問題タブ [hipaa]

問題

HIPAA 関連の機密データを保存および表示する大規模な Web アプリケーションがあります。現在、HIPAA への準拠を改善し、違反のリスクを軽減する方法を研究しています。

現在、ログインしているユーザーの権限に基づいてクライアント情報を正しく制限しない機能とレポートがいくつかあります (例: クライアント検索機能と特定のレガシー レポート)。

可能な解決策

プログラムの観点から問題に対処する

コンプライアンス違反の原因となっているコードのセクションをいつでも書き直すことができます。問題は、アプリケーションの規模を考えると、このアプローチは非常にエラーが発生しやすいことです。見逃される可能性があります。

返されるデータを制限するためのデータベースの変更

アプリケーションで必要なパーミッション制限を反映するように、MySQL データベース構造を変更できます。そうすれば、データベースは表示されるべきではないデータを返さないため、表示されるべきではないデータを誰も見ることができなくなります。

私の質問

アプリケーション自体には約 300 のテーブルがあり、そのほとんどに何らかの機密データが格納されています。MySQLビューを使用してデータアクセスを制限することは可能ですか?

もしそうなら、最善のアプローチは何ですか？

間もなくHIPAAアプリケーションを実行していますが、2要素認証が必要です。誰か私に例を教えてもらえますか？安全なログインを考えてから、ユーザーが誕生日などを入力する必要があるフォームを考えています。

ありがとう、ダレン

HIPAAに準拠したHerokuでアプリを実行することは可能ですか？具体的には、メンバー情報を保存するアプリと、メンバーの個人の健康情報を保存するアプリの2つが必要です。非対称キー暗号化と対称キー暗号化の両方を使用して機密データを暗号化する予定です。メンバーを他のアプリの機密データとリンクするキーでは非対称であり、名前、メールアドレス、電話などのメンバーアプリの特定のフィールドでは対称です。私の主な懸念は、Herokuの誰もが両方のアプリ（および秘密鍵）にアクセスできるため、非対称暗号化を破ることができるということです。これについて心配するのは正しいですか、それともAmazon EC2のインフラストラクチャにより、Herokuスタッフが両方のアプリにアクセスできなくなりますか？

WCF netTCPBinding を使用した既定の TCP トランスポート セキュリティの強度は? HIPAA に準拠していますか? また、これを示すドキュメントはどこにありますか?

すべての補遺と正誤表を含め、BizTalkが5010A標準に準拠するように更新がいつリリースされるかについて、誰かが洞察を提供できるかどうか疑問に思いました。

私はグーグルとビングの検索で疲れ果てており、私が見つけることができる唯一のことは、MSDNで2011年第1四半期について非常に漠然とした言及ですが、そのタイムラインはほぼ過ぎており、再び言及することはありません。BizTalk製品チームのブログは昨年初めにブログを停止し、5010についての最後の言及は、元の標準用にリリースされた最初の修正プログラムに関連していましたが、補遺や正誤表は、私が見ることができるその修正プログラムによって処理されません。

何かが足りないかもしれませんが、現在5010の開発が進んでおり、スキーマが最新でないとテストできない複数のトランザクションセットのテストに近づいています。

よろしくお願いします！

わかりましたので、ブランディング会社の場合は、製薬データの収集の表面をなぞっただけです。私はHIPAA準拠について少し知っていますが、どこが曖昧なのか..

A)。フォームを介してデータを収集する場合、データを匿名化する必要がありますか..つまり、別のテーブルに保存するなど. B)。誰が/何が保存されたデータの暗号化を解除する機能/手順にアクセスできます。C）。データベースを MySQL データベースにすることはできますか? D）。これを行うには、認定/承認/ライセンスが必要ですか?

データを暗号化し、HIPAA準拠のサーバーに保存する以外に、基本的に何をする必要がありますか。フォームを介して顧客データを取得したいと考えています。ありがとう！

実名、電子メール、およびその他の個人を特定できる情報を、プライマリアプリケーションデータベースから、別のデータベース/暗号化ファイルに保存したいと思います。そして、これに対するベストプラクティスの解決策があるのか​​、それとも私が何かを完全に見過ぎているのか、私は興味があります。

私が持っていたいくつかの考えは次のとおりでした：

• ユーザーは、プライマリデータベースでハッシュ化されたユーザー名とパスワードを使用してログインします
• 次に、このサーバーは、ユーザーのIDを使用してメンバーデータベースに対して何らかの安全な呼び出しを行います。
• そしてその見返りに、メンバーデータベースは名前、電子メール、アドレスなどを返します。

これが正しいアプローチであるかどうか、もしそうなら、キーがどこに保存され、認証されるかなど、疑問に思います。

医療記録を管理する iOS アプリを開発したいのですが、iPhone アプリを HIPAA に準拠させるにはどうすればよいですか?

更新: EMR を保護するために提案する特定の暗号化アルゴリズムはありますか?

HIPAA 準拠により、モバイル ネイティブ アプリケーションでのオフライン ストレージを許可しないようにする必要がありますか??HIPAA にこの種の規制が既に存在するかどうかはわかりません。そのようなことはないと思います。

この質問をこのフォーラムで行う必要がないと思われる場合は、これをよく読んで、この問題に対するプログラムによる解決策を提案してください。

これが発生した主な理由は、デバイスが脱獄またはルート化されると、モバイル開発に関するすべてのセキュリティ上の考慮事項が特に iOS にある可能性があるためです。

ハードウェア暗号化がハッキングされていることを知りました。

http://anthonyvance.com/blog/forensics/iphone_encryption/

次に、iOS 4 の暗号化技術に関する質問があります。

人々は、電話がルート化されている場合、iOS のキー チェーン アクセスが危険にさらされる可能性があると主張しています。

懐疑論に遭遇していないと私が思う唯一のものはsqlCipherです。

SqlCipher の欠陥を見つけた場合は、共有してください。

また、携帯電話でオフライン データを管理するための盗難を防ぐ方法が見つかるまでは、HIPAA への準拠が義務付けられている EMR アプリのオフライン機能を作成することを控えてもよいと思います。

人々が必死にハッキングしようとすれば、どのようなシステムもハッキングされる可能性があると言えます。しかし、モバイル デバイスは簡単なターゲットになる可能性があると思います。ハンカチをなくすように失くしてしまうことがあります。

あなたの意見を共有してください。

こんにちは。

州 (ミシガン州) に 270 を送信し、271 を受信して​​から、271 の 4010 バージョンに変換して、レガシー Web サービスがデータの吸収を試みることができるようにします。Web サービスは、dbml と LINQ を使用してメッセージを、変換後にデータベースを表す一連のクラスに変換し、トランザクションを実行してクライアントを更新します。ただし、次のようなエラーが表示されます。

アダプターは、URL "http://biz05/WriteEligibilityResponse/service.svc" の送信ポート "SendEDI" へのメッセージの送信に失敗しました。この送信ポートに指定された再試行間隔の後に再送信されます。詳細:"System.ServiceModel.FaultException: a:InternalServiceFaultX12_NM1 と X12_271_2120C の間の関係を削除しようとしました。ただし、関係の外部キーの 1 つ (X12_271_2120C.X12_NM1_Id) を null に設定することはできません。しようとしました。 X12_NM1 と X12_271_2120C の間の関係を削除します。ただし、関係の外部キー (X12_271_2120C.X12_NM1_Id) の 1 つを null に設定することはできません。EligibilityLookup.Service.ResponseToSQL.WriteResponse(メッセージ メッセージ) で

SyncInvokeWriteResponse (オブジェクト、オブジェクト [] 、オブジェクト [] ) で

System.ServiceModel.Dispatcher.SyncMethodInvoker.Invoke (オブジェクト インスタンス、オブジェクト [] 入力、オブジェクト [] & 出力) で

System.ServiceModel.Dispatcher.DispatchOperationRuntime.InvokeBegin (MessageRpc & rpc) で

System.ServiceModel.Dispatcher.ImmutableDispatchRuntime.ProcessMessage5 (MessageRpc & rpc) で

System.ServiceModel.Dispatcher.ImmutableDispatchRuntime.ProcessMessage4 (MessageRpc & rpc) で

System.ServiceModel.Dispatcher.MessageRpc.Process (Boolean isOperationContextSet) System.InvalidOperationException で

Microsoft.BizTalk.Adapter.Wcf.Runtime.WcfClient`2.RequestCallback (IAsyncResult 結果) で".

LINQ コードを変更できないことに注意してください (管理の一環としてクライアントを編集することはできません。フロント エンドの再構築はプロジェクトのステージ 2 です)。これを回避するための提案可能な方法はありますか? この要素のマップ内の 5010 から 4010 へのリンクは既に削除しており、完全な 271 データセットをレガシー システムに取得するかどうかも気にしません。