2010-04-17 18 views
19

Sto affrontando alcune domande quando si cerca di progettare un'applicazione S3 utilizzando ASP.NET MVC e cercando di rimanere compatibile HIPAA.È possibile creare un'applicazione Web Amazon S3 compatibile con HIPAA?

Il mio piano iniziale era quello di richiedere una connessione SSL al mio server web, criptare le immagini sul mio server, poi mandarli a s3 usando le mie chiavi private.

Ecco le mie preoccupazioni evidenti:

  1. Non è possibile salvare le immagini in chiaro in qualsiasi cache dei file temporanei quando il cliente vede le immagini all'interno del browser.
  2. Anche se installasse un ashx genericamente gestire l'immagine in memoria, non poteva questo vengono memorizzati nella cache?

Dire che le immagini saranno crittografate perché si collegherà al mio server tramite https non garantisce ancora che tutti i browser non memorizzino i dati nella cache.

Non è possibile nemmeno considerare la "stringa di query" con l'opzione di scadenza poiché i dati verranno crittografati prima di essere memorizzati su disco su s3 e saranno nuovamente decrittografati sul mio server in memoria.

Penso che la mia unica opzione sarebbe quella di scrivere/acquistare una sorta di componente ActiveX che non esporrà l'immagine come una semplice fonte di immagini html o scrivere la mia app come applicazione WinForm lato client.

risposta

17

Sulla faccia di esso, sembra improbabile che il cloud computing potrebbe essere compatibile HIPAA. Sicuramente è impossibile soddisfare the Security Rule quando l'istanza è ospitata sull'hardware di qualcun altro, curata dagli amministratori di sistema di qualcun altro?

Tuttavia, Amazon ha pubblicato un white paper su questo argomento: Creating HIPAA-compliant Medical Data Applications with AWS. Vale la pena leggerlo e sembra affrontare le principali preoccupazioni. Si finisce con un disclaimer:

"Questo documento non è destinato a costituiscono consulenza legale Sei consigliato di chiedere il parere di un consulente per quanto riguarda la conformità con HIPAA e altre leggi che possono essere applicabili a. tu e il tuo business. "

Ovviamente lo stesso vale per qualsiasi consiglio che si riceve da un ragazzo casuale fuori Das Interwebs.

+4

Il cloud computing può essere infatti conforme HIPAA. Guarda Windows Azure. – Ryan

-1

No. La conformità HIPAA è impossibile a causa del conflitto tra il requisito di crittografia della rete e il requisito di monitoraggio della rete.

4

Un paio di commenti. Le immagini pubblicate tramite https non sono sempre memorizzate nella cache del browser. Anche così, puoi controllarlo usando headers.

Quando si carica un'immagine, è possibile eseguire lo streaming in memoria e direttamente in un database utilizzando la propria tecnica di crittografia preferita. Quando l'utente richiede una pagina con un URL a un'immagine crittografata, si chiama semplicemente il controller, si acquisiscono i dati crittografati dal database, si decodificano in memoria e si restituisce l'immagine.

[AcceptVerbs(HttpVerbs.Get)] 
    public ActionResult ShowImage(string id) 
    { 
     ImageEntity image = Repository.For<ImageEntity>().Where(a => a.AssetIdd == id).First(); 

     var decryptedImage = Decrypt(image); 

     ImageResult result = new ImageResult(decryptedImage.ImageData, decryptedImage.ContentType); 

     return result; 
    } 

si utilizza in questo modo:

<img src="/Assets/ShowImage/<%=Model.Id%>" alt="" /> 
9

Il HIPAA e la conformità PCI carta di credito sono praticamente impossibile da realizzare, o banali - tutto dipende da ciò che consulente che assumete per dirti quello che il il significato di una rete "chiusa" è - è quello matematicamente chiuso (che direi che è la forma più alta), o è chiuso come dietro un muro e non connesso al mondo esterno, ma banalmente facile da intercettare con alcune attrezzature di base sul marciapiede fuori?

Quando hai finito con i consulenti, il fatto che molte apparecchiature informatiche sono affittate, il fatto che i computer hanno porte USB e i loro telefoni cellulari con fotocamera degli utenti, come potrebbe essere un problema immagazzinare dati crittografati ovunque? Se memorizzi i dati crittografati su S3, S3 non memorizzerà QUALSIASI altro che frammenti casuali di dati inutili. Qualche chiave di tua proprietà + la spazzatura = dati e ciò accade solo nel tuo sistema.

Ho visto il software "HIPAA compatibile" che viene eseguito senza crittografia su un PC con XP su di esso. Considerando il numero di computer portatili posseduti da botnet e registratori di battute, il tutto è sostanzialmente un esercizio di negazione.

Il HIPAA esclude esplicitamente dichiarare che i dati non deve essere cifrato quando la sua seduta sul computer degli utenti:. "Sistemi informativi custodia PHI devono essere protetti da intrusioni Quando i flussi di informazioni sulle reti aperte, una qualche forma di cifratura deve essere Se vengono utilizzati sistemi/reti chiusi, i controlli di accesso esistenti sono considerati sufficienti e la crittografia è facoltativa. "

11

Contrariamente ad alcune delle altre risposte, il cloud computing e l'archiviazione dei dati cloud possono infatti essere conformi HIPAA (si noti che sono stati scritti nel 2010, quando questa era una chiamata molto più difficile).

Ci sono due cose principali che si dovrebbero prendere in considerazione per questo:

  1. è necessario ottenere il provider cloud per firmare un accordo di Associate HIPAA Affari (BAA)
  2. è necessario rispettare strettamente alla Security Rule nello sviluppo del sistema (crittografia, audit trail, ecc)

Ecco alcuni fornitori di cloud che firmeranno BAA di:

  1. Amazon Web Services
  2. Rackspace
  3. Windows Azure (as of July 2012)

(Fino a poco tempo, Amazon non era disposto a firmare un BAA, quindi, anche se avevano un whitepaper on compliance, seguendo le loro linee guida appena didn' t tagliare - tutto ciò che è cambiato, però).

Per la memorizzazione delle immagini, AWS ha S3 e Azure ha blob storage.

Per quanto riguarda le vostre preoccupazioni circa servire le immagini nel browser, io non sono sicuro di come in realtà rigorosa devi essere, ma sembra che si poteva inserire le immagini all'interno:

  1. un Java virtuale macchina (JVM)
  2. Flash
  3. Flex
  4. HTML5

sembra PracticeFusion started off using Flex & Flash and is in the process of gradually transitioning to HTML5.

+1

Questa è la risposta più corrente e corretta. I fornitori di cloud hanno alcuni requisiti per firmare il BAA, potrebbero avere implicazioni sui costi (non pubblicano questo, quindi chiedi il BAA il prima possibile e leggilo attentamente) – keisar