3

HIPAA コンプライアンスと Amazon S3 ファイル ストレージ セキュリティのためにデータベース暗号化キーを保存する最良の方法について、推奨事項を取得したいと考えていました。私は一般的にstackoverflowとグーグルを検索してきましたが、私が具体的にやっていることで十分かどうかをしっかりと把握することはできません. 規定の方法とは異なる方法でアプリを安全にしないようにしたくありません。

現在、gem attr_encrypted を使用して、データベース内の名前、ssn、住所などの機密性の高い患者識別データを暗号化する Rails アプリを使用しています。また、署名の画像や患者の写真などを Amazon S3 に保存し、サーバー側の暗号化を使用しています。アプリケーションまたはバージョン管理される可能性のあるファイルにデータベース暗号化キーをハードコードするべきではないことはわかっていますが、heroku の環境設定変数にキーを保持できますか? それらはどのように保護されていますか?それらはデータベースからどの程度分離されていますか? 現在、AWS キーを heroku 環境変数に保持していますが、安全ですか? また、暗号化に使用する最適なパス フレーズは何ですか? 私は現在、持っている本の任意のページから 2 つの文を使用しています。

私が大まかに説明した手順のいずれかについて非常にナイーブである場合はお知らせください。ナイーブな質問をしている場合は、事前にお詫び申し上げます。私は HIPAA に準拠したいと考えていますが、さらに、HIPAA の要件を超えていることに注意したいと思います。私の理解では、HIPAA への準拠が常に安全であるとは限らないからです。

みんな、ありがとう!

4

1 に答える 1

0

(これはコメントのようなものですが、コメントとして追加するには長すぎました):

@Eli: HIPAA は実際には特定の技術を義務付けていません。それは法律であり、技術の移行ほど変更可能ではないため、これは良いことです。

@OP: これは、 AWS での HIPAA 準拠アプリの構築に関するホワイトペーパーです。それはあなたにいくつかの良いアイデアを与えるはずです。しかし、コンプライアンス情報について Heroku に連絡する必要があるという点で、Eli は正しいです。または、この時点で Heroku から移行したほうがよいかもしれません。私の経験では、これは優れたプロトタイピング プラットフォームですが、運用環境を扱う際にその制限にぶつかり始めるのは簡単です (そして費用がかかります)。

@FrederickCheung:/dev/random十分なエントロピーがない場合、から直接読み取るとブロックされます。/dev/urandom疑似ランダムが十分でない場合は、通常、または実際の暗号ライブラリを使用することをお勧めします。

于 2012-12-14T17:18:58.520 に答える