¿Cómo hacer que una aplicación de iPhone sea compatible con HIPAA?

5

¿Cómo podemos hacer que una aplicación de iPhone sea compatible con HIPAA? Nuestro sitio web es compatible con HIPAA ya que utilizamos el cifrado en reposo, usamos SSL y otras disposiciones de seguridad.

¿El uso de una conexión SSL nos dará la ventaja? Además, creo que el iPhone proporciona cifrado independientemente de si un teléfono está protegido o no.

    
pregunta ariel 03.05.2012 - 22:17
fuente

2 respuestas

3

No puedo darle la respuesta completa, pero la versión corta que me dio el abogado de mi hospital anterior fue:

SSL protegerá los datos que se están transfiriendo, sin embargo, todo lo que se almacena en la tarjeta SD / Disco Duro no está cifrado ...

Entonces, al mirar esta aplicación, también deberá cifrar lo que la aplicación almacena en el teléfono. Si alguna vez conectó un iPhone a su computadora (o amigos), tiene acceso al conjunto completo de almacenamiento (incluido el sistema operativo), lo que significa que todo el contenido en caché estará disponible si se pierde el teléfono.

Observaría con cuidado el cifrado de al menos cualquier PKI, PHI o PII que su programa proporcione al dispositivo.

El problema es que incluso si el programa no almacena datos, la interfaz web puede almacenar en caché los datos que van y vienen del dispositivo. Esta es la parte que podría causarle problemas.

    
respondido por el powelljf3 03.05.2012 - 23:21
fuente
2

La única respuesta es ser totalmente compatible con la ley HIPAA y solo permitir que las personas que deberían tener permiso de uso para proteger los datos de los pacientes tengan acceso a ellos de manera segura y auditada. Por lo menos leído, enlace

La inclusión de un par de tecnologías (SSL; cifrado de disco) en uso no lo hace compatible con HIPAA. Asegúrese de no compartir datos de forma involuntaria con terceros (por ejemplo, alojamiento en una plataforma en la nube) con los que no haya firmado acuerdos de socios comerciales (BAA). No almacene datos protegidos en teléfonos no cifrados. Asegúrese de que su aplicación no esté sujeta a ataques básicos de tipo de escalado de privilegios / inyección de SQL, supervise la actividad del usuario en busca de comportamientos extraños, informe de revelaciones, etc.

    
respondido por el dr jimbob 03.05.2012 - 22:44
fuente

Lea otras preguntas en las etiquetas