1. Dom
  2. Pytanie i odpowiedź
  3. Dostawcy członkostwa i zgodność z HIPAA

Dostawcy członkostwa i zgodność z HIPAA

2009-07-30 9 views
11

Czy ktoś wie, czy dostarczeni dostawcy usług SQL i dostawcy usług Active Directory w ASP.NET 2.0+ są zgodni z HIPAA?Dostawcy członkostwa i zgodność z HIPAA

Wyjaśnienie:

Rozumiem, że mandaty HIPAA informacje o pacjencie być zabezpieczone i że pewne zasady można umieścić w miejscu, aby zabezpieczyć dostęp do tych informacji. Czy dostawcy Microsoft SQL i AD Membership Providers mogą być używane do obsługi uwierzytelniania użytkowników uzyskujących dostęp do tych informacji? Spodziewam się, że będą istniały pewne zasady, które należy ustanowić, takie jak długość i złożoność hasła, ale czy coś odziedziczy po tym, jak przechowują informacje, które unieważniałyby je w celu autoryzacji? Jakieś garsony lub rzeczy, na które trzeba uważać?

Źródło

2009-07-30 MyItchyChin

Odpowiedz

2

To zależy od tego, co chcesz z nimi zrobić, ale w skrócie, tak. HIPAA opiera się na standardach zabezpieczania danych; standardy nie są szczególnie surowe, o ile masz sposób na zapewnienie bezpieczeństwa. W ten sposób jest bardzo podobny do ISO 9001; tak długo jak definiujesz politykę bezpieczeństwa i trzymasz się jej, jesteś w porządku. Wspomniani dostawcy są skutecznie narzędziami.

To powiedziawszy, możesz potrzebować wykonać dodatkowe czynności przy swoich danych, aby upewnić się, że są one wyraźnie dostępne z Twojej aplikacji; pewien poziom wstępnego szyfrowania byłby prawdopodobnie odpowiedni. Po prostu zrozum, że prawdopodobnie nie musi być HEAVY encryption; bardzo by to zrobiło, o ile jesteś konsekwentny w stosowaniu tego.

Źródło

2009-07-30 17:26:39

+0

HIPAA * to * więcej informacji o sposobie zabezpieczenia/ochrony danych, a następnie o tym, co robisz. Dopóki dane są chronione i dostępne tylko dla tych, którzy mają do nich dostęp, jesteś w porządku. – Brettski

0

Powiedziałbym, że po wyjęciu z pudełka, jest nie zgodny z HIPAA.

Aby się tego dowiedzieć, należy utworzyć nową aplikację internetową za pomocą strony default.aspx i być może strony logowania. Następnie kliknij narzędzie "Konfiguracja ASP.NET" na pasku narzędziowym Eksploratora rozwiązań, aby uruchomić aplikację konfiguracyjną (możesz to zrobić również z IIS, jeśli twoja witryna jest tam hostowana). Skonfiguruj ustawienia domyślne, wybierając opcję AspNetSqlProvider dla wszystkich funkcji.

Spowoduje to utworzenie ASPNETDB.MDF w folderze App_Data. Kliknij go prawym przyciskiem myszy i wybierz "Otwórz". Spowoduje to otwarcie go w Server Explorer, gdzie można przejrzeć wszystkie utworzone tabele.

Przekonasz się, że hasło jest przechowywane w haśle w tabeli aspnet_Membership zamiast zwykłego tekstu. To dobra rzecz. Jednak adres e-mail jest również zapisany w sposób wyraźny. Jeśli pamiętam moje szkolenie HIPAA sprzed czterech lat, to jest to PII, i powinienem przynajmniej udawać, że jest wyjątkowy. W rzeczywistości każdy, kto ma dostęp do bazy danych, może znaleźć adres e-mail dowolnego członka.

Edycja na podstawie aktualizacji:

Jeśli mówimy tylko o wykorzystywanie ich do uwierzytelniania i autoryzacji, powiedziałbym, że jesteś w porządku. Musisz zignorować adres e-mail.

Źródło

2009-07-30 17:40:46

+0

Możesz użyć niestandardowego dostawcy, aby obejść problem z adresem e-mail. – rboarman

1

Mam nadzieję, że jest;) Obecnie korzystamy z dostawcy członkostwa 2.0 z ADAM LDAP w firmie ubezpieczeń zdrowotnych, dla której pracuję. HIPAA i PHI to nazwa gry, a ta konfiguracja przeszła przez nasz dział prawny.

Źródło

2009-07-30 20:11:22 vonfeldj

Powiązane problemy

 Powiązane problemy