有谁知道ASP.NET 2.0中提供的SQL和Active Directory成员资格提供程序是否符合HIPAA标准?
澄清:
据我所知,HIPAA要求保护患者信息,并制定某些政策以确保对该信息的访问。 Microsoft的SQL和AD成员资格提供程序是否可用于处理访问此信息的用户的身份验证?我希望有一些政策需要建立,比如密码长度和复杂性,但是有没有任何关于它们存储信息的方式的继承,这些信息会使授权无效?任何需要注意的问题或事情?
答案 0 :(得分:2)
这取决于你想用它们做什么,但简而言之,是的。 HIPAA是关于保护数据的标准;只要你有办法提供安全保障,标准就不会特别苛刻。就这样,它很像ISO 9001;只要你定义一个安全策略并坚持下去,你就可以了。提到的提供者是有效的工具。
也就是说,您可能需要对数据进行一些额外的操作,以确保只能从您的应用程序中清楚地访问它;某种程度的预加密可能是合适的。只是明白它可能不需要重的加密;只要你与它的应用保持一致,就会很轻松。
答案 1 :(得分:1)
我当然希望它是;)我们目前在我工作的健康保险公司使用2.0成员资格提供程序和ADAM LDAP。 HIPAA和PHI是这里游戏的名称,这个设置通过我们的法律部门。
答案 2 :(得分:0)
我说开箱即用,不符合 HIPAA。
找出的方法是创建一个新的Web应用程序,只需一个default.aspx,也许还有一个登录页面。然后单击解决方案资源管理器工具栏中的“ASP.NET配置”工具以启动配置应用程序(如果您的站点在那里托管,也可以从IIS执行此操作)。设置默认值,选择对所有功能使用AspNetSqlProvider。
这将在App_Data文件夹中创建ASPNETDB.MDF。右键单击它并选择“打开”。这将在Server Explorer中打开它,您可以在其中查看所有已创建的表。
您会发现密码存储在aspnet_Membership表中,而不是纯文本。这是好事。但是,电子邮件地址也以明文形式存储。如果我记得四年前的HIPAA培训,那就是PII,并且至少假装是特别的。实际上,任何有权访问数据库的人都可以找到任何成员的电子邮件地址。
根据更新进行修改:
如果您只是在谈论使用它们进行身份验证和授权,我会说您没问题。您需要忽略该电子邮件地址。