HIPAA vs HTTPS

Naviga le tue risposte
1

Nello spazio medico / farmaceutico come parte dei requisiti operativi legali, tutti devono rispettare gli standard HIPAA ( link ) per spostare le informazioni mediche personali in giro. Ciò significa che, ad esempio, è necessario crittografare tutte le comunicazioni e-mail inviate con informazioni personali identificabili.

Supponiamo che l'azienda X abbia creato una suite di app per il medico che è stata bloccata su un tablet appositamente fornito con MAAS360. Le app stesse passano attraverso un portale web che è anche facilmente accessibile online ma non pubblicizzato pubblicamente. Se il portale web non è https: // protetto, la mia preoccupazione è che questa suite potrebbe non essere conforme a HIPAA nella protezione dei dati dei pazienti quando i medici la usano.

Le mie domande sono:

  1. Se un sistema non sta utilizzando https ma sta utilizzando una sorta di crittografia non-https più avanti nel processo, è ancora sicuro? (la mia ipotesi è no?)
  2. ... è abbastanza sicuro per HIPAA?
  3. ... i requisiti di sicurezza HIPAA sono requisiti ragionevoli o sono assurdità burocratiche intese a dare l'illusione della sicurezza?
posta sharedphysics 05.03.2015 - 03:24
fonte

1 risposta

3
  1. Se non è crittografato, non è conforme. È possibile utilizzare HTTP semplice se è sempre su una VPN, ad esempio, ma non sembra il caso qui.
  2. Sono necessari ulteriori dettagli per rispondere correttamente.
  3. L'HIPAA è nel giusto modo di pensare, credo. Specifica le buone pratiche, non la tecnologia specifica. Ovviamente c'è sempre spazio per le persone che soddisfano qualsiasi esigenza con assurdità burocratiche, ma HIPAA non ha bisogno che soddisfi i propri requisiti.
risposta data 05.03.2015 - 06:25
fonte

Leggi altre domande sui tag

Perché alcuni attacchi sono più famosi di altri (heartbleed, BEAST, POODLE, ecc.)? Chiave crittografica Archiviazione e crittografia a virgola mobile