Sono parte di una piccola azienda che sta implementando la conformità HIPAA. Cercheremo consulenti legali, ecc. Quindi qualsiasi cosa sentita qui non sarà presa come consulenza legale, ecc. Voglio solo rimbalzare qualche idea da voi ragazzi.
Lo spirito di base di HIPAA da quello che ho letto:
- Assicurarsi che solo le persone autorizzate possano accedere a PHI.
- Assicurati che i dati nel trasporto e a riposo siano crittografati.
Ho fatto qualche ricerca su google (whitepaper AWS, hosting di hipaa, ecc.) e mi stavo chiedendo cosa ne pensate del seguente schema:
- Esegue il rails del codice dell'applicazione front-end (Heroku / AWS) che gestisce tutto il client richiede, tutto il phi inviato su HTTPS.
- Dati inviati a un server di crittografia centralizzato per essere crittografati.
- Il server di crittografia invia dati crittografati al server di database (probabilmente AWS).
Questo mi permetterebbe di scaricare la maggior parte della solidificazione del server sul server di crittografia, oltre a separare le chiavi dai dati. Qualcuno ha qualche esperienza / intuizione nella creazione di un sistema come questo? O anche un sistema come questo per HIPAA in particolare? È anche una buona idea dal punto di vista della sicurezza? Inoltre ho avuto difficoltà a trovare un'azienda che ospita semplicemente un "server di crittografia", ci sono aziende specializzate in qualcosa del genere?