web-dev-qa-db-ja.com

HIPAA準拠のブラウザーアプリケーションのアプリケーション設計に関するガイドラインはありますか?

これは別のひねりです。私は、ディスパッチ情報を、消防署、警察、EMSなどのファーストレスポンダーにプッシュしています。しかし、それらはすべて、潜在的に、医療情報とPIIを一緒に含めることができます。

私の目標は、ファーストレスポンダーが重要な情報を簡単に取得できるようにすることです。そのため、必要に応じて、車両やスマートフォンで利用できるようにしたいと考えています。これが私の責任が何であるか私にはわからないところです。ブラウザで情報を提供したいのですが。私は、a)このシナリオがHIPAAのドメインに該当し、b)アプリケーションの設計(ブラウザコンポーネント)で従う必要があるガイドラインがあるかどうか知りたいです。私が確信しているバックエンドは安全です。しかし、私はこのデータを偶発的または悪意のある盗用/アクセスから保護するためにフロントエンド側で何をする必要があるのか​​わかりません(電話を取るか、肩越しに...

何かアドバイス?ありがとう!

6
appDeveloper

... HIPAAのドメインに該当しますか?

PHIを扱っている場合、答えはおそらくイエスです。詳細については、米国保健福祉省のこのページ セキュリティルールガイダンス資料 をご覧ください。

アプリケーションの設計(ブラウザコンポーネント)で従う必要があるガイドラインはありますか?私が確信しているバックエンドは安全です。

リスク評価について考える必要があります(上記のページ、特にNIST Special Publication 800-66へのリンクを参照)。自信があるのは良いことですが、徹底していることを示すドキュメントが必要です。アプリケーションの設計に関して、2つの優れた情報源は本 Writing Secure Code とOWASPです(出発点として OWASP Top Ten を確認してください)。

リスクアセスメントでは、脅威(「誰かの肩越しに見渡す」など)を調べます。これが発生する可能性とそれが表すリスクを評価する必要があります。

4
jdigital

私は弁護士ではありませんが、弁護士にこの質問をしてください。私の意見では、前職のHIPAAに慣れ親しんでいるため、これはほぼ間違いなくプロバイダーに対するHIPAAの規制(つまり、完全なパッケージ取引)に該当することになるでしょう。そうでない場合は、ほぼ間違いなくサードパーティのサービスプロバイダーに該当します。私の以前の仕事はサードパーティのサービスプロバイダーの役割についてのみ心配する必要があったので、本格的な要件の詳細についてはよくわかりません。

1
AJ Henderson

私たちは、製品の機能性に関して多くの製品評価を行います。コーディングに基づく評価は行いません。私たちは常にプロダクトアーキテクトとプロダクトマネージャーに認定HIPAAプライバシーセキュリティエキスパートCHPSE)トレーニングを受講してもらい、プライバシーとセキュリティのルールを明確に理解してから、製品が規制要件をどのように満たしているかを評価します。製品がHIPAA要件を確実に満たすようにするために、大きな設計変更を行わなければならないことを何度も経験しました。ビジネスアソシエイトとしても、会社がポリシー、手順、災害計画などに準拠していることを確認する必要があります。

1
Bob Mehta