我正在开发一个必须符合HIPAA标准的PHP / MySQL应用程序。根据我的阅读,任何可能识别某人或任何医疗信息的个人数据必须在休息和传输过程中进行256位加密。我想弄清楚最有效的方法是什么。
我正在使用Amazon Web Services,我想到对HTTP和数据库请求使用SSL加密来保护传输中的数据。至于静态数据,我想到使用AES 256编译自定义MySQL服务器以便使用AES_ENCRYPT和AES_DECRYPT - 但是我是否必须为我加密的每个字段存储一个IV?否则,在应用程序本身内进行加密/解密将花费太长时间,并且查询数据库将是地狱。
有什么想法吗?
答案 0 :(得分:2)
HIPAA实际上并不要求将您的ePHI存储在MySQL数据库中时“静止”加密,只要它是隔离的,以便没有未经授权的人可以访问它。
也就是说,如果可能的话,通常最好将数据加密,如果可能的话,这可以防止数据泄露时发生数据泄露。
在此详细了解有关mySQL和加密选项的HIPAA合规性(我与本网站没有任何关系):
https://luxsci.com/blog/encryption-and-auditing-for-mysql-databases-under-hipaa.html