外的任何内容.你拥有的一些密钥+垃圾=数据,这只发生在你的系统中.
我见过'HIPAA兼容'软件,在没有加密的PC上运行XP.考虑到僵尸网络和击键记录器拥有多少台笔记本电脑,整个过程基本上是一种可否认性的练习.
HIPAA规则明确规定,当数据位于用户计算机上时,不必加密数据:"必须保护容纳PHI的信息系统免受入侵.当信息流过开放网络时,必须使用某种形式的加密.如果封闭系统利用/网络,现有的访问控制被认为是充分的,加密是可选的."
| 归档时间: |
|
| 查看次数: |
6662 次 |
| 最近记录: |