Soy parte de una pequeña empresa que implementará el cumplimiento de HIPAA. Buscaremos asesoría legal, etc., por lo que cualquier cosa que se escuche aquí no se tomará como asesoría legal, etc. Solo quiero compartir algunas ideas con ustedes.
El espíritu básico de HIPAA de lo que he leído:
- Asegúrese de que solo las personas autorizadas puedan acceder a la PHI.
- Asegúrese de que los datos en transporte y en reposo estén encriptados.
He hecho un poco de googlear (AWS whitepaper, hipaa hosting, etc.) y me preguntaba qué pensaban ustedes del siguiente esquema:
- Código de aplicación de front-end Rails (Heroku / AWS) que maneja todos las solicitudes del cliente, toda la phi enviada a través de HTTPS.
- Los datos enviados a un servidor de cifrado centralizado se cifrarán.
- El servidor de cifrado envía los datos cifrados al servidor de base de datos (AWS probablemente).
Esto me permitiría descargar la mayor parte del fortalecimiento del servidor en el servidor de cifrado, así como separar las claves de los datos. ¿Alguien tiene alguna experiencia o conocimiento en la configuración de un sistema como este? ¿O incluso un sistema como este para HIPAA específicamente? ¿Es incluso una buena idea desde el punto de vista de la seguridad? También me ha costado mucho encontrar una empresa que simplemente tenga un "servidor de cifrado", ¿hay empresas que se especialicen en algo así?