データベースの設計から始めて、HIPPA の監査証跡を実装するためのベスト プラクティスはありますか。

ASP.NET2.0以降で提供されているSQLおよびActiveDirectoryメンバーシッププロバイダーがHIPAAに準拠しているかどうかを誰かが知っていますか？

明確化：

私は、HIPAAが患者情報の保護を義務付けており、その情報へのアクセスを保護するために特定のポリシーが導入されていることを理解しています。この情報にアクセスするユーザーの認証を処理するために、MicrosoftのSQLおよびADメンバーシッププロバイダーを使用できますか？パスワードの長さや複雑さなど、確立する必要のあるポリシーがあると思いますが、承認の目的でそれらを無効にする情報の保存方法について何か継承するものはありますか？落とし穴や注意すべき点はありますか？

837、835、277 などの HIPAA X12 をマッピングするための Altova Mapforce 以外の開発者ツールは何ですか?

SOX または HIPAA に準拠した、データベース内の機密データを暗号化するための標準があるかどうか疑問に思っていました。または、SQLServer の暗号化機能が必要ですか? またはビジネス ロジックで処理します。

私たちが持っているアイデアやリンク。

私はコンサルタントとして、小規模な医療行為管理ソフトウェアのプロバイダーが Web に移行するのを支援しています。HIPAA 準拠の経験があり、MS Web スタック (IIS/.NET/SQL Server) をサポートするホストを探しています

このようなホスティング会社の推奨事項を提供できる人はいますか?

ASP.NET MVC を使用して S3 アプリケーションを設計しようとしていて、HIPAA 準拠を維持しようとしているときに、いくつかの質問に直面しています。

私の最初の計画は、Web サーバーへの SSL 接続を要求し、サーバー上の画像を暗号化し、秘密鍵を使用して s3 に送信することでした。

ここに私の明らかな懸念があります：

1. クライアントがブラウザ内で画像を表示する場合、暗号化されていない画像を一時ファイル キャッシュに保存することはできません。
2. メモリ内の画像を一般的に処理するように ashx を設定しても、これはキャッシュに保存されませんか?

https経由でサーバーに接続するため、画像が暗号化されると言っても、すべてのブラウザがデータをキャッシュしないとは限りません.

データは s3 のディスクに保存される前に暗号化され、メモリ内のサーバーで再び復号化されるため、有効期限付きの「クエリ文字列」を考慮することさえできません。

私の唯一のオプションは、画像を単純なhtml画像ソースとして公開しない、またはクライアント側のWinFormアプリケーションとしてアプリを作成しない、ある種のActiveXコンポーネントを作成/購入することだと思います。

XSD と、XML ドキュメントを逆シリアル化するために使用している XSD.EXE によって生成されたクラスがあります。なんらかの理由で、XML ドキュメントのかなり深いノードが逆シリアル化に失敗しています。なぜそうなるのかわかりません...

これが私がデシリアライズする方法です：

XSD の関連部分は次のようになります。

「LS_Header_TS271A1_2110C」から「LE_Trailer_TS271A_2110C」までが逆シリアル化に失敗している場所

これらの 3 つのスニペットは次のとおりです。

最後の正しいループの生成クラスは次のとおりです。

[System.SerializableAttribute()] [System.Diagnostics.DebuggerStepThroughAttribute()] [System.ComponentModel.DesignerCategoryAttribute("コード")] [System.Xml.Serialization.XmlTypeAttribute(AnonymousType=true, Namespace="http://schemas. microsoft.com/BizTalk/EDI/X12/2006")] [System.Xml.Serialization.XmlRootAttribute(Namespace="http://schemas.microsoft.com/BizTalk/EDI/X12/2006", IsNullable=false)]公開部分クラス TS271A1_2110C_Loop {

}

標準に精通している人にとって、これは具体的には HIPAA 271 であり、2120C ループのデシリアライズに失敗しています。残りの人にとっては、それは特定の問題にとって重要ではないと思います...

必要なノードが、XSD と解析中の実際の XML ファイルの両方に存在することを確認しました。次にどこを見るべきかについての提案はありますか？

BizTalk 2009 を使用して X12 270 ドキュメントを送信する EDI クリアリング ハウスに接続しています。これらの 270 の「情報ソース」は、さまざまな要因に応じて 2 つのいずれかになります。情報源の 1 つについて、クリアリング ハウスは私の GS02 で 1 つの値を必要とし、もう 1 つの情報源については別の GS02 値を必要とします。

270 のパーティ管理で複数のエントリを設定できるようですが、使用するエントリを送信ポートに知らせる方法がわかりません。

他の誰かがこれに遭遇しましたか？

もしそうなら、これを動的に行う方法はありますか、それとも他の回避策が必要ですか?

暇な時間があり、楽しみのために新しいプロジェクトを選ぶことを考えています。私は大学生で、毎年オンラインでピッチ コンテストを開催しています。今から約9か月後のこのピッチコンペのプロジェクトを作成したいと考えています。問題は、プロジェクトが非常に高度なセキュリティを必要とし、競争が非常に激しいことです。

私ができるようにする必要があること: 1. HIPAA または ePHI (.pdf|.gif|.jpg|.doc) を保存する 2. 強力なアクセス制御 3. 多数のユーザーとファイル (100 万以上) をサポートする 4. フル監査レポート (ePhi さん、大変ですね) 5. 暗号化

提案された解決策
0) ファイアウォールの背後にある安全な専用サーバーに Web アプリを配置する

1) ファイルを「secure_files/」というファイルに保存し、mod_rewrite を使用してこのディレクトリへのアクセスを制限します。

次の行に何か：

次に、ユーザーに権限がある場合は、php スクリプトを使用してファイルを開きます。だから私はちょうど使用できますか：

2) CI セッション クラスを使用して、セッションに「ユーザー」を追加します。

コントローラーは、セッションが設定されているかどうかを確認します。

3) 複数の Web サーバー間でラウンド ロビンをローテーションします。私はこれをやったことがないので、これを行う方法がわかりません。複数のデータベース サーバーを処理する方法がわかりません。アイデア/提案はありますか？

4) Oracle Enterprise Standard Database 監査を使用します。MySQL を使用できればよいのですが、監査サポートが見つかりません。MySQL と PITA を使用できます。MySQL でポイントインタイム アーキテクチャ (PITA) を使用した人はいますか? あなたの経験を共有できますか？

5) したがって、明らかに、一方向のソルト付きハッシュでパスワードをハッシュできます。しかし、すべてを暗号化する必要がありますか? また、 AES_ENCRYPT(str,key_str) がセキュリティを向上させる方法がまったくわかりません。管理者がデータベースを見るのを妨げる可能性があると思いますか? 「secure_files/」フォルダー内のすべてを暗号化できますか? BitLocker のようなフル ディスク暗号化を使用できますか?

基本的に、php と CI でオンライン バンク レベルのセキュリティを実現できますか? 価値のない「あなたは何も知らないから専門家にお金を払ってください」という提案以外に、他に何か提案をすることはできますか?

ここまでお読みいただきありがとうございました。

---

Redux Auth から採用

一方向ハッシュに関して。暗号化と言う私の間違い。私は通常、次のようなことをします：

ソルトの長さ = '9'; } public function hash($password = false) { $salt_length = $this->salt_length; if ($password === false) { return false; $salt = $this->salt(); $password = $salt . substr(hash('sha256',$salt.$password), 0, -$salt_length); $パスワードを返します。} private function salt() { return substr(md5(uniqid(rand(), true)), 0, $this->salt_length); } } ?>

背景情報:

私は、HIPAA (医療) データを保存および取得する Web アプリケーションを実行する開発者チームの一員です。最近、HIPAA ガイドラインが更新され、すべての識別クライアント情報が「保管中」 (データベースに保存され、アクセスされていないとき) に暗号化されることを要求するポリシーが含まれるようになりました。

最初の問題

最初に取り組まなければならなかった問題は、侵害が発生した場合にデータを安全にする方法でデータを双方向に暗号化する最善の方法を決定することでした。

最初の解決策

私たちが思いついた最も迅速な解決策は、データをデータベースに挿入する前に、 mcryptを使用してデータを暗号化することでした。

新しい問題

私たちが開発しているアプリケーションはかなり古く (Web アプリケーションのように)、多くの手続き型プログラミングを使用し、 mysql_query関数に大きく依存してデータを挿入、更新、取得、削除しています。コードをデータベース抽象化レイヤーに変換する時間や余裕はありません。したがって、この暗号化/復号化システムを実装する唯一の方法は、すべての CRUD クエリを手動で編集して、mcryptで暗号化されたデータを使用することです。これは非常に非効率的で、非常にエラーが発生しやすくなります。

私たちの提案するソリューション

私たちの問題を解決するための最速かつ最も効果的な方法は、ネイティブのmysql_query関数を独自の工夫で上書きすることであると判断しました。新しい関数では、クエリをサーバーに送信する前/結果セットを返す前に、データ値を暗号化/復号化します。

あなたの人々が来る場所

1. これは、最初の問題を解決するための最良の解決策ですか?
2. 既存のコア PHP 関数を上書きするにはどうすればよいでしょうか?