¿Existen pautas para el diseño de aplicaciones de las aplicaciones de navegador compatibles con HIPAA?

6

Este es un giro diferente: estoy enviando información de envío a los primeros respondedores, como bomberos, policía y EMS. Pero todos podrían, potencialmente, incluir información médica y PII juntos.

Mi objetivo es facilitar que la primera persona que responde obtenga información crítica, por lo que quiero que esté disponible en el vehículo o en el teléfono inteligente si es necesario. Aquí es donde no estoy seguro de cuáles son mis responsabilidades. Me gustaría proporcionar la información a través del navegador. Tengo curiosidad por saber si a) este escenario está incluido en el dominio de HIPAA, yb) ¿existen pautas que debo seguir en el diseño de la aplicación, el componente del navegador? La parte de atrás que tengo confianza es segura. Pero no sé qué debo hacer en la parte frontal para protegerme del robo / acceso accidental o incluso malintencionado de estos datos (al tomar el teléfono o mirar por encima del hombro ...

¿Algún consejo? Gracias!

    
pregunta appDeveloper 13.12.2012 - 02:16
fuente

3 respuestas

4
  

... cae bajo el dominio de HIPAA?

Si está tratando con PHI, entonces la respuesta es probablemente sí. Visite esta página del Departamento de Salud del Gobierno de EE. UU. & Servicios humanos Material de orientación de reglas de seguridad para obtener más información.

  

¿existen pautas que debo seguir en el diseño de la aplicación, el componente del navegador? El back-end estoy seguro de que es seguro.

Debe estar pensando en una evaluación de riesgos (vea la página arriba mencionada, especialmente el enlace a la publicación especial NIST 800-66). Es bueno tener confianza, pero necesita tener la documentación para demostrar que ha sido exhaustivo. En cuanto al diseño de aplicaciones, dos buenas fuentes son el libro Writing Secure Code y OWASP (consulte OWASP Top Ten como punto de partida).

Durante su evaluación de riesgos, observará amenazas (como "mirar por encima del hombro de alguien") y tendrá que evaluar la probabilidad de que esto suceda y el riesgo que representa.

    
respondido por el jdigital 15.12.2012 - 08:00
fuente
1

Si bien no soy un abogado, usted debe hacerle esta pregunta a un abogado. En mi opinión, al estar muy familiarizado con HIPAA de un trabajo anterior, correría el riesgo de que esto caiga bajo las regulaciones de proveedores de HIPAA (es decir, el paquete completo). Si no es así, casi definitivamente cae bajo los proveedores de servicios de terceros. Mi trabajo anterior solo tenía que preocuparme por el rol de proveedor de servicios de terceros, por lo que no sé mucho acerca de cuáles son los detalles para los requisitos completos.

    
respondido por el AJ Henderson 13.12.2012 - 15:21
fuente
1

Hacemos mucha evaluación del producto con referencia a la funcionalidad del producto. No evaluamos en base a la codificación. Siempre le pedimos al arquitecto del producto y al gerente del producto que realicen una capacitación en CHPSE (HIPAA Certified Security Expert Expert certificado) para que tengan una comprensión clara de la regla de privacidad y seguridad y luego evalúen cómo cumple el producto los requisitos reglamentarios. Muchas veces hemos experimentado que se deben realizar importantes cambios en el diseño para garantizar que el producto cumpla con los requisitos de HIPAA. Como socio comercial, también debe asegurarse de que la empresa cumple con las políticas, los procedimientos, el plan de desastre, etc.

    
respondido por el Bob Mehta 15.12.2012 - 22:23
fuente

Lea otras preguntas en las etiquetas