Trabajé en alojamiento web durante varios años, particularmente en seguridad. Estoy familiarizado con el cumplimiento de PCI y diría que la guía "corta y dulce" de PCI para una tienda de comercio electrónico es la siguiente:
- El cliente va al banco y obtiene una cuenta de comerciante.
- El comerciante le dice al cliente que use algún "proveedor autorizado de escaneo" (ASV) (es decir, TrustWave) para escanear el servidor y el sitio.
- El ASV ejecuta un análisis automatizado que encuentra un montón de "vulnerabilidades" aleatorias, como versiones antiguas de software o la capacidad de enumerar directorios. Los mejores realmente escanean el sitio en busca de XSS y otras vulnerabilidades web.
- El cliente me envía un PDF con todos los puntos vulnerables.
- Bloqueo del servidor & reportar todos los backports.
- El ASV ejecuta el escáner de nuevo y se apaga.
- ¡GANANCIA!
La forma en que veo PCI es un tipo de cosa "Cubre tu culo". Un ASV autorizado se despide diciendo que el sitio es "seguro", por lo que se desvía la responsabilidad del cliente.
Dicho esto, ¿cómo funciona el cumplimiento con HIPPA? Digamos que Joe, el médico, se acercó a mí y me dijo: "Haga que mi oficina cumpla con la HIPPA". Conozco la seguridad pero ¿por dónde partiría desde el sentido legal? ¿Hay alguna organización HIPPA "autorizada" que realice escaneos y firme que la organización está segura? ¿Existen reglas rígidas (es decir, las contraseñas deben caducar ANTES de n días)? ¿Podría incluso ayudar a Joe o debo estar certificado de alguna manera?
Explique brevemente el cumplimiento de HIPPA en el sentido práctico.
No estoy haciendo nada por un cliente, solo tengo curiosidad ya que este tema es muy ambiguo y no tengo experiencia en ello.