Ho un'istanza in Amazon EC2 e devo essere compatibile con HIPAA. Ho due domande,
- Dovrei fare una crittografia a livello di blocco della memoria del database.
- Devo crittografare i dati sensibili prima di archiviarli nel database.
Il documento menzionato è più un messaggio di marketing che qualcosa di sostanziale.
Sebbene non sia un esperto di HIPAA, è piuttosto simile ai requisiti del Regno Unito sui dati sensibili (pazienti). Idealmente, proverai sempre a crittografare i dati "a riposo", ad esempio quando su un dispositivo di memorizzazione permanente. Tuttavia, questo non è sempre facile e per farlo bene richiede un'esecuzione molto accurata. Ad esempio, non è necessario crittografare le unità se la chiave è in una memoria vulnerabile.
Nel Regno Unito, i dati governativi vengono classificati in base ai livelli di sensibilità e successivamente valutati in base a una serie standard di livelli di impatto aziendale (IL in breve). Ad esempio, i dati del paziente dovrebbero essere classificati come UFFICIALE-SENSIBILE e si consiglia IL3. IL3 raccomanderebbe la crittografia a riposo, ma questo non è obbligatorio se il data center e qualsiasi staff con accesso sono adeguatamente certificati e sicuri.
Nel tuo caso, l'uso di AWS significa che devi fare affidamento su Amazon per mantenere le loro affermazioni sui data center. Per il mercato del Regno Unito, Microsoft ha certificato la propria piattaforma Azure (nell'UE) a IL2 rendendolo adatto alle classificazioni UFFICIALI (la maggior parte dei documenti governativi). Ottenere un livello più alto di classificazione su una piattaforma condivisa sarebbe proibitivo. Tuttavia, esistono sistemi certificati di livello superiore sebbene siano effettivamente cloud privati.
Quindi per rispondere alle tue domande dirette (mi dispiace per lo sfondo esteso):
Mettere dati sensibili su una piattaforma cloud aperta è pieno di problemi e rischi. È necessario eseguire una buona analisi dei rischi su ciascuna parte del servizio, documentare il rischio e l'impatto se il rischio è realizzato. Quindi pesare contro i costi di sicurezza aggiuntiva. Se si tratta di dati dei pazienti, dovresti considerare anche l'impatto sui pazienti, questo non dovrebbe (essere solo) una semplice questione di economia aziendale.
Qui non c'è una risposta giusta o sbagliata.
Leggi altre domande sui tag encryption databases hipaa