Ho appena trovato un lavoro per l'integrazione di Secure Web Forms di Hushmail in un sito web medico. I moduli invieranno i dati del paziente (PHI) ai server di Hushmail, crittografano i dati e quindi li invieranno al loro account di posta elettronica Hushmail. L'instradamento di un modulo si ottiene semplicemente modificando l'attributo dell'azione del modulo sul collegamento .
Mi sembra che manchi di sicurezza. Per uno, il sito medico non sta usando SSL e da nessuna parte nella documentazione di Hushmail menzionano che SSL è necessario sui siti web per una trasmissione veramente sicura. Ovviamente questi moduli devono essere conformi HIPAA. Mi sembra che qualsiasi hacker mediocre possa catturare il pacchetto prima che venga inviato a Hushmail e crittografato.
Questo è sicuro? Usare un iframe del modulo sarebbe più sicuro? (sta usando SSL) Devo convincerli a configurare SSL sul sito?
Ho cercato di leggere su HIPAA, ma sto riscontrando problemi nel trovare qualcosa di tecnico per gli sviluppatori. Qualsiasi riferimento sarebbe gradito.