构建符合HIPAA标准的应用程序,我想知道如何将访问令牌存储到远程服务器,和/或具有本地SQL加密本地数据库(例如SQLCipher)。
考虑到HIPAA要求的性质,我只能断定密钥的适当位置只能在服务器上,而不能在移动设备上本地:
HIPAA标准的第164.312节说明如下:
(a)(1)标准:访问控制。实施技术政策和 保持电子信息的电子信息系统程序 保护健康信息,以便只允许访问这些人或 已被授予访问权限的软件程序 §164.308(a)中(4)。
更具体地说,
1)假设有权访问手机的人最终可以提取密钥/访问令牌,这是否意味着本地密钥存储不符合HIPAA标准?
2)消息传递应用程序如何符合HIPAA标准?由于每次打开应用程序时都不会提示用户输入密码,这意味着访问令牌会保存在手机本地的某个位置。