HIPAA vs. HTTPS

1

En el espacio médico / farmacéutico como parte de los requisitos legales de operación, todos deben cumplir con los estándares de HIPAA ( enlace ) para mover información médica personal alrededor. Esto significa que, por ejemplo, tendría que cifrar cualquier comunicación de correo electrónico enviada con información personal identificable.

Supongamos que la Compañía X ha creado un conjunto de aplicaciones orientadas al médico que se ha bloqueado en una tableta provista especialmente con MAAS360. Las aplicaciones en sí mismas pasan por un portal web al que también se puede acceder fácilmente en línea pero que no se anuncia públicamente. Si el portal web no es https: // seguro, mi preocupación es que esta suite puede no cumplir con HIPAA en la protección de datos de pacientes cuando los médicos lo utilizan.

Mis preguntas son:

  1. Si un sistema no usa https pero usa algún tipo de cifrado no https más adelante en el proceso, ¿sigue siendo seguro? (Mi conjetura es no?)
  2. ... ¿es eso lo suficientemente seguro para HIPAA?
  3. ... ¿los requisitos de seguridad de HIPAA son requisitos razonables, o son tonterías burocráticas destinadas a dar la ilusión de seguridad?
pregunta sharedphysics 05.03.2015 - 03:24
fuente

1 respuesta

3
  1. Si no está cifrado, no es compatible. Es posible usar HTTP simple si está siempre a través de una VPN, por ejemplo, pero eso no suena como el caso aquí.
  2. Se necesitan más detalles para responder correctamente a esto.
  3. HIPAA está en el tipo correcto de pensamiento, creo. Especifica buenas prácticas, no tecnología específica. Por supuesto, siempre hay espacio para que la gente llene casi cualquier requisito con tonterías burocráticas, pero HIPAA no necesita que se cumplan sus requisitos.
respondido por el Jeff Ferland 05.03.2015 - 06:25
fuente

Lea otras preguntas en las etiquetas