メンバーシッププロバイダーとHIPAAコンプライアンス
https://stackoverflow.com/questions/1208041
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
ASP.NET 2.0+で提供されているSQLおよびActive DirectoryメンバーシッププロバイダーがHIPAAに準拠しているかどうかは誰にもわかりませんか?
明確化:
HIPAAは、患者情報の保護を義務付けており、その情報へのアクセスを保護するために特定のポリシーが導入されていることを理解しています。この情報にアクセスするユーザーの認証を処理するために、MicrosoftのSQLおよびADメンバーシッププロバイダーを使用できますか?パスワードの長さや複雑さなど、確立する必要のあるポリシーがいくつかあると予想していますが、承認の目的でポリシーを無効にする情報を保存する方法について継承するものはありますか?注意すべき点や注意すべき点はありますか?
解決
それはあなたが何をしたいかによって異なりますが、要するにそうです。 HIPAAは、データを保護するための標準です。セキュリティを提供する方法がある限り、標準は特に厳しいものではありません。そのように、それはISO 9001によく似ています。セキュリティポリシーを定義して固守する限り、問題ありません。上記のプロバイダーは、事実上ツールです。
とはいえ、アプリケーションから明確にアクセスできることを保証するために、データに対していくつかの追加処理を行う必要があるかもしれません。ある程度の事前暗号化がおそらく適切です。おそらく重い暗号化である必要はないことを理解してください。あなたがそれのアプリケーションに一貫している限り、非常に軽いでしょう。
他のヒント
そうであることを願っています;)現在、私は勤務している健康保険会社でADAM LDAPとともに2.0メンバーシッププロバイダーを使用しています。ここではHIPAAとPHIがゲームの名前であり、このセットアップは法務部を通過しました。
箱から出してすぐにHIPAAに準拠しない と思います。
確認する方法は、default.aspxとログインページだけで新しいWebアプリケーションを作成することです。次に、「ASP.NET構成」をクリックします。ソリューションエクスプローラーツールバーのツールを使用して、構成アプリケーションを起動します(サイトがホストされている場合は、IISからも実行できます)。すべての機能に AspNetSqlProvider を使用することを選択して、デフォルトを設定します。
これにより、App_DataフォルダーにASPNETDB.MDFが作成されます。それを右クリックして、「開く」を選択します。これにより、サーバーエクスプローラーで開き、作成されたすべてのテーブルを確認できます。
パスワードは、プレーンテキストではなく、 aspnet_Membership テーブルにハッシュされて保存されます。それは良いことです。ただし、メールアドレスも平文で保存されます。 4年前のHIPAAトレーニングを覚えている場合、それはPIIであり、少なくとも特別なものとしてふりをする必要があります。現状では、データベースにアクセスできる人はだれでもメンバーのメールアドレスを見つけることができます。
更新に基づいて編集:
認証と承認のためにそれらを使用することだけを話しているなら、あなたは大丈夫だと思います。メールアドレスを無視する必要があります。
