問題タブ [hipaa]

メールで送信される個人データを保護するサービスを作成しています。gmail は一般的なトランスポートであるため、Gmail を使用して、データを保持するサービスに対してユーザーが認証できるようにしたいと考えています。しかし、Google はユーザー名 (Gmail アドレス) を保持し、サービスのアクセス トークンにも署名します。これは、Google 認証データにアクセスできる攻撃者が私のサービスにアクセスできるということですか?

実践的な思想家の皆さんに一言 -- 私のサービスは、Google のサービスよりも侵害されるリスクがはるかに高いことを認識しています。任意のプロバイダーから OAuth 経由でサインインすると、OAuth を使用するサービスに保持されているデータに ID プロバイダーがアクセスできるかどうかについて、技術的な評価をいただければ幸いです。

We have sensitive data in our database and I wanted to look into Oracle auditing capabilities. Our install is Embedded since it came with the application we have. Any feedback is appreaciated.

指示に従ってeMedNy のサービスを利用するための Soap Client のセットアップに取り組んでいます。

これは私が現在やっていることです：

私のメッセージはセキュリティ ゲートを通過することに成功したと思いますが、現在、サーバーから次のエラー メッセージが返されています。

これを修正する方法を教えてくれる経験のある人はいますか?

plesk パネル サーバーを使用して、HIPAA 準拠の電子メール サーバーを作成しようとしています。これで HIPAA 準拠のメール サーバーを作成できますか?

HIPAA に準拠する必要がある iOS アプリを作成しています。アプリはできればオフラインで機能する必要があるため、データは電話に保存する必要があります。

だからここに私がやろうと思っていたことがあります：

• 最初の起動時に、ユーザーはユーザー名、パスワード、およびパスフレーズを入力します。サーバーは、デバイスのユーザー名、パスワード、および UDID (Advertising ID) を使用してユーザーを認証します。サーバーとの通信は HTTPS を使用して行われます。

認証が成功した場合:

• ユーザー名はキー チェーンに格納されます。

• パスフレーズ+UDID は、OpenSSL ライブラリで利用可能な「PBKDF2」を使用してハッシュされます。こちらもキーチェーンに収納。この操作のソルトはキー チェーンに格納されます。以降の検証では、salt がキー チェーンから取得されます。

• ユーザー名 + パスフレーズ + UDID + 静的キーは、「PBKDF2」を使用してキーを生成するために使用され、再びソルトがキー チェーンに格納され、その後の使用からキー チェーンから取得されます。生成されたキーはメモリに保存され、キーが生成された後はパスフレーズは忘れられます。Static-Key はコード内に存在します。

• アプリがバックグラウンドになると、キーは忘れられます。つまり、変数は nil に設定されます。

• アプリを再開または再起動すると、パスフレーズを入力する画面がユーザーに表示されます。入力されたパスフレーズが正しい場合、アプリはキーを再度生成します。それ以外の場合、約 5 回連続して試行すると、アプリはデータを消去し、ユーザーをログイン画面に戻します (可能であれば、必要な情報を含むイベントに関するメッセージをサーバーに送信します)。

ここに私の2つの質問があります：

• project-imax/EncryptedCoreData の安定性を知りたいですか? それらが多対多の関係をサポートしていないことは知っています。しかし、関係を表すエンティティを作成することで、この問題を回避しました (これは、3 番目のテーブルを使用して実際の SQL DB で行われる方法と同様です)。暗号化されたコア データを使用した経験のある方から、その経験と直面した問題についてお聞きしたいと思います。特に、これは個々の属性のパフォーマンスの暗号化と比較してどうですか?

• 次に、私が導入しようとしているセキュリティ対策に問題はありますか。あなたが言及したい提案や改善。

Truevault.com と呼ばれる YC からの最近のスタートアップがあり、API を介してデータベースに JSON ドキュメントを保存でき、HIPAA に準拠しています。

私はヘルスケア アプリに取り組んでおり、HIPAA コンプライアンスの観点から、どちらの戦略が優れているか疑問に思っています。

1) Heroku + Truevault - 最初は簡単に展開できますが、Heroku はビジネス アソシエート契約に署名しないため、PHI を heroku サーバーに保存したり一時的に保存したりしなくても、これが本当に HIPAA に準拠しているかどうかはわかりません。

2) Amazon EC2 ですべてを実行 - Amazon は BAA に署名するため、ここでは問題ありませんが、自分でサーバーのメンテナンスを行う必要があります (むしろそうではありません)。

3) Heroku + Amazon S3 データベース - Heroku でサーバーを実行しますが、すべてを S3 に保存し、Amazon は BAA に署名します

経験のある人なら誰でも、最も準拠しているが実用的なものは何ですか? 前もって感謝します。

私は医療費請求ソフトウェアを開発しており、HIPAA に準拠する必要があります。現在のアーキテクチャでは、テナントごとに個別のデータベースを使用しています。しかし、マルチテナント アーキテクチャに変更する必要があります。では、マルチテナント アーキテクチャの HIPAA に問題はありますか?

このトピックに関連するドキュメント/プルーフを取得することは可能ですか?