Стандарты для шифрования данных в SOX / HIPAA в SQL Server 200x

Question

Мне было интересно, существуют ли какие-либо стандарты для шифрования конфиденциальных данных в базе данных, совместимые с SOX или HIPAA. Или необходима функция шифрования в SQLServer? или обращаться в бизнес-логике.

Любые идеи или ссылки у нас есть.

Answer 1

Во-первых, Google для соответствия HIPAA

Затем прочитайте статьи, подобные этой: http://www.developer.com/java/ent/article.php/3301011/HIPAA-Security-Rule---What-Software-Developers-Should-Know.htm

А это http://www.hipaa.ihs.gov/index.cfm?module=compliance_packet

Наконец, поговорите с юрисконсультом вашей компании. Неспособность должным образом защитить PHI обойдется вашей компании в миллионы, если вы проиграете судебный процесс, потому что вся ваша стратегия соответствия HIPAA была основана на ответах StackOverflow.

Answer 2

Криптографический API SQL Server 2008 сертифицирован на соответствие Common Criteria: Common Criteria Certification .

Answer 3

В одной из компаний, где я работал, по обеспечению соблюдения требований по защите кредитных карт они создали ключ, а затем уничтожили этот жесткий диск кувалдой, чтобы никто не мог получить информацию, которая использовалась при создании этого ключа.

Хотя они использовали базу данных Oracle, они создали свой собственный ключ для шифрования кредитных карт.

В отношении соответствия HIPAA я бы не стал доверять никакому шифрованию, выполняемому базой данных, так как она может не обеспечивать необходимую безопасность, и ваша компания готова к любым сбоям.

Лучше всего контролировать ключ самостоятельно, а не иметь ключ в базе данных или на сервере.

Иметь ключ, который необходимо ввести при запуске приложения или серверного приложения, но, как отметил С.Лотт, вашему юрисконсульту нужно будет принять участие в рассмотрении проекта, чтобы убедиться, что все проблемы покрыты.