Provedores de associação e HIPAA Compliance

StackOverflow https://stackoverflow.com/questions/1208041

Pergunta

Alguém sabe se as aos prestadores do SQL e Active Directory participação em ASP.NET 2.0 + são compatíveis HIPAA?

Esclarecimento:

Eu entendo que as informações do paciente mandatos HIPAA ser assegurada e que certas políticas sejam postas em prática para acesso seguro a essas informações. Pode Provedores de SQL e AD Sócios da Microsoft ser usado para lidar com a autenticação de usuários que acessam esta informação? Eu espero que haja algumas políticas que precisam ser estabelecidas como o comprimento de senha e complexidade, mas há herdar nada sobre a maneira como eles armazenam informações que invalidaria-los para efeitos de autorização? Alguma dicas ou coisas para olhar para fora?

Foi útil?

Solução

Depende do que você quer fazer com eles, mas em suma, sim. HIPAA é tudo sobre normas para proteger os seus dados; as normas não são particularmente duras, contanto que você tem uma maneira no local para fornecer para a segurança. Dessa forma, é muito parecido com ISO 9001; contanto que você definir uma política de segurança e ficar com ela, você está bem. Os provedores mencionados são efetivamente ferramentas.

Dito isso, você pode precisar de fazer algumas coisas adicionais com seus dados para assegurar que é apenas claramente acessível a partir de sua aplicação; algum nível de pré-encriptação provavelmente seria apropriado. Basta compreender que ele provavelmente não precisa ser criptografia HEAVY; muito leve faria, desde que você está coerente com a aplicação do mesmo.

Outras dicas

Espero que ela é;) Atualmente usamos o provedor 2.0 Membership com um LDAP ADAM na empresa de seguro de saúde que eu trabalho. HIPAA e PHI são o nome do jogo aqui e esse conjunto se passou por nosso departamento jurídico.

Eu diria que fora da caixa, é não compatível com HIPAA.

A maneira de descobrir seria a criação de um novo aplicativo Web, com apenas um default.aspx e talvez uma página de login. Em seguida, clique na ferramenta "configuração ASP.NET" na barra de ferramentas Solution Explorer para iniciar o aplicativo de configuração (você também pode fazer isso a partir do IIS se o seu site está hospedado lá). Configure os padrões, optando por usar o AspNetSqlProvider para todos os recursos.

Isto irá criar um ASPNETDB.MDF na pasta App_Data. Botão direito do mouse e escolha "Open". Isto irá abri-lo no Server Explorer, onde você pode olhar para todas as tabelas que foram criadas.

Você verá que a senha é armazenada hash na tabela de aspnet_Membership, em vez de como texto simples. Isso é uma coisa boa. No entanto, o endereço de e-mail também é armazenado em claro. Se eu me lembro da minha formação HIPAA de quatro anos atrás, isso é PII, e deve, pelo menos, fingir para ser especial. Como é, qualquer pessoa com acesso ao banco de dados poderia encontrar o endereço de e-mail de qualquer membro.

Editar com base na atualização:

Se você está falando apenas usá-los para autenticação e autorização, eu diria que você está ok. Você vai precisar para ignorar o endereço de e-mail.

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top