Fournisseurs d'appartenance et conformité HIPAA

Question

Est-ce que quelqu'un sait si les fournisseurs d'appartenances SQL et Active Directory fournis dans ASP.NET 2.0+ sont conformes à la norme HIPAA?

Précision:

Je comprends que les mandats HIPAA renseignements sur les patients et être fixé que certaines politiques soient mis en place pour sécuriser l'accès à cette information. Les fournisseurs d'accès SQL et AD de Microsoft peuvent-ils être utilisés pour gérer l'authentification des utilisateurs accédant à ces informations? Je m'attends à ce qu'il y ait des règles qui doivent être établies, comme la longueur et la complexité des mots de passe, mais y a-t-il quelque chose qui hérite de la façon dont ils stockent les informations qui les invalideraient aux fins de l'autorisation? Des pièges ou des choses à surveiller?

Answer 1

Cela dépend de ce que vous voulez faire avec eux, mais en bref, oui. HIPAA est tout au sujet des normes pour sécuriser vos données; Les normes ne sont pas particulièrement sévères, tant que vous avez un moyen de sécurité. De cette façon, c'est un peu comme ISO 9001; Tant que vous définissez une politique de sécurité et respectez-la, tout va bien. Les fournisseurs mentionnés sont des outils efficaces. Cela dit, vous devrez peut-être ajouter des éléments supplémentaires à vos données pour vous assurer qu'elles ne sont accessibles que depuis votre application. un certain niveau de pré-cryptage serait probablement approprié. Comprenez simplement qu'il n'a probablement pas besoin d'être un cryptage LOURD; très léger ferait, tant que vous êtes compatible avec l'application de celui-ci.

Answer 2

Je dirais que hors de la boîte, il est pas conforme HIPAA.

La façon de le savoir serait de créer une nouvelle application Web, avec juste un default.aspx et peut-être une page de connexion. Puis cliquez sur l'outil "Configuration ASP.NET" dans la barre d'outils de l'Explorateur de solutions pour lancer l'application de configuration (vous pouvez également le faire depuis IIS si votre site est hébergé là). Définissez les paramètres par défaut, en choisissant d'utiliser le AspNetSqlProvider pour toutes les fonctionnalités.

Cela créera un ASPNETDB.MDF dans votre dossier App_Data. Cliquez-droit dessus et choisissez "Ouvrir". Cela l'ouvrira dans l'Explorateur de serveurs, où vous pouvez regarder toutes les tables qui ont été créées.

Vous constaterez que le mot de passe est stocké dans la table aspnet_Membership au lieu de texte brut. C'est une bonne chose. Cependant, l'adresse e-mail est également stockée en clair. Si je me souviens de ma formation HIPAA d'il ya quatre ans, c'est PII, et devrait au moins prétendre d'être spécial. Comme c'est le cas, toute personne ayant accès à la base de données pourrait trouver l'adresse e-mail de n'importe quel membre.

---

Modifier basé sur la mise à jour:

Si vous ne parle que de les utiliser pour l'authentification et l'autorisation, je dirais que vous êtes ok. Vous devrez ignorer l'adresse e-mail.

Answer 3

J'espère bien que c'est;) Nous utilisons actuellement le fournisseur d'adhésion 2.0 avec un LDAP ADAM à la compagnie d'assurance maladie pour laquelle je travaille. HIPAA et PHI sont le nom du jeu ici et cette mise en place est passée par notre département juridique.