Поставщики членства и соответствие требованиям HIPAA

Кто-нибудь знает, соответствуют ли предоставленные провайдеры членства SQL и Active Directory в ASP.NET 2.0+ совместимыми с HIPAA?

Разъяснение:

Я понимаю, что HIPAA обязывает предоставлять информацию о пациентах и ​​что для обеспечения доступа к этой информации применяются определенные политики. Могут ли Microsoft SQL и AD Membership Providers использоваться для обработки аутентификации пользователей, обращающихся к этой информации? Я ожидаю, что будут какие-то политики, которые должны быть установлены как длина и сложность пароля, но есть ли что-то наследуемое о том, как они хранят информацию, которая лишает их права на авторизацию? Любые ошибки или вещи, которые нужно искать?

ОТВЕТЫ

Ответ 1

Это зависит от того, что вы хотите с ними делать, но короче, да. HIPAA - все о стандартах для защиты ваших данных; стандарты не являются особенно суровыми, если у вас есть способ обеспечить безопасность. Таким образом, это очень похоже на ISO 9001; пока вы определяете политику безопасности и придерживаетесь ее, вы в порядке. Указанные поставщики услуг являются эффективными инструментами.

Тем не менее, вам может понадобиться сделать некоторые дополнительные вещи с вашими данными, чтобы убедиться, что он только ясно доступен из вашего приложения; вероятно, будет необходим некоторый уровень предварительного шифрования. Просто поймите, что это, вероятно, не должно быть ТЯЖЕЛЫМ шифрованием; очень светлый, если вы согласны с его применением.

Ответ 2

Надеюсь, что это так;) В настоящее время мы используем 2.0 Memberhip Provider с ADAM LDAP в страховой компании, в которой я работаю. HIPAA и PHI - это название игры здесь, и эта настройка прошла через наш юридический отдел.

Ответ 3

Я бы сказал, что это из коробки, это не совместимо с HIPAA.

Выясните, как создать новое веб-приложение, используя только страницу default.aspx и, возможно, страницу входа в систему. Затем нажмите "Настройка ASP.NET" на панели инструментов Solution Explorer, чтобы запустить приложение конфигурации (вы также можете сделать это из IIS, если там размещен ваш сайт). Настройте значения по умолчанию, решив использовать AspNetSqlProvider для всех функций.

Это создаст ASPNETDB.MDF в вашей папке App_Data. Щелкните его правой кнопкой мыши и выберите "Открыть". Это откроет его в Server Explorer, где вы можете посмотреть все созданные таблицы.

Вы обнаружите, что пароль хранится хэшированным в таблице aspnet_Membership, а не как обычный текст. Это хорошо. Однако адрес электронной почты также сохраняется в ящике. Если я помню свое обучение HIPAA четыре года назад, то это PII, и, по крайней мере, должен притворяться особенным. Как бы то ни было, любой, кто имеет доступ к базе данных, может найти адрес электронной почты любого участника.

Изменить на основе обновления:

Если вы только говорите об их использовании для аутентификации и авторизации, я бы сказал, что все в порядке. Вам нужно будет игнорировать адрес электронной почты.