1. Zuhause
  2. Frage und Antwort
  3. Mitgliedschaftsanbieter und HIPAA-Konformität

Mitgliedschaftsanbieter und HIPAA-Konformität

2009-07-30 8 views
11

Weiß jemand, ob die bereitgestellten SQL- und Active Directory-Mitgliedschaftsanbieter in ASP.NET 2.0+ HIPAA-kompatibel sind?Mitgliedschaftsanbieter und HIPAA-Konformität

Klarstellung:

Ich verstehe, dass HIPAA Mandate Patienteninformationen und dass bestimmte Maßnahmen in Kraft gesetzt werden, gesichert werden, um Zugang zu diesen Informationen zu sichern. Können die Microsoft SQL- und AD-Mitgliedschaftsanbieter für die Authentifizierung von Benutzern verwendet werden, die auf diese Informationen zugreifen? Ich erwarte, dass es einige Richtlinien gibt, die eingerichtet werden müssen, wie die Passwortlänge und -komplexität, aber gibt es etwas, das davon abhängt, wie sie Informationen speichern, die sie für Autorisierungszwecke ungültig machen würden? Irgendwelche Fallstricke oder Dinge, auf die man achten sollte?

Quelle

2009-07-30 MyItchyChin

Antwort

2

Es hängt davon ab, was Sie mit ihnen machen wollen, aber kurz gesagt, ja. Bei HIPAA geht es um Standards zur Sicherung Ihrer Daten. Die Standards sind nicht besonders streng, solange Sie einen Weg zur Sicherheit haben. Auf diese Weise ist es viel wie ISO 9001; Solange Sie eine Sicherheitsrichtlinie definieren und dabei bleiben, sind Sie in Ordnung. Die genannten Anbieter sind effektiv Werkzeuge.

Das heißt, Sie müssen möglicherweise einige zusätzliche Dinge mit Ihren Daten tun, um sicherzustellen, dass es nur klar aus Ihrer Anwendung zugänglich ist; ein gewisses Maß an Vorverschlüsselung wäre wahrscheinlich angemessen. Versteh einfach, dass es wahrscheinlich keine HEAVY-Verschlüsselung sein muss; sehr leicht würde es tun, solange du mit der Anwendung übereinstimmst.

Quelle

2009-07-30 17:26:39

+0

HIPAA * ist * mehr darüber, wie Sie Ihre Daten sichern/schützen und was Sie dafür verwenden. Solange die Daten geschützt sind und nur für diejenigen zugänglich sind, die darauf zugreifen dürfen, ist alles in Ordnung. – Brettski

0

Ich würde sagen, dass es aus der Box ist, ist es nicht HIPAA-konform.

Der Weg, um herauszufinden, wäre eine neue Web-Anwendung zu erstellen, mit nur einer default.aspx und vielleicht eine Login-Seite. Klicken Sie anschließend in der Symbolleiste des Projektmappen-Explorers auf das Tool "ASP.NET-Konfiguration", um die Konfigurationsanwendung zu starten (Sie können dies auch von IIS aus tun, wenn Ihre Site dort gehostet wird). Richten Sie die Standardeinstellungen ein und wählen Sie für alle Funktionen die Option AspNetSqlProvider.

Dies wird eine ASPNETDB.MDF in Ihrem App_Data-Ordner erstellen. Klicken Sie mit der rechten Maustaste darauf und wählen Sie "Öffnen". Dies öffnet es im Server-Explorer, wo Sie alle erstellten Tabellen betrachten können.

Sie werden feststellen, dass das Passwort in der Tabelle aspnet_Membership Hash statt in Klartext gespeichert ist. Das ist gut. Die E-Mail-Adresse wird jedoch auch im Klartext gespeichert. Wenn ich mich an mein HIPAA-Training von vor vier Jahren erinnere, dann ist das PII, und sollte mindestens so tun, als ob es etwas Besonderes wäre,. So kann jeder mit Zugriff auf die Datenbank die E-Mail-Adresse eines beliebigen Mitglieds finden.

bearbeiten basierend auf Update:

Wenn Sie sie über die Verwendung für die Authentifizierung und Autorisierung nur sprechen, würde ich sagen, du bist ok. Sie müssen die E-Mail-Adresse ignorieren.

Quelle

2009-07-30 17:40:46

+0

Sie können einen benutzerdefinierten Anbieter verwenden, um das Problem mit der E-Mail-Adresse zu umgehen. – rboarman

1

Ich hoffe, es ist;) Wir verwenden derzeit den 2.0 Membership Provider mit einem ADAM LDAP bei der Krankenkasse, für die ich arbeite. HIPAA und PHI sind der Name des Spiels hier und dieser Aufbau ging durch unsere Rechtsabteilung.

Quelle

2009-07-30 20:11:22 vonfeldj

 Verwandte Themen

  • Keine verwandten Themen^_^