HIPAA 合规性的数据库要求是什么?
What are the database requirements for HIPAA compliance?
我在 Rails 4.2 上使用 Ruby 和 mySql 用于我的 HIPAA 合规应用程序,我需要了解此应用程序的技术数据库要求。
我们真的需要加密所有数据库值,例如患者姓名等吗?
HIPAA 要求还不够严格。简而言之,它声明您必须加密静态医疗记录,并且您不能使用损坏的原语,这是显而易见的。审核您的系统的人可能喜欢看 AES。这很容易支持,并且 Amazon RDS MySQL 实例已经通过 aes_encrypt() 和 aes_decrypt() 函数支持开箱即用。
HIPAA 和 PCI-DSS 的不足之处在于它们没有说明应该使用哪种操作模式。事实上 MySQL 的 aes_encrypt() 使用 ECB 模式,这很可怕。此外,在这一层使用加密时,在执行安全性方面存在问题。 aes_encrypt() 很容易通过配置 mysql 记录所有查询来破解。 AES 密钥必须嵌入到您的应用程序中,因此如果它遭到破坏,攻击者可以从配置文件中读取值并访问记录。这是两个故障点,可以通过在应用程序中加密数据然后将密文传输到数据库来避免。但是 HIPAA 并不关心这个问题。 HIPAA 的其他要求,例如要求 CISSP 来分析您的应用程序更为重要。
我强烈建议您实施一个安全系统,但 HIPAA 的设计不够完善。
是 如果您想要 Rails 您必须加密与患者和医生相关的所有详细信息(姓名、电子邮件、phone、地址)申请成为 HIPAA 合规性。
以下 2 Ruby 个宝石对您很有帮助。
attr_encrypted: https://github.com/shuber/attr_encrypted
paper_trail: https://github.com/airblade/paper_trail
HIPAA 是一项不寻常的法律,因为它提出了很多建议(可寻址的项目)和一些断言(必需的项目),但最终由每个组织自行决定他们需要做什么成为 compliant.This 创造了很大的灵活性,也带来了很大的不确定性。一般来说,要符合 HIPAA,网站必须至少确保以下所有受保护的健康信息 (ePHI):
传输加密: 在通过 Internet 传输时始终加密
备份:永不丢失,即应该备份并且可以恢复
授权:只有经过授权的人员才能使用独特的、经过审核的访问控制进行访问
完整性:未被篡改或更改
存储加密:存储或归档时应加密
处置: 不再需要时可以永久处置
Omnibus/HITECH: 位于与您签订了 HIPAA 业务伙伴协议的公司的 Web 服务器上(或者托管在内部并且这些服务器是根据 HIPAA 安全规则要求妥善保护。
我在 Rails 4.2 上使用 Ruby 和 mySql 用于我的 HIPAA 合规应用程序,我需要了解此应用程序的技术数据库要求。
我们真的需要加密所有数据库值,例如患者姓名等吗?
HIPAA 要求还不够严格。简而言之,它声明您必须加密静态医疗记录,并且您不能使用损坏的原语,这是显而易见的。审核您的系统的人可能喜欢看 AES。这很容易支持,并且 Amazon RDS MySQL 实例已经通过 aes_encrypt() 和 aes_decrypt() 函数支持开箱即用。
HIPAA 和 PCI-DSS 的不足之处在于它们没有说明应该使用哪种操作模式。事实上 MySQL 的 aes_encrypt() 使用 ECB 模式,这很可怕。此外,在这一层使用加密时,在执行安全性方面存在问题。 aes_encrypt() 很容易通过配置 mysql 记录所有查询来破解。 AES 密钥必须嵌入到您的应用程序中,因此如果它遭到破坏,攻击者可以从配置文件中读取值并访问记录。这是两个故障点,可以通过在应用程序中加密数据然后将密文传输到数据库来避免。但是 HIPAA 并不关心这个问题。 HIPAA 的其他要求,例如要求 CISSP 来分析您的应用程序更为重要。
我强烈建议您实施一个安全系统,但 HIPAA 的设计不够完善。
是 如果您想要 Rails 您必须加密与患者和医生相关的所有详细信息(姓名、电子邮件、phone、地址)申请成为 HIPAA 合规性。
以下 2 Ruby 个宝石对您很有帮助。
attr_encrypted: https://github.com/shuber/attr_encrypted
paper_trail: https://github.com/airblade/paper_trail
HIPAA 是一项不寻常的法律,因为它提出了很多建议(可寻址的项目)和一些断言(必需的项目),但最终由每个组织自行决定他们需要做什么成为 compliant.This 创造了很大的灵活性,也带来了很大的不确定性。一般来说,要符合 HIPAA,网站必须至少确保以下所有受保护的健康信息 (ePHI):
传输加密: 在通过 Internet 传输时始终加密
备份:永不丢失,即应该备份并且可以恢复
授权:只有经过授权的人员才能使用独特的、经过审核的访问控制进行访问
完整性:未被篡改或更改
存储加密:存储或归档时应加密
处置: 不再需要时可以永久处置
Omnibus/HITECH: 位于与您签订了 HIPAA 业务伙伴协议的公司的 Web 服务器上(或者托管在内部并且这些服务器是根据 HIPAA 安全规则要求妥善保护。