Поставщики членства и соблюдение требований HIPAA
https://stackoverflow.com/questions/1208041
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Кто-нибудь знает, соответствуют ли предоставленные поставщики членства в SQL и Active Directory в ASP.NET 2.0+ HIPAA?
Разъяснение:
Я понимаю, что HIPAA предписывает обеспечивать безопасность информации о пациентах и что для обеспечения доступа к этой информации должны быть приняты определенные политики.Могут ли поставщики членства Microsoft SQL и AD использоваться для обработки аутентификации пользователей, получающих доступ к этой информации?Я ожидаю, что должны быть установлены некоторые политики, такие как длина и сложность пароля, но есть ли что-нибудь унаследованное в том, как они хранят информацию, которая сделала бы их недействительными для целей авторизации?Есть какие-нибудь подводные камни или вещи, на которые следует обратить внимание?
Решение
Это зависит от того, что вы хотите с ними сделать, но вкратце, да.HIPAA - это все о стандартах защиты ваших данных;стандарты не являются особенно жесткими до тех пор, пока у вас есть способ обеспечить безопасность.В этом смысле это очень похоже на ISO 9001;пока вы определяете политику безопасности и придерживаетесь ее, у вас все в порядке.Упомянутые поставщики эффективно являются инструментами.
Тем не менее, вам, возможно, потребуется выполнить некоторые дополнительные действия с вашими данными, чтобы гарантировать, что они доступны только из вашего приложения;вероятно, был бы уместен некоторый уровень предварительного шифрования.Просто поймите, что это, вероятно, не обязательно должно быть ТЯЖЕЛОЕ шифрование;подойдет очень легкий, при условии, что вы будете последовательны в его применении.
Другие советы
Я очень надеюсь, что это так;) В настоящее время мы используем поставщика членства 2.0 с ADAM LDAP в медицинской страховой компании, в которой я работаю.HIPAA и PHI - это название игры здесь, и эта настройка прошла через наш юридический отдел.
Я бы сказал, что из коробки, это не Соответствует требованиям HIPAA.
Способ выяснить это - создать новое веб-приложение, используя только файл default.aspx и, возможно, страницу входа в систему.Затем нажмите кнопку "инструмент конфигурации ASP.NET" на панели инструментов обозревателя решений, чтобы запустить приложение Настройки (вы также можете сделать это с IIS, если ваш сайт размещен здесь).Настройте значения по умолчанию, выбрав использование AspNetSqlProvider для всех функций.
Это создаст ASPNETDB.MDF в вашей папке App_Data.Щелкните по нему правой кнопкой мыши и выберите "Открыть".Это откроет его в Проводнике сервера, где вы сможете просмотреть все созданные таблицы.
Вы обнаружите, что пароль хранится в хэше в aspnet_Membership таблица, а не в виде обычного текста.Это хорошая вещь.Однако адрес электронной почты также сохраняется в открытом виде.Если я помню свое обучение HIPAA четырехлетней давности, это PII, и должно, по крайней мере притворяйся быть особенным.Как бы то ни было, любой, у кого есть доступ к базе данных, может найти адрес электронной почты любого участника.
Редактировать на основе обновления:
Если вы говорите только об использовании их для аутентификации и авторизации, я бы сказал, что вы в порядке.Вам нужно будет проигнорировать адрес электронной почты.
