ASP.NET2.0以降で提供されているSQLおよびActiveDirectoryメンバーシッププロバイダーがHIPAAに準拠しているかどうかを誰かが知っていますか?
明確化:
私は、HIPAAが患者情報の保護を義務付けており、その情報へのアクセスを保護するために特定のポリシーが導入されていることを理解しています。この情報にアクセスするユーザーの認証を処理するために、MicrosoftのSQLおよびADメンバーシッププロバイダーを使用できますか?パスワードの長さや複雑さなど、確立する必要のあるポリシーがあると思いますが、承認の目的でそれらを無効にする情報の保存方法について何か継承するものはありますか?落とし穴や注意すべき点はありますか?
それはあなたが彼らと何をしたいかにもよるが、要するにそうだ。HIPAAは、データを保護するための標準に関するものです。セキュリティを提供する方法が整っている限り、標準は特に厳しくはありません。このように、ISO9001によく似ています。セキュリティポリシーを定義してそれを守る限り、問題はありません。上記のプロバイダーは事実上ツールです。
とは言うものの、アプリケーションからのみ明確にアクセスできるようにするために、データに対していくつかの追加処理を行う必要がある場合があります。ある程度の事前暗号化がおそらく適切でしょう。おそらく、重い暗号化である必要はないことを理解してください。あなたがそれの適用に一貫している限り、非常に軽いでしょう。
確かにそうだと思います;)私は現在、私が働いている健康保険会社でADAMLDAPを備えた2.0メンバーシッププロバイダーを使用しています。ここでのゲームの名前はHIPAAとPHIであり、この設定は法務部門を経由しました。
箱から出して、 HIPAAに準拠していないと思います。
見つける方法は、default.aspxとログインページだけを使用して、新しいWebアプリケーションを作成することです。次に、ソリューションエクスプローラーツールバーの[ASP.NET構成]ツールをクリックして、構成アプリケーションを起動します(サイトがIISでホストされている場合は、IISからこれを実行することもできます)。デフォルトを設定し、AspNetSqlProviderすべての機能にを使用することを選択します。
これにより、App_DataフォルダーにASPNETDB.MDFが作成されます。それを右クリックして「開く」を選択します。これにより、サーバーエクスプローラーで開き、作成されたすべてのテーブルを確認できます。
パスワードはaspnet_Membershipプレーンテキストではなく、ハッシュ化されてテーブルに保存されていることがわかります。それは良いことです。ただし、メールアドレスも平文で保存されます。4年前のHIPAAトレーニングを覚えているとしたら、それはPIIであり、少なくとも特別なふりをする必要があります。現状では、データベースにアクセスできる人なら誰でも、どのメンバーの電子メールアドレスも見つけることができます。
更新に基づいて編集:
それらを認証と承認に使用することだけを話しているのであれば、大丈夫だと思います。メールアドレスは無視する必要があります。