Supponiamo che disponga di un servizio privato che espone informazioni sensibili (PHI) tramite un'API REST e che voglio autorizzarne l'accesso solo da un altro servizio.
È sufficiente suddividere questi servizi in diversi gruppi di sicurezza e limitare il traffico in entrata solo al servizio di chiamata? Questo tipo di autenticazione sarebbe compatibile con HIPAA?
La norma sulla privacy di HIPAA: " la norma sulla privacy richiede a un'entità coperta di salvaguardare ragionevolmente PHI da qualsiasi uso o divulgazione intenzionale o involontario in violazione dei requisiti di HIPAA " Il tuo obiettivo principale è proteggere i dati in transito e dati a riposo. La crittografia copre la maggior parte di questo per te quindi diamo un'occhiata alla tua domanda:
"I have a private service that exposes sensitive information (PHI) via a REST API, and that I want to permit access to it from only one other service"
SERVICE (API) ---> connection ---> ONE OTHER SERVICE
ROUND 1: le tue prime preoccupazioni dovrebbero essere protezione del RESTO API al meglio delle tue capacità ( un'entità coperta per salvaguardare ragionevolmente PHI da qualsiasi uso o divulgazione intenzionale o non intenzionale ).
SERVICE (API) [ROUND 1] ---> connection ---> ONE OTHER SERVICE
Le tue seconde preoccupazioni potrebbero essere la riduzione al minimo, la rimozione, la crittografia (se possibile) delle PHI durante il transito. Non vuoi che qualcuno sia in grado di annusare il filo e vedere i dati, o essere in grado di creare alcun tipo di attacco di inferenza. Gli standard / linee guida crittografiche su HIPAA possono essere ricercati, quindi ti dicono letteralmente cosa è e cosa non è accettabile.
SERVICE (API) [ROUND 1] ---> [encrypted/tunneled] connection [encrypted/tunneled] ---> ONE OTHER SERVICE
Infine, sulla macchina "un altro servizio", si applicherebbero le stesse regole. Crittografia ogni volta che è possibile, accesso minimalista (necessario conoscere).
Leggi altre domande sui tag authentication hipaa