Hushmails "Formularios seguros" y HIPAA

2

Acabo de conseguir un trabajo para integrar los formularios web seguros de Hushmail en un sitio web médico. Los formularios enviarán los datos del paciente (PHI) a los servidores de Hushmail, los cifrarán y luego los enviarán a su cuenta de correo electrónico de Hushmail. El enrutamiento de un formulario se realiza simplemente cambiando el atributo de acción de formulario a enlace .

Esto parece que me falta seguridad. Por un lado, el sitio médico no está usando SSL y en ninguna parte de la documentación de Hushmail mencionan que SSL es necesario en los sitios web para una transmisión verdaderamente segura. Obviamente, estas presentaciones de formularios deben ser compatibles con HIPAA. Me parece que cualquier pirata informático mediocre podría capturar el paquete antes de enviarlo a Hushmail y cifrarlo.

¿Esto es seguro? ¿Sería más seguro usar un iframe del formulario? (esta usando SSL) ¿Debo convencerlos de que configuren SSL en el sitio?

He estado intentando leer sobre HIPAA, pero tengo problemas para encontrar algo técnico para los desarrolladores. Cualquier referencia sería bienvenida.

    
pregunta Jer 09.07.2015 - 07:52
fuente

1 respuesta

1

Si el atributo de acción del formulario tiene https: //, los datos se cifrarán antes de enviarlos al servidor Hush Secure Forms. Así que el problema aquí no es el cifrado.

Sin embargo, existe un problema con el hecho de que el sitio médico de alojamiento no utiliza SSL. Cuando un usuario final ve el formulario, no tiene forma de saber si está viendo el formulario correcto desde el sitio médico o si está viendo un formulario que fue realizado por un tercero malintencionado involucrado en un MITM o ataque de phishing. El tercero podría proporcionar una página que se parece al sitio médico pero quizás con una acción diferente en el formulario de silencio (por ejemplo, enlace ). En este caso, sus datos privados no se enviarán a un servidor de Hush Forms, sino a un servidor que elija el pirata informático.

Además, la mezcla de contenido seguro y no seguro en la misma página puede provocar advertencias en el navegador.

    
respondido por el John Wu 10.07.2015 - 22:47
fuente

Lea otras preguntas en las etiquetas