Il modo migliore per proteggere un'app mobile multipiattaforma per la conformità HIPAA

Naviga le tue risposte
2

Sto sviluppando una prima applicazione mHealth multipiattaforma e offline utilizzando Ionic 3 e Cordova che potrebbero dover essere conformi HIPAA nel prossimo futuro. Utilizza PouchDB come DB lato client, HTTPS, crittografia sul posto lato server quando sono necessarie le funzioni lato server. Il client viene eseguito localmente, a meno che i dati non debbano essere sincronizzati con gli utenti di un gruppo. I servizi di sincronizzazione utilizzano i servizi Web di back-end. Utilizziamo i token JWT per le sessioni. Servizi Auth0 per l'autenticazione. Ma, HIPAA è quello che è, ... Il pensiero di dover mantenere il mio DB locale crittografato mi fa rabbrividire. Le prestazioni dovrebbero essere hosed. Quali sono le migliori pratiche per la sicurezza nelle applicazioni mHealth?

    
posta juliet 05.05.2017 - 20:20
fonte

1 risposta

1

Dipenderà dai dettagli della tua situazione specifica, ma credo che la crittografia sul client possa essere richiesta nella tua istanza. Le seguenti domande di esempio sono poste dai HSS Technical Safegaurds documento:

  • Quale EPHI deve essere crittografato e decrittografato per impedire l'accesso da parte di persone o programmi software ai quali non sono stati concessi diritti di accesso?
  • Quali meccanismi di crittografia e decrittografia sono ragionevoli e appropriati da implementare per impedire l'accesso all'EPHI da parte di persone o programmi software ai quali non sono stati concessi diritti di accesso?

La seconda domanda in particolare è il punto fisso. Se non si ha alcun modo di bloccare l'accesso alla cartella in cui il dispositivo memorizza l'ePHI, sarà necessario crittografare i dati. Non sono a conoscenza di alcune delle sfumature giuridiche relative a ciò che costituisce un controllo di accesso sufficiente per il software in questa situazione (ad esempio, forse il programma B non può accedere alla cartella in condizioni normali, ma cosa succede se il dispositivo viene rootato), quindi stai meglio a sbagliare sul lato della cautela.

    
risposta data 05.05.2017 - 20:47
fonte

Leggi altre domande sui tag

Ho perso la mia chiave privata PGP quando il disco rigido è stato cancellato. È possibile recuperare? [chiuso] La crittografia WhatsApp "end-to-end" protegge da un router compromesso?