¿Cumple HIPAA con FileVault 2?

Sí, el cifrado de disco completo utilizando AES-256 se consideraría un cifrado compatible con HIPAA. Esto es así porque es un cifrado compatible con FIPS 140-2 y datos cifrados con FIPS 140 -2 cipers se consideran "encriptados" según la Regla de seguridad de HIPAA.

En cuanto a si esto califica como lo suficientemente bueno para los "datos en reposo", eso depende de la interpretación de su organización de esta sección aparentemente ambigua de la ley HIPAA.

El cifrado completo del disco es una medida para ayudar a la seguridad física. Se puede interpretar que "datos en reposo" se refiere tanto a la capa física (en este caso, si alguien roba la Mac, los datos no estarán disponibles porque están cifrados) como a la disponibilidad de los archivos de datos reales que se encuentran en un disco.

Por ejemplo, algunas organizaciones podrían considerar las copias de seguridad de bases de datos inactivas en un disco "datos en reposo" y elegirían cifrar estos archivos con una contraseña, por ejemplo. utilizando 7zip con AES-256. Algunas organizaciones pueden considerar el cifrado de disco completo como suficiente para el estándar de "datos en reposo".

Este es un área de mucho debate cuando se trata de la regla de seguridad de HIPAA. Si le preocupa que los archivos en una computadora que no estén encriptados con una contraseña o una clave PGP, etc. puedan ser un riesgo, lo mejor es cometer un error en el lado del cifrado. Bajo HIPAA, si los datos encriptados están comprometidos, esto no requiere que se activen los requisitos de divulgación / incumplimiento de informes, ya que los datos podrían ser asumidos como inaccesibles para terceros. Si los datos no cifrados están en peligro, y esto incluye piratas informáticos con malware que quitan archivos de una computadora en línea que sí tiene habilitado el cifrado completo del disco; entonces esto activará los requisitos de información. Depende de usted sopesar el riesgo.