20

ASP.NET MVC を使用して S3 アプリケーションを設計しようとしていて、HIPAA 準拠を維持しようとしているときに、いくつかの質問に直面しています。

私の最初の計画は、Web サーバーへの SSL 接続を要求し、サーバー上の画像を暗号化し、秘密鍵を使用して s3 に送信することでした。

ここに私の明らかな懸念があります:

  1. クライアントがブラウザ内で画像を表示する場合、暗号化されていない画像を一時ファイル キャッシュに保存することはできません。
  2. メモリ内の画像を一般的に処理するように ashx を設定しても、これはキャッシュに保存されませんか?

https経由でサーバーに接続するため、画像が暗号化されると言っても、すべてのブラウザがデータをキャッシュしないとは限りません.

データは s3 のディスクに保存される前に暗号化され、メモリ内のサーバーで再び復号化されるため、有効期限付きの「クエリ文字列」を考慮することさえできません。

私の唯一のオプションは、画像を単純なhtml画像ソースとして公開しない、またはクライアント側のWinFormアプリケーションとしてアプリを作成しない、ある種のActiveXコンポーネントを作成/購入することだと思います。

4

5 に答える 5

17

一見すると、クラウド コンピューティングが HIPAA に準拠しているとは思えません。インスタンスが他の誰かのシステム管理者によって管理されている他の誰かのハードウェアでホストされている場合、セキュリティ ルールを満たすことは不可能でしょうか?

ただし、Amazon はまさにこのトピックに関するホワイトペーパーを公開しています: AWS を使用した HIPAA 準拠の医療データ アプリケーションの作成。読む価値があり、主な懸念事項に対処しているようです。それは免責事項で終わります:

「このホワイト ペーパーは、法的助言を構成することを意図したものではありません。HIPAA およびお客様とお客様のビジネスに適用される可能性のあるその他の法律の遵守に関して、弁護士の助言を求めることをお勧めします。」

当然のことながら、Das Interwebs のランダムな男から得たアドバイスにも同じことが当てはまります。

于 2010-04-19T15:03:45.930 に答える
12

他のいくつかの回答とは対照的に、クラウド コンピューティングとクラウド データ ストレージは、実際には HIPAA に準拠している可能性があります (これらは 2010 年に作成されたものであり、これは非常に厳しい要求でした)。

これには、次の 2 つの点を考慮する必要があります。

  1. クラウド プロバイダーに HIPAA 事業提携契約 (BAA) に署名してもらう必要があります。
  2. システムの開発では、セキュリティ ルール(暗号化、監査証跡など)を厳守する必要があります。

BAA に署名するクラウド プロバイダーは次のとおりです。

  1. アマゾン ウェブ サービス
  2. ラックスペース
  3. Windows Azure ( 2012 年 7 月現在)

(最近まで、Amazon は BAA に署名する意思がなかったので、コンプライアンスに関するホワイトペーパーを持っていたとしても、ガイドラインに従ってもうまくいきませんでした。しかし、すべてが変わりました)。

画像ストレージについては、AWS にはS3があり、Azure にはblob ストレージがあります。

ブラウザで画像を提供することに関するあなたの懸念に関しては、実際にどれだけ厳密にする必要があるかはわかりませんが、画像を次の中に埋め込むことができるようです:

  1. Java 仮想マシン (JVM)
  2. 閃光
  3. フレックス
  4. HTML5

PracticeFusionは Flex と Flash を使用して開始し、徐々に HTML5 に移行しているようです。

于 2013-09-11T15:59:20.170 に答える
9

HIPAA とクレジット カードの PCI コンプライアンスは、基本的に実装が不可能であるか、取るに足らないものです。「閉じた」ネットワークの意味を教えてくれるのは、どのコンサルタントを雇うかにかかっています。最高の形)、またはそれは壁の後ろのように閉じられており、外の世界に接続されていませんが、屋外の歩道にいくつかの基本的な機器があれば簡単に盗聴できますか?

コンサルタントの仕事が終わったら、多くのコンピュータ機器がリースされているという事実、コンピュータには USB ポートがあり、ユーザーがカメラ付き携帯電話を使用しているという事実、暗号化されたデータをどこにでも保存することがどうして問題になるのでしょうか? 暗号化されたデータを S3 に保存する場合、S3 にはゴミのランダムなビット以外は何も保存されません。あなたが所有するいくつかのキー+ゴミ=データであり、それはあなたのシステムでのみ発生します。

XP を搭載した PC で暗号化なしで実行される「HIPAA 準拠」のソフトウェアを見たことがあります。ボットネットやキーストローク ロガーが所有しているラップトップの数を考えると、基本的にはすべてを否定することになります。

HIPAA 規則では、データがユーザーのコンピューターに置かれている場合、データを暗号化する必要はないと明示的に述べています。 /networks が利用され、既存のアクセス制御で十分であると見なされ、暗号化はオプションです。」

于 2010-11-16T03:38:37.067 に答える
4

いくつかのコメント。https 経由で提供される画像は、常にブラウザーのキャッシュに保存されるとは限りません。それでも、headersを使用してこれを制御できます。

画像をアップロードすると、お気に入りの暗号化技術を使用して、画像をメモリにストリーミングしたり、データベースに直接ストリーミングしたりできます。ユーザーが暗号化された画像への URL を含むページを要求すると、単にコントローラーを呼び出し、データベースから暗号化されたデータを取得し、メモリで復号化して画像を返します。

    [AcceptVerbs(HttpVerbs.Get)]
    public ActionResult ShowImage(string id)
    {
        ImageEntity image = Repository.For<ImageEntity>().Where(a => a.AssetIdd == id).First();

        var decryptedImage = Decrypt(image);

        ImageResult result = new ImageResult(decryptedImage.ImageData, decryptedImage.ContentType);

        return result;
    }

次のように使用します。

<img src="/Assets/ShowImage/<%=Model.Id%>" alt="" />
于 2010-07-11T20:56:40.917 に答える
-1

いいえ。ネットワーク暗号化要件とネットワーク監視要件が競合しているため、HIPAAへの準拠は不可能です。

于 2010-04-19T15:09:21.047 に答える