HIPAA-совместимое приложение PHP/MySQL

Question

HIPAA-совместимое приложение PHP/MySQL

Я работаю над приложением PHP/MySQL, которое должно быть HIPAA-совместимым. Из того, что я прочитал, любые личные данные, которые могут идентифицировать кого-либо или какую-либо медицинскую информацию, должны быть 256-битным зашифрованным как в покое, так и в пути. Я пытаюсь выяснить, каков наиболее эффективный подход к этому.

Я использую Amazon Web Services и подумал об использовании SSL-шифрования как для HTTP, так и для запросов к базе данных для защиты данных в пути. Что касается данных в состоянии покоя, я подумал о компиляции собственного сервера MySQL с AES 256, чтобы использовать AES_ENCRYPT и AES_DECRYPT - но нужно ли мне тогда хранить IV для каждого поля, которое я шифрую? В противном случае выполнение шифрования / дешифрования в самом приложении заняло бы слишком много времени, и запросы к базе данных были бы адом.

Какие-нибудь мысли?

1

php mysql amazon-web-services encryption hipaa

Источник

user2096821 21 фев '13 в 19:31

1 ответ

Другие вопросы по тегам php mysql amazon-web-services encryption hipaa

user429071 13 сен '16 в 04:13 2016-09-13 04:13 · Answer 1 · 2016-09-13 04:13

HIPAA на самом деле не требует, чтобы ваш ePHI был зашифрован "в состоянии покоя" при хранении в вашей базе данных MySQL, если он изолирован, так что посторонние люди не смогут получить к нему доступ.

Тем не менее, как правило, всегда лучше зашифровать данные в покое, если это возможно, так как это предотвращает нарушение в случае компрометации данных.

Подробно о соответствии HIPAA для mySQL и возможностях шифрования читайте здесь (я не имею отношения к этому сайту):

https://luxsci.com/blog/encryption-and-auditing-for-mysql-databases-under-hipaa.html