2009-07-30 23 views
11

Qualcuno sa se i provider di appartenenze SQL e Active Directory forniti in ASP.NET 2.0+ sono compatibili con HIPAA?Provider di appartenenze e conformità HIPAA

Chiarimento:

Capisco che i mandati HIPAA informazioni del paziente essere assicurato e che certe politiche da mettere in campo per garantire l'accesso a tali informazioni. I provider di appartenenza SQL e AD di Microsoft possono essere utilizzati per gestire l'autenticazione degli utenti che accedono a queste informazioni? Mi aspetto che ci siano alcune politiche che devono essere stabilite come la lunghezza e la complessità della password, ma c'è qualcosa di ereditario sul modo in cui memorizzano le informazioni che le invaliderebbero ai fini dell'autorizzazione? Qualche trucco o cose a cui prestare attenzione?

risposta

2

Dipende da cosa si vuole fare con loro, ma in breve, sì. HIPAA è tutto basato su standard per la protezione dei dati; gli standard non sono particolarmente rigidi, purché si abbia un modo per garantire la sicurezza. In questo modo, è molto simile a ISO 9001; Finché definite una politica di sicurezza e vi atteniate a ciò, siete a posto. I fornitori menzionati sono strumenti efficaci.

Detto questo, potrebbe essere necessario fare alcune cose aggiuntive con i tuoi dati per assicurare che sia solo chiaramente accessibile dalla tua applicazione; un certo livello di pre-crittografia sarebbe probabilmente appropriato. Basta capire che probabilmente non ha bisogno di essere crittografia PESANTE; farebbe molto leggero, purché sia ​​coerente con l'applicazione di esso.

+0

HIPAA * è * più su come proteggi/protegga i tuoi dati, quindi cosa usi per farlo. Finché i dati sono protetti e accessibili solo a chi è autorizzato ad accedervi, va bene. – Brettski

0

Direi che fuori dalla scatola, è non conforme HIPAA.

Il modo per scoprire sarebbe creare una nuova applicazione Web, con solo un default.aspx e forse una pagina di accesso. Quindi fare clic sullo strumento "Configurazione ASP.NET" nella barra degli strumenti di Esplora soluzioni per avviare l'applicazione di configurazione (è possibile farlo anche da IIS se il sito è ospitato lì). Impostare i valori predefiniti, scegliendo di utilizzare AspNetSqlProvider per tutte le funzioni.

Ciò creerà un ASPNETDB.MDF nella cartella App_Data. Fai clic destro e scegli "Apri". Questo lo aprirà in Esplora server, dove puoi guardare tutte le tabelle che sono state create.

Troverete che la password è memorizzata nella tabella aspnet_Membership, anziché come testo normale. È una buona cosa. Tuttavia, l'indirizzo e-mail viene anche memorizzato in chiaro. Se ricordo la mia formazione HIPAA di quattro anni fa, è PII, e dovrei almeno fingere che sia speciale. Così com'è, chiunque abbia accesso al database potrebbe trovare l'indirizzo email di qualsiasi membro.


Modifica sulla base degli:

Se stai parlando solo di loro utilizzando per l'autenticazione e l'autorizzazione, direi che sei ok. Dovrai ignorare l'indirizzo email.

+0

È possibile utilizzare un fornitore personalizzato per risolvere il problema relativo all'indirizzo e-mail. – rboarman

1

Sono sicuro che lo sia;) Attualmente utilizziamo il provider di appartenenza 2.0 con un LDAP ADAM presso la compagnia di assicurazione sanitaria per cui lavoro. HIPAA e PHI sono il nome del gioco qui e questo set up è passato attraverso il nostro dipartimento legale.

Problemi correlati