Membership Provider und HIPAA
https://stackoverflow.com/questions/1208041
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wer weiß, ob die bereitgestellte SQL und Active Directory-Mitgliedschaftsanbieter in ASP.NET 2.0 + konform HIPAA ist?
Zur Verdeutlichung:
Ich verstehe, dass HIPAA Mandate Patienteninformationen und dass bestimmte Maßnahmen in Kraft gesetzt werden, gesichert werden, um Zugang zu diesen Informationen zu sichern. Kann Microsoft SQL und AD Membership Provider für den Umgang mit der Authentifizierung von Benutzern auf diese Informationen zugreifen verwendet werden? Ich erwarte, dass es einige Richtlinien sein, wie Kennwortlänge und -komplexität etabliert werden müssen, aber gibt es etwas über die Art und Weise erben sie Informationen speichern, die sie für die Zwecke der Zulassung ungültig machen würde? Fallstricke oder Dinge zu achten?
Lösung
Es hängt davon ab, was Sie mit ihnen tun wollen, aber kurz gesagt, ja. HIPAA dreht sich alles um Standards für Ihre Daten zu sichern; die Standards sind nicht besonders hart, so lange, wie Sie für die Sicherheit einen Weg an seinem Platz zu bieten haben. Auf diese Weise ist es viel wie ISO 9001; so lange, wie Sie eine Sicherheitsrichtlinie und bleiben Sie dabei definieren, sie ist in Ordnung. Die genannten Anbieter sind effektiv Werkzeuge.
Wie gesagt, können Sie einige zusätzliche Dinge mit Ihren Daten tun müssen, um sicherzustellen, dass es aus Ihrer Anwendung nur deutlich zugänglich ist; ein gewisses Maß an Pre-Verschlüsselung wäre wohl angemessen sein. verstehen, dass es wahrscheinlich nicht braucht HEAVY Verschlüsselung zu sein; sehr leicht tun würde, so lange, wie Sie mit der Anwendung es im Einklang sind.
Andere Tipps
Ich hoffe, dass es ist;) Wir verwenden derzeit den 2.0-Mitgliedschaftsanbieter mit einem ADAM LDAP bei der Krankenkasse, die ich für die Arbeit. HIPAA und PHI ist der Name des Spiels hier und dieser Satz nach oben durch unsere Rechtsabteilung geht.
Ich würde sagen, dass aus dem Kasten heraus, es ist nicht HIPAA-konform.
Der Weg wäre, um herauszufinden, eine neue Web-Anwendung zu erstellen, mit nur einer default.aspx und vielleicht einer Login-Seite. Klicken Sie dann auf „ASP.NET-Konfiguration“ Werkzeug in der Werkzeugleiste Mappen-Explorer die Konfigurationsanwendung zu starten (Sie können dies auch von IIS tun, wenn Ihre Website dort gehostet wird). Legen Sie die Standardwerte auf, die Wahl der AspNetSqlProvider für alle Funktionen nutzen zu können.
Dies wird eine ASPNETDB.MDF in Ihrem Ordner App_Data erstellen. Die rechte Maustaste und wählen Sie „Öffnen“. Dies öffnet es in Server-Explorer, in dem Sie bei allen Tabellen aussehen können, die erstellt wurden.
Sie werden feststellen, dass das Passwort in der Tabelle aspnet_Membership gehasht gespeichert ist, statt als Klartext. Das ist gut. Allerdings ist die E-Mail-Adresse auch im Klartext gespeichert. Wenn ich von vor vier Jahren meine HIPAA Ausbildung erinnere, ist, dass PII und sollte zumindest vorgibt zu sein, etwas Besonderes. Wie es ist, jeder, der Zugriff auf die Datenbank die E-Mail-Adresse eines Mitglieds finden konnte.
Bearbeiten basierend auf Update:
Wenn Sie nur reden sie für die Authentifizierung und Autorisierung verwenden, würde ich sagen, du bist ok. Sie müssen die E-Mail-Adresse ignorieren.
