Est-ce que quelqu'un sait si les fournisseurs d'adhésion SQL et Active Directory fournis à ASP.NET 2.0+ sont conformes à HIPAA?
Clarification:
Je comprends que HIPAA mandat les informations des patients soient sécurisées et que certaines politiques soient mises en place pour sécuriser l'accès à ces informations. Les fournisseurs de membres SQL et AD de Microsoft peuvent-ils être utilisés pour la gestion de l'authentification des utilisateurs accédant à ces informations? Je m'attends à ce que certaines politiques doivent être établies comme une longueur et une complexité de mot de passe, mais y a-t-il quelque chose d'hériter de la manière dont ils stockent des informations qui les invalideraient aux fins de l'autorisation? Tout gotchas ou des choses à rechercher?
3 Réponses :
Cela dépend de ce que vous voulez faire avec eux, mais en bref, oui. HIPAA est tout au sujet des normes pour sécuriser vos données; Les normes ne sont pas particulièrement difficiles, tant que vous avez un moyen de fournir une sécurité. De cette façon, c'est beaucoup comme ISO 9001; Tant que vous définissez une politique de sécurité et vous en tenez-vous, vous allez bien. Les fournisseurs mentionnés sont des outils efficacement.
Cela dit, vous devrez peut-être faire des choses supplémentaires avec vos données pour vous assurer que cela n'est clairement pas accessible de votre application; Un certain niveau de pré-chiffrement serait probablement approprié. Comprend juste que cela n'a probablement pas besoin d'être un cryptage lourd; très léger ferait, tant que vous êtes cohérent avec l'application de celui-ci.
HIPAA est plus sur la manière dont vous sécurisez / protégeez vos données, alors ce que vous utilisez pour le faire. Tant que les données sont protégées et uniquement accessibles par ceux qui sont autorisés à y accéder, vous allez bien.
Je dirais que hors de la boîte, il est pas compatible HIPAA.
La façon de le savoir serait de créer une nouvelle application Web, avec juste un default.aspx et peut-être une page de connexion. Cliquez ensuite sur l'outil « Configuration ASP.NET » dans la barre d'outils Explorateur de solutions pour lancer l'application de configuration (vous pouvez aussi le faire à partir de IIS si y est hébergé votre site). Mettre en place les paramètres par défaut, en choisissant d'utiliser le Cela va créer un ASPNETDB.mdf dans votre dossier App_Data. Faites un clic droit et choisissez « Ouvrir ». Cela ouvrira dans l'Explorateur de serveurs, où vous pouvez regarder toutes les tables qui ont été créés.
Vous verrez que le mot de passe est stocké dans le tableau haché Modifier basé sur la mise à jour:
Si vous ne parle que de les utiliser pour l'authentification et l'autorisation, je dirais que vous êtes ok. Vous devrez ignorer l'adresse e-mail. AspNetSqlProvider pour toutes les fonctions.
aspnet_Membership , au lieu de texte brut. C'est une bonne chose. Cependant, l'adresse e-mail est également stocké en clair. Si je me souviens de ma formation de HIPAA il y a de quatre ans, qui est PII, et doit au moins faire semblant être spécial. Comme il est, toute personne ayant accès à la base de données pourrait trouver l'adresse e-mail de tout membre.
Vous pouvez utiliser un fournisseur personnalisé pour contourner le problème de l'adresse e-mail.
J'espère bien que c'est;) Nous utilisons actuellement le fournisseur de membres 2.0 avec un ADAM LDAP à la compagnie d'assurance maladie que je travaille pour. Hipaa et Phi sont le nom du jeu ici et cette mise en place a traversé notre département juridique.