Estoy buscando crear una base de datos ePHI para una pequeña oficina de terapia física y me gustaría recibir algunos consejos sobre la seguridad que necesitaré implementar.
Lo más probable es que la mayoría de las computadoras no tengan acceso a Internet, excepto para hacer actualizaciones programadas (revisar las actualizaciones de Windows, etc.).
Lo más probable es que los datos se almacenen en una base de datos MySQL que se almacena en una computadora Ubuntu dedicada. Estoy considerando configurar un sistema de respaldo de 2 discos duros portátiles externos para hacer copias de seguridad diarias de la base de datos y cambiarlos periódicamente (semanalmente / mensualmente / etc) con el disco duro que está almacenado en una caja de seguridad.
Probablemente se comprarán aproximadamente 3 computadoras portátiles para que usen los médicos / enfermeras y, muy probablemente, una tableta de Android para que los pacientes completen formularios médicos y formularios de signos.
En este momento no estamos planeando ofrecer a los pacientes acceso a sus registros médicos en línea. Todo el acceso a la base de datos se haría en la LAN. Estoy pensando en configurar una VLAN.
Estoy considerando crear credenciales de identificación para el personal que tiene un chip NFC incorporado que se utilizará para autorizar el inicio de sesión en la base de datos, etc.
Sé que necesitaré cifrar la base de datos y los discos duros externos, pero no he decidido qué método sería el mejor.
Una de las preguntas que he estado tratando de decidir es que, dado que todo el acceso se realiza en la LAN, ¿necesitaría usar una conexión SSL?
También estoy abierto a cualquier consejo / recomendación que pueda ofrecerme para esta configuración.
¡Gracias de antemano!