Nello spazio medico / farmaceutico come parte dei requisiti operativi legali, tutti devono rispettare gli standard HIPAA ( link ) per spostare le informazioni mediche personali in giro. Ciò significa che, ad esempio, è necessario crittografare tutte le comunicazioni e-mail inviate con informazioni personali identificabili.
Supponiamo che l'azienda X abbia creato una suite di app per il medico che è stata bloccata su un tablet appositamente fornito con MAAS360. Le app stesse passano attraverso un portale web che è anche facilmente accessibile online ma non pubblicizzato pubblicamente. Se il portale web non è https: // protetto, la mia preoccupazione è che questa suite potrebbe non essere conforme a HIPAA nella protezione dei dati dei pazienti quando i medici la usano.
Le mie domande sono:
- Se un sistema non sta utilizzando https ma sta utilizzando una sorta di crittografia non-https più avanti nel processo, è ancora sicuro? (la mia ipotesi è no?)
- ... è abbastanza sicuro per HIPAA?
- ... i requisiti di sicurezza HIPAA sono requisiti ragionevoli o sono assurdità burocratiche intese a dare l'illusione della sicurezza?