Lavoro con un'azienda che vende forniture mediche e attrezzature. Come parte di questo, conserviamo le informazioni sui pazienti o le informazioni sanitarie protette (PHI). Quali misure avete adottato nel fornire l'accesso a questi dati in un database? Gli sviluppatori dovrebbero avere accesso illimitato all'intero database, dato che fa parte del loro lavoro, o ci sono misure da adottare per oscurare o modificare i dati?
Risposta breve: No, agli sviluppatori non dovrebbe essere consentito l'accesso a PHI. Ma per farli lavorare in un ambiente che rispecchia correttamente il mondo reale, molti lo fanno!
Una delle opzioni che ho usato per vedere dove l'organizzazione aveva la capacità era quella di fornire agli sviluppatori una copia disinfettata del database live.
Ovviamente questo richiede alcune risorse
Ho pensato di aggiornarlo per dare qualche informazione in più sulla sanificazione. Per informazioni sensibili ciò significa in realtà rimuovere le informazioni di identificazione. Ho visto questo fatto completando una sostituzione completa di nomi e numeri di conto in ordine casuale (ma unico) o eseguendo uno scambio di dati, in modo che i nomi non siano più collegati agli indirizzi e ai dettagli medici con cui hanno iniziato. Questo è un lavoro duro, soprattutto perché è normale che l'età e il sesso di ciascun individuo siano appropriati (specialmente per i database medici), altrimenti il test può essere complicato (ad esempio cercare di rintracciare casi d'uso per un uomo di 90 anni)
Se i tuoi bisogni di sviluppo non sono così approfonditi, potresti semplicemente fornire un piccolo database con dati elaborati - molto più semplice, ma non così vicino alle condizioni del mondo reale.
Leggi altre domande sui tag databases compliance