Servidor compatible con Hipaa

Navega tus respuestas
2

Tengo una instancia en Amazon EC2 y debo ser compatible con HIPAA. Tengo dos preguntas,

  1. ¿Debo realizar un cifrado a nivel de bloque del almacenamiento de la base de datos?
  2. ¿Debo cifrar los datos confidenciales antes de almacenarlos en la base de datos?
pregunta user49158 11.06.2014 - 11:03
fuente

1 respuesta

2

El documento mencionado es más un mensaje de marketing que cualquier otra cosa sustancial.

Aunque no soy un experto en HIPAA, es bastante similar a los requisitos del Reino Unido sobre datos confidenciales (pacientes). Lo ideal es que siempre intente cifrar los datos "en reposo", por ejemplo, cuando se encuentre en un dispositivo de almacenamiento permanente. Sin embargo, esto no siempre es fácil y hacerlo bien requiere una ejecución muy cuidadosa. No tiene sentido, por ejemplo, en el cifrado de sus unidades si la clave está en una memoria vulnerable.

En el Reino Unido, los datos del gobierno se clasifican de acuerdo con los niveles de sensibilidad y luego se evalúan los riesgos según un conjunto estándar de niveles de impacto empresarial (IL, por sus siglas en inglés). Los datos de los pacientes, por ejemplo, se clasificarían como OFICIALES-SENSIBLES y se recomienda IL3. IL3 recomendaría el cifrado en reposo, pero esto no es obligatorio si el centro de datos y el personal con acceso están debidamente certificados y sin autorización.

En su caso, el uso de AWS significa que debe confiar en Amazon para mantener sus reclamos sobre los centros de datos. Para el mercado del Reino Unido, Microsoft ha certificado su plataforma Azure (en la UE) a IL2 por lo que es adecuada para las clasificaciones OFICIALES (la mayoría de los documentos gubernamentales). Obtener un mayor nivel de clasificación en una plataforma compartida sería prohibitivamente costoso. Sin embargo, existen sistemas certificados de nivel superior, aunque en realidad son nubes privadas.

Entonces, para responder sus preguntas directas (perdón por el fondo extendido):

  1. Lo ideal sería que te diera un mayor nivel de seguridad y reduce el riesgo (cuando se realiza correctamente)
  2. Si puedes, entonces los activos clave se cifran mejor. Nuevamente asumiendo que lo haces bien. Puede que no sea posible, sin embargo, dependiendo de cómo necesite usar los datos. Aunque probablemente no sea sensato hacer ambas cosas con los mismos datos.

Poner datos confidenciales en una plataforma de nube abierta está cargado de problemas y riesgos. Debe realizar un buen análisis de riesgos en cada parte de su servicio, documentar el riesgo y el impacto si se realiza el riesgo. Luego sopesar eso contra los costos de seguridad adicional. Si se trata de datos de pacientes, también debe considerar el impacto en los pacientes, esto no será (no debería) simplemente ser un asunto simple de la economía corporativa.

No hay una respuesta correcta o incorrecta absoluta aquí.

    
respondido por el Julian Knight 13.06.2014 - 19:11
fuente

Lea otras preguntas en las etiquetas

¿Cómo podría la aplicación de Skype desconectarme de mi cuenta de Facebook en OSX? ¿No es este un gran defecto de seguridad? ¿PCI DSS 1.4 incluye tabletas y teléfonos inteligentes?