Esistono linee guida per la progettazione di applicazioni per browser compatibili con HIPAA?

Naviga le tue risposte
6

Questa è una svolta diversa: spingo le informazioni di spedizione ai primi soccorritori, come fuoco, polizia ed EMS. Ma tutti potrebbero potenzialmente includere informazioni mediche e informazioni personali.

Il mio obiettivo è rendere più semplice per il primo soccorritore ottenere informazioni critiche, quindi desidero renderlo disponibile nel veicolo o sullo smartphone se necessario. È qui che non sono sicuro di quali siano le mie responsabilità. Mi piacerebbe fornire le informazioni tramite il browser. Sono curioso di sapere se a) questo scenario rientra nel dominio di HIPAA, e b) ci sono delle linee guida che devo seguire nella progettazione dell'applicazione - il componente del browser. Il back-end di cui sono fiducioso è sicuro. Ma non so cosa devo fare sul lato anteriore per proteggere da rubare / accidentalmente o addirittura rubare / accedere a questi dati (prendendo il telefono o dando un'occhiata a una spalla ...

Qualche consiglio? Grazie!

    
posta appDeveloper 13.12.2012 - 02:16
fonte

3 risposte

4

...falls under HIPAA's domain?

Se hai a che fare con PHI allora la risposta è probabilmente sì. Dai un'occhiata a questa pagina del Dipartimento della Sanità del governo degli Stati Uniti & Materiale di guida alle regole di sicurezza per ulteriori informazioni.

are there guidelines I need to follow in the application design - the browser component? The back end I am confident is secure.

Dovresti pensare a una valutazione del rischio (vedi la pagina sopra, in particolare il link alla pubblicazione speciale NIST 800-66). È bello essere fiduciosi, ma è necessario avere la documentazione per dimostrare che si è stati approfonditi. Per quanto riguarda la progettazione dell'applicazione, due buone fonti sono il libro Scrittura di codice sicuro e OWASP (controlla OWASP Top Ten come punto di partenza).

Durante la valutazione del rischio, guarderai le minacce (come "guardare oltre la spalla di qualcuno") e dovrai valutare la probabilità che questo accada e il rischio che esso rappresenti.

    
risposta data 15.12.2012 - 08:00
fonte
1

Anche se non sono un avvocato e dovresti sicuramente chiedere a un avvocato questa domanda. La mia opinione, essendo passivamente familiare con HIPAA da un precedente lavoro, rischierei che questo rientri quasi certamente nei regolamenti HIPAA per i fornitori (vale a dire, l'intero pacchetto). In caso contrario, quasi sicuramente cade sotto i fornitori di servizi di terze parti. Il mio precedente lavoro doveva preoccuparsi solo del ruolo di fornitore di servizi di terze parti, quindi non so molto di quali siano i dettagli per i requisiti completi.

    
risposta data 13.12.2012 - 15:21
fonte
1

Facciamo molta valutazione del prodotto con riferimento alla funzionalità del prodotto. Non valutiamo sulla base della codifica. Chiediamo sempre al product architect e al product manager di seguire la formazione HPSAA Privacy Security Expert CHPSE), in modo che abbiano una chiara comprensione della normativa sulla privacy e sulla sicurezza e quindi valutino in che modo il prodotto soddisfa i requisiti normativi. Molte volte abbiamo sperimentato che è necessario apportare importanti modifiche al design per garantire che il prodotto soddisfi i requisiti HIPAA. Come socio in affari, inoltre, è necessario assicurarsi che l'azienda sia conforme alle politiche, alle procedure, al piano di emergenza ecc.

    
risposta data 15.12.2012 - 22:23
fonte

Leggi altre domande sui tag

Come ottenere gli hash di bcrypt di altre persone da aggiungere al file htpasswd Puoi criptare una password usando quella stessa password? [duplicare]