Estoy desarrollando Facturación Médica & Software EHR. Al finalizar, estamos planeando utilizar AWS para el alojamiento y, por lo tanto, proporcionar SAAS.
¿Necesitamos cifrar la base de datos MySQL para mantener el cumplimiento de HIPAA? Soy consciente de los requisitos de HIPAA para los datos en reposo, pero no sé cómo se aplican a los servicios web de Amazon.
¿Necesitamos cifrar la base de datos MySQL para mantener el cumplimiento de HIPAA?
Dependiendo de cómo esté construido el sistema completo, puede que no sea necesario, pero espero que lo cifres.
Primero debe identificar qué PHI (información de salud protegida) reside en su sistema y cómo puede viajar a través de su sistema. A menos que sus clientes ya hayan desidentificado o anonimizan los datos que le enviamos, es una buena suposición de que cada parte de los datos que recibe es PHI.
Una fecha de servicio y el nombre (o apellido) de un paciente incluido en un registro hacen que el PHI de ese registro.
Si cree que puede proteger la PHI en la base de datos sin cifrado, debe poder proporcionar un buen argumento de seguridad de que la PHI tiene otras protecciones suficientes. Incluso si puede presentar ese argumento, el principio de defensa en profundidad fomenta la protección adicional (como el cifrado) en caso de que falle su protección principal.
Realmente necesita hablar con el equipo legal de su compañía, ya que HIPPA es una ley y el incumplimiento de los requisitos de HIPAA puede resultar en sanciones civiles y penales
Lea otras preguntas en las etiquetas web-application physical encryption mysql hipaa