Hipaa-совместимый сервер

Проблема с HIPAA заключается в том, что он относительно субъективен и по-разному интерпретируется индивидуумами в соответствии с их целями - см. Здесь краткое руководство по HIPAA.

Общий подход, который вы должны использовать, заключается в том, чтобы максимально повысить безопасность PHI вашего пользователя (защищенная медицинская информация). Как правило, HIPAA рекомендует / требует, чтобы вы шифровали данные PHI в состоянии покоя и в пути, предусмотренные 164.312 Акта HIPAA Omnibus.

Таким образом, вы можете истолковать это решение для:

• Шифрование в состоянии покоя: путем шифрования диска / блока, на котором хранятся данные. или шифрование данных перед их сохранением на диске. Последнее, очевидно, будет очень дорогим процессором. Любой процесс шифрования / дешифрования будет более ресурсоемким, поэтому в любом случае следует ожидать снижения производительности. Мы преодолели это, используя везде твердотельные накопители. Подход, который мы также использовали, заключался в шифровании блока, а не операции чтения и записи в базу данных. Этого более чем достаточно для удовлетворения потребностей HIPAA. Если вы шифруете блок, вам не нужно использовать какие-либо специальные инструменты БД для шифрования и т. Д. Это определенно упростит вашу жизнь.
• При транзитном шифровании: охватывается 164.312(e)(1) Закона. Обычно это относится к любому движению ЗМИ. Поэтому, если вы используете приложение и его приложение, а также ваше и его базу данных, вы должны как минимум зашифровать данные (SSL/https). Поэтому убедитесь, что любые данные через Интернет выполняются через https. Передачи между вашим приложением и БД технически все еще подпадают под требование "в пути". Тем не менее, вы можете легко сделать аргумент, что это в вашем VPC и, следовательно, не требуется. Мы также решили зашифровать это, чтобы упростить процесс аудита.

Надеюсь, все это поможет.

Я уверен, что вы уже знаете это, но это охватывает только небольшой набор вещей, которые нужны HIPAA. С точки зрения документации, обучения и т. Д. В документах, обучении и т. Д. Много говорится о том, как вы соблюдаете правила HIPAA, о том, как вы установили фактические политики в своей организации, и о том, как ваше обучение HIPAA может послужить отправной точкой. Также проверьте Ответственный Штаб, чтобы возможно помочь Вам получить быстрый старт.

Центр AWS HIPAA - хорошее начало: HIPAA в AWS.

Как уже упоминалось на этой странице:

Вы можете использовать любую службу AWS в своих приложениях, совместимых с HIPAA. Однако для обработки, хранения и передачи персонально идентифицируемых данных о пациенте могут использоваться только услуги, отвечающие критериям HIPAA, определенные в нашем BAA.

Прочитайте два часто задаваемых вопроса по AWS HIPAA: часть 1 и часть 2. Вам также необходимо понять модель совместной ответственности.

EC2, EBS - услуги, отвечающие требованиям HIPAA. Однако вам нужно включить шифрование EBS и запустить их на выделенном экземпляре. Ценник для этого не маленький, может быть излишним для одной системы / маленькой системы.

По поводу ваших вопросов:

1. Нужно ли мне делать блочное шифрование базы данных хранилища.

Если вы запускаете базу данных на EC2 + EBS, тогда да; и это всего лишь один клик на AWS.

Если вы используете RDS (управляемый сервис), то это обрабатывается для вас AWS. Примечание: только MySQL и Oracle на момент написания этой статьи являются RDS, отвечающими требованиям HIPAA (сентябрь 2016 года). Однако вы можете запустить MS SQL Server на вашем EC2 и EBS, отвечающем требованиям HIPAA.

2. Нужно ли мне шифровать конфиденциальные данные перед хранением в базе данных.

Не очень нужно. Я бы сказал "Да", только если вам нужно это как дополнительный уровень безопасности, но это не улучшит ваш статус соответствия HIPAA.

3. Лучшее программное обеспечение для баз данных для шифрования

Это зависит от вашей конкретной архитектуры. Если вы используете зашифрованные EBS или RDS, то шифрование для вас уже обработано.

Я бы предложил обратиться в службу поддержки AWS и получить BAA, а затем выполнить расчет совокупной стоимости владения для всего решения, прежде чем двигаться дальше.