Fournisseurs d'adhésion et conformité HIPAA
https://stackoverflow.com/questions/1208041
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Quelqu'un sait-il si les fournisseurs d'adhésion SQL et Active Directory fournis dans ASP.NET 2.0+ sont compatibles HIPAA?
Clarification:
Je comprends que la loi HIPAA exige que les informations des patients soient sécurisées et que certaines politiques soient mises en place pour sécuriser l'accès à ces informations. Les fournisseurs d'adhésion SQL et AD de Microsoft peuvent-ils être utilisés pour gérer l'authentification des utilisateurs accédant à ces informations? Je m'attends à ce qu'il soit nécessaire de définir des règles telles que la longueur et la complexité des mots de passe, mais existe-t-il un héritage concernant la manière dont ils stockent les informations qui les invalideraient aux fins de l'autorisation? Des pièges ou des choses à surveiller?
La solution
Cela dépend de ce que vous voulez en faire, mais en bref, oui. HIPAA est tout au sujet des normes pour sécuriser vos données; les normes ne sont pas particulièrement sévères, tant que vous avez un moyen en place d'assurer la sécurité. De cette façon, cela ressemble beaucoup à ISO 9001; tant que vous définissez une politique de sécurité et que vous vous y tenez, tout va bien. Les fournisseurs mentionnés sont effectivement des outils.
Cela dit, vous devrez peut-être ajouter des éléments supplémentaires à vos données pour vous assurer qu'elles ne sont clairement accessibles qu'à partir de votre application. un certain niveau de pré-cryptage serait probablement approprié. Comprenez simplement que le cryptage LOURD n’est probablement pas nécessaire; très léger ferait, tant que vous êtes compatible avec l'application de celui-ci.
Autres conseils
J'espère vraiment que c'est le cas;) Nous utilisons actuellement le fournisseur d'adhésion 2.0 avec un ADAP LDAP auprès de la compagnie d'assurance maladie pour laquelle je travaille. HIPAA et PHI sont le nom du jeu ici et cette configuration est passée par notre service juridique.
Je dirais que dès la sortie de la boîte, il n'est pas conforme à HIPAA.
La solution consiste à créer une nouvelle application Web, avec juste un fichier default.aspx et éventuellement une page de connexion. Cliquez ensuite sur le lien "Configuration ASP.NET". dans la barre d’outils de l’explorateur de solutions pour lancer l’application de configuration (vous pouvez également le faire à partir d’IIS si votre site y est hébergé). Configurez les paramètres par défaut, en choisissant d’utiliser le AspNetSqlProvider pour toutes les fonctionnalités.
Ceci créera un ASPNETDB.MDF dans votre dossier App_Data. Cliquez dessus avec le bouton droit de la souris et choisissez "Ouvrir". Cela l'ouvrira dans l'Explorateur de serveurs, où vous pourrez consulter toutes les tables créées.
Vous constaterez que le mot de passe est stocké dans la table aspnet_Membership , au lieu d'un texte brut. C'est une bonne chose. Cependant, l'adresse e-mail est également stockée en clair. Si je me souviens de ma formation HIPAA d’il ya quatre ans, c’est une PII et devrait au moins prétendre être spéciale. Dans l’état actuel, toute personne ayant accès à la base de données pourrait trouver l’adresse électronique de n’importe quel membre.
Modifier en fonction de la mise à jour:
Si vous ne parlez que de les utiliser pour l'authentification et l'autorisation, je dirais que vous allez bien. Vous devrez ignorer l'adresse e-mail.
