Hushmails "Secure Forms" e HIPAA

2

Ho appena trovato un lavoro per l'integrazione di Secure Web Forms di Hushmail in un sito web medico. I moduli invieranno i dati del paziente (PHI) ai server di Hushmail, crittografano i dati e quindi li invieranno al loro account di posta elettronica Hushmail. L'instradamento di un modulo si ottiene semplicemente modificando l'attributo dell'azione del modulo sul collegamento .

Mi sembra che manchi di sicurezza. Per uno, il sito medico non sta usando SSL e da nessuna parte nella documentazione di Hushmail menzionano che SSL è necessario sui siti web per una trasmissione veramente sicura. Ovviamente questi moduli devono essere conformi HIPAA. Mi sembra che qualsiasi hacker mediocre possa catturare il pacchetto prima che venga inviato a Hushmail e crittografato.

Questo è sicuro? Usare un iframe del modulo sarebbe più sicuro? (sta usando SSL) Devo convincerli a configurare SSL sul sito?

Ho cercato di leggere su HIPAA, ma sto riscontrando problemi nel trovare qualcosa di tecnico per gli sviluppatori. Qualsiasi riferimento sarebbe gradito.

    
posta Jer 09.07.2015 - 07:52
fonte

1 risposta

1

Se l'attributo action del modulo ha https: //, i dati verranno crittografati prima di essere inviati al server Hush Secure Forms. Quindi il problema qui non è la crittografia.

C'è comunque un problema con il fatto che il sito di hosting medico non usa SSL. Quando un utente finale visualizza il modulo, non ha modo di sapere se sta esaminando il modulo corretto dal sito medico o sta invece esaminando un modulo reso da una terza parte malintenzionata coinvolta in un MITM o un attacco di phishing. La terza parte può fornire una pagina che assomiglia al sito medico ma forse con un'azione diversa sul modulo di silenzio (ad esempio link ). In questo caso i loro dati privati verrebbero inviati non a un server Hush Forms ma a un server scelto dall'hacker.

Inoltre, la miscelazione di contenuti protetti e non protetti sulla stessa pagina può attivare avvisi del browser.

    
risposta data 10.07.2015 - 22:47
fonte

Leggi altre domande sui tag