Oui Vous devez crypter tous les détails (nom, adresse e-mail, numéro de téléphone, adresse) liés au patient et aux médecins si vous souhaitez que votre application Rails soit conforme HIPAA.
Ci-dessous 2 gemmes rubis sont très utiles pour vous.
attr_encrypted: https://github.com/shuber/attr_encrypted
paper_trail: https://github.com/airblade/paper_trail
HIPAA est une loi inhabituelle en ce qu'elle fait beaucoup de recommandations (articles adressables) et quelques assertions (éléments nécessaires), mais à la fin il est Cela permet à chaque organisation de déterminer par elle-même ce qu'elle doit faire pour être conforme. Cela crée beaucoup de flexibilité et beaucoup d'incertitude. En général, pour être conforme à la HIPAA, un site Web doit au minimum faire en sorte que toutes les informations de santé protégées (ePHI) ci-dessous:
cryptage de transport: est toujours crypté car il est transmis sur Internet
Sauvegarde: Ne jamais être perdu, c.-à-d.devrait être sauvegardé et peut être récupéré
Autorisation: est accessible uniquement par le personnel autorisé à l'aide de contrôles d'accès uniques, vérifiés
Intégrité: est-ce pas falsifié ou altéré
chiffrement de stockage: Doit être chiffré lors de son stockage ou de son archivage
Elimination: Peut être définitivement éliminés quand on n'a plus besoin
Omnibus/HITECH: est situé sur les serveurs Web d'une entreprise avec qui vous avez signé un contrat d'affaires HIPAA associé (ou il est hébergé dans la maison et les serveurs sont correctement fixés par la Règles de sécurité HIPAA).