Proveedores de Membresía y Cumplimiento de HIPAA
https://stackoverflow.com/questions/1208041
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Alguien sabe si los proveedores de membresía de SQL y Active Directory proporcionados en ASP.NET 2.0+ cumplen con HIPAA?
Aclaración:
Entiendo que HIPAA exige que se asegure la información del paciente y que se establezcan ciertas políticas para asegurar el acceso a esa información. ¿Se pueden usar los proveedores de membresía SQL y AD de Microsoft para manejar la autenticación de los usuarios que acceden a esta información? Espero que haya algunas políticas que deban establecerse, como la longitud y la complejidad de la contraseña, pero ¿hay algo heredado sobre la forma en que almacenan la información que las invalidaría a los fines de la autorización? ¿Alguna trampa o cosas a tener en cuenta?
Solución
Depende de lo que quieras hacer con ellos, pero en resumen, sí. HIPAA tiene que ver con los estándares para asegurar sus datos; los estándares no son particularmente duros, siempre que tenga una manera de brindar seguridad. De esa manera, se parece mucho a ISO 9001; siempre y cuando defina una política de seguridad y la cumpla, estará bien. Los proveedores mencionados son efectivamente herramientas.
Dicho esto, es posible que deba hacer algunas cosas adicionales con sus datos para asegurarse de que solo sea claramente accesible desde su aplicación; algún nivel de encriptación previa probablemente sería apropiado Solo comprenda que probablemente no necesita ser cifrado PESADO; muy ligero, siempre y cuando sea coherente con la aplicación de la misma.
Otros consejos
Espero que lo sea;) Actualmente utilizamos el proveedor de membresía 2.0 con un LDAP ADAM en la compañía de seguros de salud para la que trabajo. HIPAA y PHI son el nombre del juego aquí y esta configuración pasó por nuestro departamento legal.
Diría que fuera de la caja, es no compatible con HIPAA.
La forma de averiguarlo sería crear una nueva aplicación web, con solo un default.aspx y tal vez una página de inicio de sesión. Luego haga clic en "Configuración ASP.NET" herramienta en la barra de herramientas del Explorador de soluciones para iniciar la aplicación de configuración (también puede hacerlo desde IIS si su sitio está alojado allí). Configure los valores predeterminados, eligiendo usar el AspNetSqlProvider para todas las funciones.
Esto creará un ASPNETDB.MDF en su carpeta App_Data. Haga clic con el botón derecho y elija "Abrir". Esto lo abrirá en Server Explorer, donde puede ver todas las tablas que se crearon.
Encontrará que la contraseña se almacena en hash en la tabla aspnet_Membership , en lugar de como texto sin formato. Eso es bueno. Sin embargo, la dirección de correo electrónico también se almacena en claro. Si recuerdo mi entrenamiento de HIPAA de hace cuatro años, eso es PII, y al menos debería fingir ser especial. Tal como está, cualquier persona con acceso a la base de datos podría encontrar la dirección de correo electrónico de cualquier miembro.
Editar según la actualización:
Si solo está hablando de usarlos para autenticación y autorización, diría que está bien. Deberá ignorar la dirección de correo electrónico.
