我在Amazon EC2中有一个实例,需要符合Hipaa标准。我有两个疑问,
任何帮助都会非常值得关注,
谢谢。
答案 0 :(得分:8)
HIPAA的问题在于它是相对主观的,并且个体的解释不同以适合他们的目的 - 请参阅here以获得有关HIPAA的快速入门。
您应采取的一般方法是尝试最大限度地提高用户PHI(受保护的健康信息)的安全性。通常,HIPAA建议/要求您加密HIPAA Omnibus法案164.312所涵盖的PHI数据 at rest 和 in-transit 。
所以你可以自由地解释这个裁决:
希望这一切都有所帮助。
我确定你已经知道这一点,但这仅涵盖了HIPAA需要的一小部分内容。在文档,培训等方面涉及很多方面。请参阅here以了解您如何遵守HIPAA,here了解如何在组织内设置实际政策并here 3}}将您的HIPAA培训作为您可以使用的起点。另请查看Accountable HQ或许可以帮助您快速启动。
答案 1 :(得分:0)
AWS HIPAA中心是一个良好的开端:HIPAA in AWS。
如该页面所述:
您可以在符合HIPAA的应用程序中使用任何AWS服务。但是,只有我们BAA中定义的符合HIPAA资格的服务才能用于处理,存储和传输可识别个人身份的患者数据。
阅读两个AWS HIPAA常见问题解答:Part 1和Part 2。您还需要了解shared responsibility model.
EC2,EBS是符合HIPAA资格的服务。但是,您需要打开EBS加密,并在专用实例上运行它们。价格标签不小,对于单个实例/小型系统来说可能过度。
关于你的问题:
- 我是否需要对数据库存储进行块级加密。
如果您在EC2 + EBS上运行数据库,那么是;这只需点击一下AWS。
如果您使用RDS(托管服务),则由AWS处理。 注意:在撰写本文时(2016年9月),只有MySQL和Oracle符合HIPAA标准的RDS。但是,您可以在符合HIPAA资格的EC2和EX2上运行MS SQL Server。 EBS。
- 在存储到数据库之前,我是否需要加密敏感数据。
不是真的需要。只有当您需要将其作为额外的安全层时,我才会说“是”,但它不会改善您的HIPAA合规性状态。
- 处理加密的最佳数据库软件
这取决于您的具体架构。如果您使用加密的EBS或RDS,则已经为您处理了加密。
我建议联系AWS支持并获得BAA,然后在继续前进之前对整个解决方案进行TCO计算。