Non è un esperto di sicurezza quindi scusami per quello che potrebbe essere una domanda di base. Sto creando un'app di salute che deve essere conforme a HIPPA. Naturalmente assumerò un consulente più tardi, ma ho bisogno di sapere come / potrebbe funzionare questo sistema.
Pensa a qualcosa come FitBit, che raccoglie dati sulla salute, può eseguire un calcolo e poi inviarlo al dispositivo dell'utente.
Ecco quello che ho finora come un possibile mezzo per trasmettere dati PHI dal client (o un dispositivo mobile) al cloud, eseguendo calcoli su questi dati (ad esempio trarre alcune conclusioni su questi dati rispetto ad altri set di dati) e quindi inviare i dati al dispositivo.
Tuttavia, ho bisogno di chiarimenti su dove e quando la crittografia dovrebbe aver luogo per conformarsi ai regolamenti.
- I dati sensibili PHI vengono raccolti localmente, sul dispositivo (lato client).
- Questi dati vengono inviati a un server privato dove è tokenizzato (server di servizio token remoto) o è in qualche modo crittografato sul dispositivo.
- I calcoli su questi dati con token si verificano nel cloud.
- I dati resi anonimi o tokenizzati sono archiviati nel cloud e diventano parte del set di dati.
- I dati vengono riattivati e il server di servizio token remoto.
- I dati vengono ritrasmessi al dispositivo locale.
Dove e quando dovrebbe tokenizzazione / crittografia in questo processo per essere conforme?