Cosa è richiesto dalla legge per archiviare i dati HIPAA nel "cloud"?

7

Stavo cercando di archiviare i backup del DB SQL di un sistema sanitario nel cloud nel caso in cui un disastro fosse conforme HIPAA. La soluzione che ho trovato era quella di utilizzare i backup Cloudberry. Quello che vorrei fare è esportare il DB SQL sul mio computer locale, utilizzare una passphrase nella configurazione di Cloudberry e le impostazioni di crittografia più alte e caricare su S3 ogni notte. Questi dati saranno a riposo .

Da quanto ho letto in passato, questo sembra accettabile, e la seguente affermazione lo rende accettabile, ma voglio essere sicuro.

Un PDF sul sito di Cloudberry afferma questo :

Leveraging Amazon S3 as a HIPAA-compliant storage platform - The Amazon S3 platform offers a cost-efficient alternative to store your customers’ digital records. All incoming data is automatically duplicated across several distinct locations to provide high durability and availability of customer data. The implemented encryption algorithms protect the confidentiality of in-transit (inbound and outbound) and “at-rest” (resident) data as required by the HIPAA provision. The industry-grade authentication helps delegate specific access control permissions to different user and administrator accounts.

Ho letto di BAA (accordi con i partner commerciali) e altre cose, che alcune persone suggeriscono, e alcuni dicono che non è necessario. Ho pensato che sarebbe stato meglio chiedere ai professionisti: questo metodo di backup dei dati HIPAA è conforme al cloud?

    
posta cutrightjm 27.07.2015 - 05:29
fonte

1 risposta

5

Se stai utilizzando il backup CloudBerry, abilita la crittografia sul lato client in modo che i file vengano crittografati prima che raggiungano Amazon S3.

Dati crittografati all'esterno dell'ambito HIPAA

Non hai bisogno di un Business Associate Agreement (BAA) se stai inviando dati criptati a un fornitore di terze parti. Nota che questa crittografia deve essere eseguita con cifrari conformi a FIPS 140-2 come AES-128. Essenzialmente, in base a HIPAA, i dati di PHI crittografati non rientrano nell'ambito di applicazione della protezione della legge, a condizione che vengano eseguiti con cifrari approvati. Se vengono compromessi solo i dati crittografati, non è necessario avvisare nessuno della violazione.

Se non criptato, ottieni un BAA

Amazon ora offre pacchetti di hosting compatibili con HIPAA, quindi se vuoi che i dati non siano crittografati su Amazon, devi firmare la loro BAA (fornibile tramite un modulo web). Non sono assolutamente d'accordo sul fatto che un BAA non sia necessario per un fornitore di servizi cloud con il quale memorizzi i dati PHI - Sono stato sottoposto a molti audit HIPAA da società di certificazione di terze parti e loro mi chiedono sempre. Avresti anche bisogno della tua documentazione e della tua politica di sicurezza per riflettere questa relazione e documentare le salvaguardie intorno al PHI.

Materiale sorgente

HHS fornisce informazioni sulla crittografia e sulla notifica di violazione qui

Informazioni su BAA sono fornite da HHS qui.

    
risposta data 27.07.2015 - 22:44
fonte

Leggi altre domande sui tag