Ich verwende Ruby on Rails 4.2 mit mySql für meine HIPAA-Compliance-Anwendung und ich muss die technischen Datenbankanforderungen für diese Anwendung kennen.Welche Datenbankanforderungen gelten für die HIPAA-Konformität?
müssen wir wirklich alle Datenbankwerte wie Patientenname usw. verschlüsseln?
Ja Sie müssen alle Details (Name, E-Mail, Telefon, Adresse) im Zusammenhang mit Patienten und Ärzten verschlüsseln, wenn Ihre Rails-Anwendung HIPAA-konform sein soll.
Hier unten 2 Ruby Edelsteine sind sehr hilfreich für Sie.
attr_encrypted: https://github.com/shuber/attr_encrypted
paper_trail: https://github.com/airblade/paper_trail
HIPAA ist ein ungewöhnliches Gesetz, dass es eine Menge Empfehlungen macht (adressierbare Elemente) und ein paar Behauptungen (erforderlich Artikel), aber am Ende ist es bis hin zu jeder Organisation, um selbst zu bestimmen, was sie tun müssen, um die Anforderungen zu erfüllen. Dies schafft ein hohes Maß an Flexibilität und auch eine große Unsicherheit. Im Allgemeinen wird HIPAA-konforme, eine Website auf einem Minimum muss sicherstellen, dass alle geschützten Gesundheitsinformationen (ePHI) unter:
Transport-Verschlüsselung: Wird immer verschlüsselt, wie sie über das Internet übertragen wird
Backup: Ist nie verloren, dhgesichert und
Authorization wiederhergestellt werden sollte: ist nur durch autorisiertes Personal unter Verwendung der einzigartigen, geprüften Zugriffskontrollen
Integrität: nicht manipuliert oder verändert
Speicherverschlüsselung: Sollte beim Speichern oder Archivieren verschlüsselt werden
Entsorgung: Kann sein dauerhaft entsorgt, wenn nicht mehr benötigt
Omnibus/HITECH: auf den Web-Server eines Unternehmens befindet sich mit dem Sie eine HIPAA Business Associate Agreement (oder es wird je die in Haus und die Server ordnungsgemäß gesichert gehostet HIPAA-Sicherheitsregelanforderungen).
Die HIPAA-Anforderungen sind nicht annähernd stark genug. Kurz gesagt, Sie müssen medizinische Aufzeichnungen im Ruhezustand verschlüsseln und Sie können kein gebrochenes Primitiv verwenden, was offensichtlich ist. Wer Ihr System auditiert, möchte wahrscheinlich AES sehen. Dies ist trivial zu unterstützen, und eine Amazon RDS MySQL-Instanz unterstützt dies bereits standardmäßig mit den Funktionen aes_encrypt() und aes_decrypt().
Wo HIPAA und PCI-DSS zu kurz kommen, ist, dass sie nicht angeben, welche Betriebsart verwendet werden sollte. Tatsächlich verwendet aes_encrypt() von MySQL den ECB-Modus, was entsetzlich ist. Darüber hinaus gibt es Probleme beim Erzwingen der Sicherheit, wenn die Verschlüsselung auf dieser Ebene verwendet wird. aes_encrypt() lässt sich leicht brechen, indem mysql so konfiguriert wird, dass alle Abfragen protokolliert werden. Der AES-Schlüssel muss in Ihre Anwendung eingebettet sein, damit der Angreifer bei einer Kompromittierung den Wert aus einer Konfigurationsdatei lesen und auf die Datensätze zugreifen kann. Dies sind zwei Fehlerquellen, die vermieden werden können, indem Sie die Daten in Ihrer Anwendung verschlüsseln und dann verschlüsselten Text an die Datenbank senden. Aber HIPAA kümmert sich nicht um dieses Problem. Die anderen HIPAA-Anforderungen, z. B. die Anforderung einer CISSP zur Analyse Ihrer Anwendung, sind wichtiger.
Ich fordere Sie auf, ein sicheres System zu implementieren, aber HIPAA war nicht gut genug, um sich darum zu kümmern.