Поставщики членства и соответствие HIPAA

Question

Кто-нибудь знает, являются ли предоставленные поставщики членства в SQL и Active Directory в ASP.NET 2.0+ HIPAA-совместимыми?

Пояснение:

Я понимаю, что HIPAA обязывает защищать информацию о пациентах и ​​что для обеспечения доступа к этой информации должны быть приняты определенные меры. Могут ли провайдеры членства в SQL и AD от Microsoft использоваться для обработки аутентификации пользователей, обращающихся к этой информации? Я ожидаю, что должны быть установлены некоторые политики, такие как длина и сложность пароля, но есть ли что-то унаследованное в способе хранения информации, которое сделает их недействительными для целей авторизации? Любые ошибки или вещи, на которые стоит обратить внимание?

Answer 1

Это зависит от того, что вы хотите с ними делать, но вкратце да. HIPAA - это стандарты безопасности ваших данных; стандарты не являются особенно жесткими, если у вас есть возможность обеспечить безопасность. Таким образом, это очень похоже на ISO 9001; Пока вы определяете политику безопасности и придерживаетесь ее, у вас все в порядке. Указанные провайдеры являются эффективными инструментами.

Тем не менее, вам может потребоваться выполнить некоторые дополнительные действия со своими данными, чтобы гарантировать, что они доступны только из вашего приложения; некоторый уровень предварительного шифрования, вероятно, будет уместным. Просто поймите, что это, вероятно, не должно быть тяжелым шифрованием; очень легкий, если вы согласны с его применением.

Answer 2

Я действительно надеюсь, что это так;) В настоящее время мы используем поставщика членства 2.0 с ADAM LDAP в компании медицинского страхования, в которой я работаю. HIPAA и PHI - вот название игры, и эта настройка прошла через наш юридический отдел.

Answer 3

Я бы сказал, что из коробки это не HIPAA-совместимый.

Способ выяснить это - создать новое веб-приложение, используя только default.aspx и, возможно, страницу входа. Затем щелкните инструмент «Конфигурация ASP.NET» на панели инструментов обозревателя решений, чтобы запустить приложение конфигурации (вы также можете сделать это из IIS, если ваш сайт находится там). Установите значения по умолчанию, выбрав AspNetSqlProvider для всех функций.

Это создаст ASPNETDB.MDF в вашей папке App_Data. Щелкните правой кнопкой мыши и выберите «Открыть». Это откроет его в обозревателе серверов, где вы сможете просмотреть все созданные таблицы.

Вы обнаружите, что пароль хранится в хеше в таблице aspnet_Membership, а не в виде простого текста. Это хорошая вещь. Тем не менее, адрес электронной почты также хранится в открытом виде. Если я помню свои тренировки по HIPAA, проведенные четыре года назад, это PII, и они должны хотя бы притворяться особенными. Таким образом, любой, кто имеет доступ к базе данных, может найти адрес электронной почты любого участника.

---

Редактировать на основе обновлений:

Если вы говорите только об их использовании для аутентификации и авторизации, я бы сказал, что вы в порядке. Вам нужно будет игнорировать адрес электронной почты.