La mejor manera de asegurar una aplicación móvil multiplataforma para el cumplimiento con HIPAA

Question

La mejor manera de asegurar una aplicación móvil multiplataforma para el cumplimiento con HIPAA

#1 de user52472 (1 votos)

2

Estoy desarrollando una aplicación mHealth multiplataforma, sin conexión, utilizando Ionic 3 y Cordova, que posiblemente deba cumplir con HIPAA en un futuro cercano. Utiliza PouchDB como una base de datos del lado del cliente, HTTPS, encriptación en el lado del servidor cuando las funciones del lado del servidor son necesarias. El cliente se ejecuta localmente a menos que los datos deban sincronizarse con los usuarios de un grupo. Los servicios de sincronización utilizan los servicios web backend. Usamos tokens JWT para las sesiones. Servicios de autenticación para autenticación. Pero, siendo HIPAA lo que es ... La idea de tener que mantener cifrada mi base de datos local me hace temblar. El rendimiento sería la manguera. ¿Cuáles son las mejores prácticas de seguridad en aplicaciones de mHealth?

file-encryption mobile hipaa

pregunta juliet 05.05.2017 - 20:20

fuente

1 respuesta

Lea otras preguntas en las etiquetas file-encryption mobile hipaa

Bloqueo de cámara lenta con fail2ban, ¿cuáles son los parámetros correctos? ¿Alguien puede explicar qué significa Ret2plt y cómo funciona?

score 1 · Accepted Answer

Dependerá de los detalles de su situación específica, pero creo que el cifrado en el cliente puede ser requerido en su instancia. Las siguientes preguntas de muestra son planteadas por el Seguridad Técnica HSS documento:

¿Qué EPHI se debe cifrar y descifrar para evitar el acceso de personas o programas de software a los que no se les han otorgado derechos de acceso?
¿Qué mecanismos de cifrado y descifrado son razonables y apropiados de implementar para evitar el acceso a EPHI por personas o programas de software a los que no se les han otorgado derechos de acceso?

La segunda pregunta en particular es el punto pegajoso. Si no tiene forma de bloquear el acceso a la carpeta donde el dispositivo almacena el ePHI, deberá cifrar los datos. No estoy familiarizado con algunos de los matices legales en cuanto a lo que constituye un control de acceso suficiente para el software en esta situación (es decir, tal vez el programa B no pueda acceder a la carpeta en condiciones normales, pero si el dispositivo se encuentra rooteado). por lo que es mejor errar por el lado de la precaución.