Provider di appartenenza e conformità HIPAA

StackOverflow https://stackoverflow.com/questions/1208041

Domanda

Qualcuno sa se i provider di appartenenza SQL e Active Directory forniti in ASP.NET 2.0+ sono conformi a HIPAA?

Chiarimento:

Comprendo che l'HIPAA impone che le informazioni sui pazienti siano protette e che vengano messe in atto determinate politiche per garantire l'accesso a tali informazioni. I provider di appartenenze SQL e AD di Microsoft possono essere utilizzati per gestire l'autenticazione degli utenti che accedono a queste informazioni? Mi aspetto che ci siano alcune politiche che devono essere stabilite come la lunghezza e la complessità della password, ma c'è qualcosa di ereditario nel modo in cui memorizzano le informazioni che le invaliderebbero ai fini dell'autorizzazione? Qualche idea o cosa da cercare?

È stato utile?

Soluzione

Dipende da cosa vuoi fare con loro, ma in breve, sì. HIPAA riguarda gli standard per la protezione dei dati; gli standard non sono particolarmente severi, purché si disponga di un modo per garantire la sicurezza. In questo modo, è molto simile alla ISO 9001; fintanto che definisci una politica di sicurezza e ti attieni, stai bene. I provider citati sono strumenti efficaci.

Detto questo, potresti dover fare alcune cose aggiuntive con i tuoi dati per assicurarti che siano chiaramente accessibili solo dalla tua applicazione; un certo livello di pre-crittografia sarebbe probabilmente appropriato. Basta capire che probabilmente non deve essere una crittografia HEAVY; farebbe molta luce, purché tu sia coerente con l'applicazione di esso.

Altri suggerimenti

Spero proprio di sì;) Attualmente utilizziamo il provider di appartenenza 2.0 con un LDAP ADAM presso la compagnia di assicurazione sanitaria per cui lavoro. HIPAA e PHI sono il nome del gioco qui e questa configurazione è passata attraverso il nostro dipartimento legale.

Direi che è pronto all'uso, non conforme HIPAA.

Il modo per scoprirlo sarebbe creare una nuova applicazione Web, con solo un default.aspx e forse una pagina di accesso. Quindi fai clic su " Configurazione ASP.NET " strumento nella barra degli strumenti Esplora soluzioni per avviare l'applicazione di configurazione (è anche possibile farlo da IIS se il sito è ospitato lì). Imposta i valori predefiniti, scegliendo di usare AspNetSqlProvider per tutte le funzionalità.

Questo creerà un ASPNETDB.MDF nella cartella App_Data. Fai clic destro e scegli " Apri " ;. Questo lo aprirà in Esplora server, dove puoi guardare tutte le tabelle che sono state create.

Scoprirai che la password è archiviata con hash nella tabella aspnet_Membership , anziché come testo normale. È una buona cosa. Tuttavia, anche l'indirizzo e-mail viene archiviato in chiaro. Se ricordo il mio addestramento HIPAA di quattro anni fa, sono PII e dovrei almeno fingere di essere speciale. Allo stato attuale, chiunque abbia accesso al database potrebbe trovare l'indirizzo e-mail di qualsiasi membro.

Modifica in base all'aggiornamento:

Se stai solo parlando di usarli per l'autenticazione e l'autorizzazione, direi che stai bene. Dovrai ignorare l'indirizzo email.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top