Sviluppatori VS HIPAA

Naviga le tue risposte
1

Sto cercando di portare una società agli standard HIPAA e aiutarli a proteggere le informazioni sulla salute dei clienti. Una domanda che a volte emerge è che gli sviluppatori vogliono prendere i database dei dati del cliente e archiviarli sui loro computer e lavorare con essi.

Ho sempre detto no a questo perché non posso controllare cosa succede sui loro computer. Anche se si tratta di un computer di lavoro, non controllo la rete in cui si trova; Per questo motivo sono di nuovo il nemico numero 1 pubblico.

Quali sono alcune soluzioni in grado di mantenere la conformità e gestire i dati in modo sicuro e consentire agli sviluppatori di continuare a lavorare sui dati che riceviamo?

    
posta Qndel 09.12.2017 - 08:47
fonte

2 risposte

0

Ciao, Aperture Security,

Prima di tutto posso assicurarti che non sei il nemico pubblico numero uno e dove sono coinvolti i dati dei pazienti è meglio prevenire che curare.

Detto questo, c'è anche bisogno che gli sviluppatori siano in grado di lavorare da casa, quindi non li lascerei senza quell'opzione. Una possibile soluzione è implementare i computer di lavoro che quando si lavora fuori dal sito sono protetti tramite VPN o non sono affatto in grado di connettersi alla rete, raccomanderebbero anche un'educazione alla sicurezza di base come un furto fisico abbastanza divertente e facendo clic su quella strana email sarà altrettanto brutto nel lavoro fuori sede come il furto attraverso la rete.

References:

    
risposta data 09.12.2017 - 11:04
fonte
0

Trovo molto sorprendente che i tuoi "sviluppatori" lavorino abitualmente con dati live. Anche quando ho lavorato in ambienti non regolamentati, gli sviluppatori hanno utilizzato database dedicati, tranne in casi insoliti e rari. Sembra che tu abbia un problema più grande degli sviluppatori che stanno prendendo i dati a casa.

Non ho familiarità con i requisiti di HIPAA, ma come primo passo cercherò di fornire un accesso più facile ai dataset resi anonimi all'interno del tuo ufficio.

Oltre a ciò, suggerirei che consentire agli sviluppatori di ospitare dati (e altre proprietà intellettuali) sulle proprie macchine non è un risultato desiderabile. E il modo più semplice per vincere è quello di facilitare l'accesso a strumenti e dati di cui hanno bisogno per poi copiarli altrove.

Piuttosto che dettare soluzioni, potresti iniziare stabilendo una serie di vincoli e parlando con gli sviluppatori di una soluzione.

    
risposta data 09.12.2017 - 22:44
fonte

Leggi altre domande sui tag

Compatibilità TLSv1.2 lato client [chiuso] Qual è il carico utile di identificazione di RFC2407 utilizzato in IPsec?