私は、HIPAAに準拠するために、災害発生時に医療システムのSQL DBバックアップをクラウドに保存することを検討していました。私が思いついた解決策は、Cloudberryバックアップを使用することでした。私がしたいことは、ローカルコンピューターにSQL DBをエクスポートし、Cloudberry構成のパスフレーズと最高の暗号化設定を使用して、S3に毎晩アップロードすることです。このデータは休止中になります。
私が過去に読んだことから、これは許容できるように思われます、そして以下のステートメントはそれも許容できるように聞こえますが、私は確信したいと思います。
A PDF これについて述べています :
Amazon S3をHIPAA準拠のストレージプラットフォームとして活用-Amazon S3プラットフォームは、顧客のデジタルレコードを保存するためのコスト効率の高い代替手段を提供します。受信データはすべて、いくつかの異なる場所に自動的に複製され、顧客データの高い耐久性と可用性を提供します。実装された暗号化アルゴリズムは、HIPAA規定で要求されているように、転送中(受信と送信)および「保管中」(常駐)データの機密性を保護します。業界グレードの認証は、特定のアクセス制御権限をさまざまなユーザーおよび管理者アカウントに委任するのに役立ちます。
BAA(ビジネスアソシエイトアグリーメント)やその他のことについて読んだことがあります。私は専門家に質問するのが最善であろうと考えました-この方法でHIPAAデータをクラウドにバックアップしますか?
CloudBerryバックアップを使用している場合は、クライアント側の暗号化を有効にして、ファイルがAmazon S3に到達する前に暗号化されるようにします。
HIPAAスコープ外の暗号化データ
暗号化されたデータをサードパーティプロバイダーに送信する場合、ビジネスアソシエイト契約(BAA)は必要ありません。この暗号化は、AES-128などのFIPS 140-2準拠の暗号で実行する必要があります。基本的に、HIPAAでは、encryptedPHIデータは承認された暗号を使用して行われる限り、法律の保護の範囲に含まれます。暗号化されたデータのみが侵害された場合、違反を誰にも通知する必要はありません。
暗号化されていない場合は、BAAを取得します
Amazonは現在HIPAA準拠のホスティングパッケージを提供しているため、Amazonでデータを暗号化しない場合は、BAAにサインオフする必要があります(Webフォームを介して提供されるボイラープレート)。 PHIデータを保存しているクラウドプロバイダーにはBAAが不要であることに強く反対します。私はサードパーティの認証会社からの多くのHIPAA監査を受けており、彼らは常にこれについて尋ねています。次に、この関係を反映し、PHIの周りの安全対策を文書化するために、独自の文書化とセキュリティポリシーも必要になります。
ソースマテリアル
HHSは暗号化と違反通知に関する情報を提供します ここ
BAAsに関する情報はHHSによって提供されます こちら