web-dev-qa-db-ja.com

PHIはクラウドでHIPAAに準拠できますか?

PHIをHIPAAに準拠した方法でクラウドに保存および配信できるかどうかについて、矛盾する情報を読みました。インフラストラクチャを共有してHIPAAに準拠することはできないと多くの人が聞いています。

PHIをクラウドに保存する場合、何を考慮する必要がありますか?

hipaacloud-computing
25
William

主にリンに同意します。

さらに追加します-パブリッククラウドは汎用のクラウドであるため、プライバシーは完全には実装されていません。これがHIPAA要件の中核です。しかし、HealthVaultと同等のクラウドまたは完全にプライベートなクラウドがある場合、それは非常に可能です。

私の要点は、現在のパブリッククラウドはヘルスケアを考慮して設計されていないということです。しかし、汎用の接続アプリケーション。そのため、それらは完全にHIPAAに準拠していません。また、クラウドを管理する資格のある担当者と呼ばれるには、クラウドを管理する人々がHIPAAまたはCITIまたは同様の認定を取得している必要があります。これらの基本的な基準を満たしているパブリッククラウド製品があるかどうか、私は強く疑います!

もちろん、これはこの業界で長く義務のない仕事をした後の私の個人的な見解です。

12
abirnale

HIPAA セキュリティルール は、PHIを保護するために必要なセキュリティ管理策について話します。あなたが考慮に入れなければならない多くの事柄があります-管理上のコントロール、物理的なセキュリティ、技術的なセキュリティ。個人的にはクラウドストレージを完全に除外するようなものは見たことがありませんが、詳細な調査は行っていません。自分のアプリケーションを確実にするために、あらゆる角度から作業する必要があります。そして、クラウドストレージには確かにいくつかの課題があります。

  • 物理的セキュリティ-許可された人だけがサーバー自体にアクセスできるようにする必要があります。 yourクラウドの場合、これはおそらく問題ではありませんが、共有クラウドストレージファームにデータを保存するだけの場合は、それらのセキュリティ対策を調査して結論を​​出す必要があります。それらが適切かどうか。

  • 伝送セキュリティ-クラウド内のデータがより多く出荷されるように思われ、伝送セキュリティに関する追加の課題が提示されます。しかし、それは安全なデータチャネルでは克服できなかったものではありません。

10
Lynn

Amazonは、Amazon Web Serviceについてこのまさにトピックに関するホワイトペーパーを提供し、前進してきたいくつかのクライアントを宣伝しています。

「HIPAAコンプライアンスに関心がありますか?」を参照してください。 ここにサイドバー 、および このホワイトペーパー

更新:Mike Schenkが以下に提供するリンクをフォローアップしたところ、次の statement が見つかりました:

Q。 AWS GovCloudは他のAWSリージョンよりも優れたセキュリティを提供しますか?

AWS GovCloudは他のAWSリージョンと同じ高レベルのセキュリティを提供し、FISMA、SAS-70、ISO 27001、FIPS 140-2準拠のエンドポイント、 PCI DSSレベル1。AWSは、政府機関がHIPAA規制に準拠できるようにする環境も提供します。唯一の違いは、AWSがアクセスを制限するAWS GovCloudリージョンにアクセス許可のレイヤーを追加したことです。米国人の承認されたリストに。

9
dividius

このことについて、Microsoft AzureプロジェクトのMark Russinovichに尋ねる機会がありました。彼は言った(言い換え)健康産業と銀行はおそらくこの理由でクラウドコンピューティングを採用する最後のグループである。

また、HIPAAコンプライアンスに必要な認証を取得するのはクラウド所有者(この場合はMicrosoft)の責任であるとも述べました。彼はSAS/ISO認定を受けており、第三者による定期的な監査を受けていると述べました。

「HIPAAを実装するためにあなたのチームは何をしているのか」から「HIPAAを実装しているサードパーティですか」という質問に変わると思います。私の意見では、1つの質問は他の質問よりも必ずしも答えやすいとは限りません-それはあなたのリソースとサードパーティのリソースに依存します。

2
bryanjonker

これらは、サードパーティの監査済みHIPAA準拠のデータセンター/ホスティングプロバイダーの観点からの要件と推奨事項です。

必須:

  • アンチウイルス
  • OSパッチ管理
  • バックアップと災害復旧
  • 高可用性、冗長ファイアウォール
  • 高可用性、冗長ルーター
  • 高可用性、冗長インターネットサービスプロバイダー(ISP)
  • HIPAAのトレーニングを受けたスタッフと文書化されたポリシー

推奨(セキュリティ強化):

  • 二要素認証
  • SSL証明書(Webアプリ用)
  • ファイルの整合性の監視
  • Webアプリケーションファイアウォール
  • 暗号化

プライベートクラウドでも管理対象サーバーでも、これらは標準です。こちらのホワイトペーパーをお読みください: http://www.onlinetech.com/resources/white-papers/hipaa-plied-data-centers

1
Thu Pham

残念ながら、法律は常にテクノロジーに追いつく必要があります。

私は雇用主が新しいサーバーを購入する前にこれを調べ、firehost http://www.firehost.com/secure-hosting/hipaa のHIPAAコンプライアンスに関する情報を確認し続けました。ドキュメントの共有を検討したもう1つの方法は、Googleドキュメントです。IS非準拠(少なくとも私が調査したところ)です。すべてを文書化してください。 HIPAAで文書化されたプロバイダーに固執します。一部の病院は、ITスタッフを雇うよりもアプリケーションとデータを保護するために支払う方が安いので、古いレガシーシステム(AS/400)のスペースをseimensから借りていることを知っています。エンタープライズ環境。

0
Brad

Amazon AWSはHIPAA準拠のホスティングをサポートしています。ただし、安くはありません。専用インスタンスまたは専用ホストを使用する必要があります。 AWSは、お客様とHIPAAコンプライアンスを検証するビジネスアソシエイト契約(BAA)に署名します。詳細については、こちらをご覧ください: https://aws.Amazon.com/compliance/hipaa-compliance/

彼らはここにテクニカルホワイトペーパーを持っています: https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

0
Jesse Barnum