在尝试使用ASP.NET MVC设计S3应用程序并尝试保持HIPAA兼容时,我遇到了一些问题.

我最初的计划是要求与我的网络服务器建立SSL连接,加密我服务器上的图像,然后使用我的私钥将它们发送到s3.

这是我明显的担忧:

1. 当客户端在浏览器中查看图像时,您无法将未加密的图像存储在任何临时文件缓存中.
2. 即使我设置了一个ashx来一般处理内存中的图像,这不能存储在缓存中吗？

说图像将被加密,因为您将通过https连接到我的服务器仍然不保证所有浏览器都不会缓存数据.

甚至不能考虑具有到期选项的"查询字符串",因为数据在被存储在s3的磁盘上之前将被加密,并且将再次在我的服务器内存中解密.

我认为我唯一的选择是编写/购买某种ActiveX组件,它不会将图像作为简单的html图像源公开,或者将我的应用程序编写为客户端WinForm应用程序.

是否可以在符合HIPAA标准的Heroku上运行应用程序？更具体地说,我需要两个应用程序,一个用于存储成员信息,另一个用于存储成员的私人健康信息.我打算使用非对称和对称密钥加密非对称加密敏感数据,以便将成员链接到其他应用程序上的敏感数据,并对成员应用程序中的特定字段进行对称,例如姓名,电子邮件地址和电话.我主要担心Heroku的任何人都可以打破非对称加密,因为他们可以访问这两个应用程序(和私钥).我是否正确地关注这一点,或者Amazon EC2的基础设施是否阻止Heroku员工访问这两个应用程序？

有谁知道ASP.NET 2.0+中提供的SQL和Active Directory成员资格提供程序是否符合HIPAA标准？

澄清:

据我所知,HIPAA要求保护患者信息,并制定某些政策以确保对该信息的访问.Microsoft的SQL和AD成员资格提供程序是否可用于处理访问此信息的用户的身份验证？我希望有一些政策需要建立,比如密码长度和复杂性,但是有没有任何关于它们存储信息的方式的继承,这些信息会使授权无效？是否有任何需要注意的问题或事情？

背景资料:

我是运行Web应用程序的开发人员团队的一员,该应用程序存储和检索HIPAA(医疗)数据.最近,更新了HIPAA指南以包括一项策略,该策略要求所有识别客户信息在"静止"(存储在数据库中且未被访问)时加密.

最初的问题

我们必须解决的第一个问题是确定以双向加密数据的最佳方式,以便在发生破坏时使数据安全.

最初的解决方案

我们提出的最快的解决方案是在将数据插入数据库之前使用mcrypt加密数据.

新问题

我们正在开发的应用程序已经很老了(就像Web应用程序一样)并且使用了大量的过程编程以及严重依赖mysql_query函数来插入,更新,检索和删除数据.我们没有时间或奢侈地将我们的代码翻译成数据库抽象层.因此,实现此加密/解密系统的唯一方法是手动编辑所有CRUD查询以使用通过mcrypt加密的数据.这是非常低效且极易出错的.

我们提出的解决方案

我们认为解决问题的最快最有效的方法是用我们自己设计的方法覆盖本机mysql_query函数.在我们的新函数中,我们将在将查询发送到服务器/返回结果集之前加密/解密数据值.

你在哪里进来

1. 这是解决我们最初问题的最佳解决方案吗？
2. 你如何覆盖现有的核心PHP函数？

不确定这个问题是否适合这个主题。

有很多文件表明 Google 将为他们的服务签署 BAA，但很难找到实际签署它的地方。经过几次搜索，我找到了如何为 AWS 签署 BAA。我更喜欢使用 GCP，因为它是我熟悉的平台，但如果我无法与 Google 签署 BAA，我可能需要切换到 AWS。

好的,我想成为一家品牌公司,我们只是在收集制药数据的表面.我对HIPAA com pliancy有点了解,但我猜我模糊的地方是......

一个).当通过表单收集数据时,我是否需要取消识别数据...即将它存储在不同的表中等.B).谁/什么有权访问未加密的任何数据存储的功能/程序.C).数据库可以是MySQL数据库吗？d).我是否需要认证/批准/许可才能执行此操作？

基本上我需要做什么,除了加密数据并将其存储在兼容HIPAA的服务器上.我想通过表单捕获客户数据.谢谢!

当前景应用程序变为后台时(例如,按下主页按钮),如何在iOS拍摄快照之前更改最顶层视图控制器上的元素并启动动画以显示下一个屏幕？

我问,因为我正在编写一个需要HIPAA合规性的应用程序,我担心操作系统为了制作这个动画而拍摄的快照有时会包含敏感数据,这些数据即使在应用程序获得预防后一瞬间也不应该是可见的.

我知道视图控制器有生命周期方法,例如viewWillDisappear可能可用,但我有很多控制器,我宁愿在我的App Delegate中有一些东西来处理这个(例如通过添加一个不透明的全屏UIImageView覆盖层)而不是必须在每个最后一个控制器中为此编写自定义代码.

我尝试将叠加生成代码放入其中applicationWillResignActive,并且我一直在使用Apple的文档和Google,但它不起作用.我怀疑截图是在应用有机会更新屏幕之前拍摄的.

谢谢!

YC最近有一家名为Truevault.com的创业公司,它允许您通过API将JSON文档存储在他们的数据库中,并且符合HIPAA标准.

我正在开发一个医疗保健应用程序,我想知道在HIPAA合规方面哪个是更好的策略:

1)Heroku + Truevault - 最初更容易部署,但Heroku不会签署业务伙伴协议,因此即使我不将PHI存储在heroku服务器上或暂时存储在那里,也不确定这是否真的是HIPAA复杂的.

2)在Amazon EC2上运行所有内容 - 亚马逊将签署BAA,所以这里没有问题,但必须自己进行服务器维护(而不是)

3)Heroku + Amazon S3数据库 - 在Heroku上运行服务器,但将所有内容存储在S3,Amazon上以签署BAA

谁拥有最符合要求但又实用的经验？提前致谢.

我正在使用Ruby on Rails 4.2和mySql作为我的HIPAA Compliance应用程序,我需要知道该应用程序的技术数据库要求.

我们真的需要加密所有数据库值,如患者姓名等？

是IBM Bluemix符合HIPAA的平台？

如果是,请向我提供指向该官方文件的链接.

如果不是,预计什么时候？