Do we need to encrypt MySQL database in order to keep HIPAA compliance?
A seconda di come è stato costruito l'intero sistema, potrebbe non essere necessario, ma spero che lo si cripta.
Per prima cosa è necessario identificare quale PHI (informazioni sanitarie protette) risiede nel sistema e come può viaggiare attraverso il sistema. A meno che i tuoi clienti non abbiano già de-identificato o reso anonimo i dati che ti sono stati inviati, è un buon presupposto che ogni pezzo di dati che ricevi sia PHI.
Una data di servizio e il nome di un paziente (o il cognome) inclusi in un record fanno di quel record PHI.
Se ritieni di poter proteggere il PHI nel database senza crittografia, devi essere in grado di fornire una buona argomentazione sulla sicurezza che il PHI ha altre protezioni sufficienti. Anche se è possibile formulare questa argomentazione, il principio di difesa in profondità incoraggia una protezione aggiuntiva (come la crittografia) nel caso in cui la protezione primaria non funzioni.
Hai davvero bisogno di parlare con il team legale della tua azienda in quanto HIPPA è una legge e il mancato rispetto dei requisiti HIPAA può comportare sanzioni civili e criminali