有誰知道在ASP.NET 2.0 +中提供的SQL和Active Directory成員資格提供商是否符合HIPAA?會員供應商和HIPAA合規
澄清:
據我所知,HIPAA任務患者信息固定和某些政策的落實到位,以確保獲得這些信息。可以使用Microsoft的SQL和AD成員資格提供商來處理訪問此信息的用戶的身份驗證嗎?我希望有一些政策需要像密碼長度和複雜性一樣建立起來,但是有什麼可以繼承他們存儲信息的方式,這些信息會使授權無效?任何疑難雜症或要注意的事情?
這取決於你想要對他們做什麼,但總之,是的。 HIPAA是關於保護您的數據的標準。標準不是特別苛刻,只要你有一個方法來提供安全。這樣就像ISO 9001一樣;只要你定義一個安全策略並堅持下去,你就沒問題。提到的提供者是有效的工具。也就是說,您可能需要對數據做一些額外的事情,以確保它只能從您的應用程序中清楚地訪問;某種程度的預加密可能是合適的。只要明白它可能不需要是HEAVY加密;只要你和它的應用保持一致,非常輕便。
我會說,開箱即用,它是而不是 HIPAA兼容。
找出的方法是創建一個新的Web應用程序,只需一個default.aspx或者一個登錄頁面。然後在解決方案資源管理器工具欄中單擊「ASP.NET配置」工具來啓動配置應用程序(如果您的站點位於此處,也可以從IIS執行此操作)。設置默認值,選擇對所有功能使用AspNetSqlProvider。
這將在您的App_Data文件夾中創建一個ASPNETDB.MDF。右鍵單擊它並選擇「打開」。這將在服務器資源管理器中打開它,您可以在其中查看所有已創建的表。
您會發現密碼存儲在aspnet_Membership表中,而不是純文本。這是好事。但是,電子郵件地址也存儲在明文中。如果我記得四年前我的HIPAA培訓,那是PII,並且至少假裝是特殊的。實際上,任何有權訪問數據庫的人都可以找到任何成員的電子郵件地址。
編輯基於更新:
如果你只談論使用他們的認證和授權,我說你真行。您需要忽略電子郵件地址。
您可以使用自定義提供程序來解決電子郵件地址問題。 – rboarman 2010-07-11 21:03:10
我當然希望它是;)我們目前在我工作的醫療保險公司使用2.0 ADAM LDAP。 HIPAA和PHI是這裏的遊戲名稱,這個設置是通過我們的法律部門進行的。
HIPAA *是關於如何保護/保護您的數據的更多信息,以及您使用的方式。只要數據受到保護,並且只有被允許訪問的人才能訪問,那麼您就沒事了。 – Brettski 2009-08-03 02:38:56