Poiché il linguaggio HIPAA è alquanto vago quando si tratta di requisiti tecnici effettivi, quali sono le migliori pratiche per la crittografia PHI per la conformità HIPAA?
Ho visto diversi livelli in diverse organizzazioni. Alcuni lo crittografano solo in trasferimento, altri quando sono a riposo. Una organizzazione mi occupava della crittografia PGP richiesta per i file anche durante il trasferimento su SFTP.
Lavoro nell'integrazione sanitaria e la gestione della crittografia è un must. Se stiamo progettando interfacce HL7 in tempo reale a fornitori di terze parti che sono al di fuori della nostra rete aziendale, configuriamo assolutamente una connessione VPN dedicata e, naturalmente, crittografata a tempo pieno tra noi due. Ciò è dovuto al fatto che molte applicazioni non supportano la crittografia SSL su un'interfaccia TCP / IP HL7 (sebbene la maggior parte dei motori di integrazione facciano).
Quando eseguiamo trasferimenti di file, insistiamo nell'utilizzare FTPS (FTP su SSL) o SFTP (Secure File Transfer Protocol). Alcuni fornitori ci richiedono di fare anche la crittografia PGP e la firma dei file.
Al minimo è necessario disporre della crittografia di trasporto. Inoltre, la crittografia dei dati può solo aiutare.
La "migliore" pratica è la valutazione del rischio e la mitigazione del rischio. La crittografia è solo uno degli strati di mitigazione del rischio.
L'utilizzo di algoritmi di crittografia certificati dall'Allegato A FIPS 140-2 sarebbe la migliore pratica; l'uso generico di TLS o SFTP senza configurare correttamente i criptografi crittografici non lo taglia.
L'uso della crittografia dei dati a livello di database può essere appropriato, ad esempio, se esiste il rischio che l'hardware fisico possa essere rubato; se l'hardware si trova in un centro dati incallito, l'uso della crittografia del livello del database può impressionare le persone ("i nostri dati sono crittografati a riposo") senza mitigare sensibilmente i rischi di divulgazione.
Questa pagina direttamente da HHS.gov ha un link ad alcuni buoni approcci e buone pratiche per i requisiti tecnici di HIPAA. Vorrei iniziare con i collegamenti in Serie di documenti educativi sulle regole di sicurezza e anche controllare i collegamenti alle pubblicazioni del NIST per ulteriori indicazioni tecniche.
Leggi altre domande sui tag encryption hipaa