Come rendere un'app per iPhone conforme HIPAA?

Non posso darti la risposta completa, ma la versione breve che mi ha dato l'avvocato del mio precedente ospedale era:

SSL proteggerà i dati che vengono trasferiti, tuttavia, tutto ciò che viene memorizzato nella cache della scheda SD / disco rigido non è crittografato ...

Quindi, quando guardi questa applicazione, dovrai anche crittografare ciò che è memorizzato sul telefono dall'app. Se hai mai collegato un iPhone al tuo computer (o ad un amico), hai accesso al set completo di spazio di archiviazione (incluso il sistema operativo), il che significa che qualsiasi contenuto memorizzato nella cache è disponibile se il telefono viene perso.

Vorrei esaminare attentamente la crittografia almeno di qualsiasi PKI, PHI o PII che il tuo programma fornisce al dispositivo.

Il problema è che anche se il programma non memorizza i dati, l'interfaccia web può memorizzare nella cache i dati in entrata e in uscita dal dispositivo. Questa è la parte che potrebbe causare problemi.

L'unica risposta è essere pienamente conformi alla legge HIPAA e lasciare solo le persone che dovrebbero avere permesso di usare per proteggere i dati dei pazienti per avere accesso ad essa in modo sicuro e controllato. Per lo meno leggere, link

L'elenco di una coppia di tecnologie (SSL, crittografia disco) in uso non ti rende compatibile con HIPAA. Assicurati di non condividere involontariamente i dati con terze parti (ad esempio, l'hosting su una piattaforma cloud) con cui non hai firmato accordi con Business Partner (BAA). Non conservare i dati protetti su telefoni non crittografati. Assicurati che la tua app non sia soggetta ad attacchi di tipo SQL injection / privilege escalation di base, monitora l'attività degli utenti per comportamenti strani, segnala divulgazioni, ecc.