Come rendere un'app per iPhone conforme HIPAA?

5

Come possiamo rendere un'app per iPhone conforme HIPAA. Il nostro sito web è conforme HIPAA poiché utilizziamo la crittografia a riposo, usiamo SSL e altre disposizioni di sicurezza.

L'utilizzo di una connessione SSL ci darà il vantaggio? Inoltre, credo che l'iPhone fornisca la crittografia indipendentemente dal fatto che un telefono sia protetto o meno?

    
posta ariel 03.05.2012 - 22:17
fonte

2 risposte

3

Non posso darti la risposta completa, ma la versione breve che mi ha dato l'avvocato del mio precedente ospedale era:

SSL proteggerà i dati che vengono trasferiti, tuttavia, tutto ciò che viene memorizzato nella cache della scheda SD / disco rigido non è crittografato ...

Quindi, quando guardi questa applicazione, dovrai anche crittografare ciò che è memorizzato sul telefono dall'app. Se hai mai collegato un iPhone al tuo computer (o ad un amico), hai accesso al set completo di spazio di archiviazione (incluso il sistema operativo), il che significa che qualsiasi contenuto memorizzato nella cache è disponibile se il telefono viene perso.

Vorrei esaminare attentamente la crittografia almeno di qualsiasi PKI, PHI o PII che il tuo programma fornisce al dispositivo.

Il problema è che anche se il programma non memorizza i dati, l'interfaccia web può memorizzare nella cache i dati in entrata e in uscita dal dispositivo. Questa è la parte che potrebbe causare problemi.

    
risposta data 03.05.2012 - 23:21
fonte
2

L'unica risposta è essere pienamente conformi alla legge HIPAA e lasciare solo le persone che dovrebbero avere permesso di usare per proteggere i dati dei pazienti per avere accesso ad essa in modo sicuro e controllato. Per lo meno leggere, link

L'elenco di una coppia di tecnologie (SSL, crittografia disco) in uso non ti rende compatibile con HIPAA. Assicurati di non condividere involontariamente i dati con terze parti (ad esempio, l'hosting su una piattaforma cloud) con cui non hai firmato accordi con Business Partner (BAA). Non conservare i dati protetti su telefoni non crittografati. Assicurati che la tua app non sia soggetta ad attacchi di tipo SQL injection / privilege escalation di base, monitora l'attività degli utenti per comportamenti strani, segnala divulgazioni, ecc.

    
risposta data 03.05.2012 - 22:44
fonte

Leggi altre domande sui tag