HIPAA コンプライアンス アプリケーション用に Ruby on Rails 4.2 と mySql を使用しています。このアプリケーションの技術的なデータベース要件を知る必要があります。
患者の名前など、すべてのデータベースの値を暗号化する必要は本当にあるのでしょうか?
8445 次
2 に答える
4
HIPAA 要件は十分に強力ではありません。手短に言えば、保管中の医療記録を暗号化する必要があり、破損したプリミティブを使用できないことは明らかです。システムを監査する人は誰でも、おそらく AES を見たいと思うでしょう。これは簡単にサポートできます。Amazon RDS MySQL インスタンスは、aes_encrypt() および aes_decrypt() 関数を使用して、すぐに使用できるようにすでにサポートしています。
HIPAA と PCI-DSS が不十分な点は、どの操作モードを使用する必要があるかを述べていないことです。実際、MySQL の aes_encrypt() は ECB モードを使用していますが、これは恐ろしいことです。さらに、この層で暗号化を使用する場合、セキュリティの強化に問題があります。aes_encrypt() は、すべてのクエリをログに記録するように mysql を構成することで簡単に壊れます。AES キーはアプリケーションに埋め込む必要があるため、侵害された場合、攻撃者は構成ファイルから値を読み取り、レコードにアクセスできます。これは、アプリケーション内のデータを暗号化し、暗号テキストをデータベースに送信することで回避できる 2 つの障害点です。しかし、HIPAA はこの問題を気にしません。アプリケーションを分析するために CISSP を要求するなど、HIPAA のその他の要件はより重要です。
安全なシステムを実装することをお勧めしますが、HIPAA は十分に設計されていませんでした。
于 2016-04-19T08:07:00.940 に答える