È compatibile con FileVault 2 HIPAA?

2

Mi sembra che FileVault 2 usi la crittografia AES a 256 bit per la scrivania. Significa che soddisfa lo standard HIPAA "data at rest"? C'è qualcos'altro che devo controllare a riguardo?

    
posta Xodarap 29.06.2015 - 17:57
fonte

1 risposta

3

Sì, la crittografia su disco completo che utilizza AES-256 sarebbe considerata una crittografia conforme a HIPAA. È così perché è un cifrario conforme a FIPS 140-2 e dati crittografati con FIPS 140 -2 cipri è considerato "crittografato" secondo la regola di sicurezza HIPAA.

Per quanto riguarda il fatto che questo si possa ritenere sufficiente per "i dati a riposo", dipende dall'interpretazione della tua organizzazione di questa sezione apparentemente ambigua dell'atto HIPAA.

La crittografia completa del disco è una misura che aiuta la sicurezza fisica. "Dati a riposo" possono essere interpretati nel senso sia del livello fisico (in questo caso, se qualcuno ruba il Mac, i dati non sarebbero disponibili in quanto crittografati) sia della disponibilità dei file di dati reali che si trovano su un disco.

Ad esempio, alcune organizzazioni potrebbero considerare i backup dei database che rimangono inattivi su un disco "dati a riposo" e sceglierebbero di crittografarli con una password, ad es. usando 7zip con AES-256. Alcune organizzazioni potrebbero prendere in considerazione la crittografia completa del disco per lo standard "data at rest".

Questa è un'area di molto dibattito quando si tratta della regola di sicurezza HIPAA. Se sei preoccupato di avere dei file su un computer non crittografato con una password o una chiave PGP, ecc potrebbe essere un rischio, è meglio sbagliare dalla parte della crittografia. In base a HIPAA, se i dati crittografati vengono compromessi, non è necessario attivare i requisiti di segnalazione / divulgazione delle violazioni, poiché i dati potrebbero essere ritenuti inaccessibili a terzi. Se i dati non crittografati sono compromessi e ciò include hacker con malware che prelevano file da un computer online che ha crittografia completa del disco attivata; allora questo innescherà i requisiti di segnalazione. Sta a te soppesare il rischio.

    
risposta data 29.06.2015 - 18:58
fonte

Leggi altre domande sui tag