Developers VS HIPAA

Navega tus respuestas
1

Estoy tratando de llevar a una compañía a los estándares de HIPAA y ayudarles a proteger la información de salud de sus clientes. Una pregunta que a veces surge es que los desarrolladores quieren tomar bases de datos de los datos del cliente, almacenarlas en sus computadoras y trabajar con ellas.

Siempre he dicho que no a esto porque no puedo controlar lo que sucede en sus computadoras. Incluso si es una computadora de trabajo, no controlo la red en la que está; Por eso soy enemigo público número 1 otra vez.

¿Cuáles son algunas soluciones que mantendrían el cumplimiento y manejarían los datos de manera segura y permitirían a los desarrolladores continuar trabajando con los datos que recibimos?

    
pregunta ApertureSecurity 09.12.2017 - 08:47
fuente

2 respuestas

0

Hola, Aperture Security,

En primer lugar, puedo asegurarte que no eres el enemigo público número uno y, en los casos en que se trata la información del paciente, es mejor prevenir que lamentar.

Dicho esto, también es necesario que los desarrolladores puedan trabajar desde casa, por lo que no los dejaría sin esa opción. Una posible solución es implementar computadoras de trabajo que, al trabajar fuera del sitio, estén aseguradas a través de una VPN o que no puedan conectarse a la red en absoluto, también recomendarían una educación básica sobre seguridad para ser un segundo como un robo físico tan divertido como hacer clic en ese extraño correo electrónico será tan malo en el trabajo externo como el robo a través de la red.

Referencias:

  
    
respondido por el user165319 09.12.2017 - 11:04
fuente
0

Me resulta muy sorprendente que sus "desarrolladores" trabajen habitualmente con datos en vivo. Incluso cuando he estado trabajando en entornos no regulados, los desarrolladores utilizaron bases de datos dedicadas, excepto en casos inusuales e infrecuentes. Parece que tienes un problema mayor que los desarrolladores que se llevan los datos a casa.

No estoy familiarizado con los requisitos de HIPAA, pero como primer paso buscaría proporcionar un acceso más fácil a los conjuntos de datos anónimos en su oficina.

Más allá de eso, sugeriría que permitir que los desarrolladores alojen datos (y otra propiedad intelectual) en sus propias máquinas no es un resultado deseable. Y la forma más fácil de ganar este juego es facilitarles el acceso a las herramientas y los datos que necesitan y luego copiarlos en otro lugar.

En lugar de dictar soluciones, puede comenzar por establecer un conjunto de restricciones y hablar con los desarrolladores sobre una solución.

    
respondido por el symcbean 09.12.2017 - 22:44
fuente

Lea otras preguntas en las etiquetas

Orden y módulo de ECC en EC Bloqueo de un usuario de reenvío de puertos