Acabo de conseguir un trabajo para integrar los formularios web seguros de Hushmail en un sitio web médico. Los formularios enviarán los datos del paciente (PHI) a los servidores de Hushmail, los cifrarán y luego los enviarán a su cuenta de correo electrónico de Hushmail. El enrutamiento de un formulario se realiza simplemente cambiando el atributo de acción de formulario a enlace .
Esto parece que me falta seguridad. Por un lado, el sitio médico no está usando SSL y en ninguna parte de la documentación de Hushmail mencionan que SSL es necesario en los sitios web para una transmisión verdaderamente segura. Obviamente, estas presentaciones de formularios deben ser compatibles con HIPAA. Me parece que cualquier pirata informático mediocre podría capturar el paquete antes de enviarlo a Hushmail y cifrarlo.
¿Esto es seguro? ¿Sería más seguro usar un iframe del formulario? (esta usando SSL) ¿Debo convencerlos de que configuren SSL en el sitio?
He estado intentando leer sobre HIPAA, pero tengo problemas para encontrar algo técnico para los desarrolladores. Cualquier referencia sería bienvenida.