在内部电子邮件服务器与外部收件人通信期间使用 STARTTLS 是否足以满足 HIPAA 准则?如果是,是否需要强制使用 TLS?
答案1
一般来说,不是。
如果您正在配置电子邮件客户端,并在 SMTP 连接上设置 STARTTLS,那么电子邮件将仅在您和您的电子邮件服务器之间加密;而不会在收件人的电子邮件服务器之间加密,也不会在收件人和他们的电子邮件服务器之间加密。
大多数公司不会通过电子邮件发送 HIPPA 涵盖的数据,因为在传输过程中数据本身就不安全(对于大多数服务器配置而言)。那些这样做的公司通常会在电子邮件本身上使用加密(邮件/多用途邮件或者前列腺特发性硬化症);这对于普通用户来说极其难以设置。
我见过的普遍接受的做法是通过电子邮件发送网站链接。该网站采用 TLS 加密,客户必须证明其身份。这基本上是端到端的安全(不考虑用户错误)。
如果您是一家小公司,您的选择基本上是放弃电子通信,或聘请一家专门从事符合 HIPPA 要求的通信的计算机公司。如果您是一家大公司的一部分,请咨询您的网络管理员、审计员或 HIPPA 合规顾问。
答案2
我假设发送的电子邮件包含 HIPAA 涵盖的数据。
简短的回答是,可能不需要。你可能需要使用端到端加密。
然而真正的答案是您应该与 HIPAA 审计员或对该法规以及审计员和法官对其理解有深入了解的人交谈。
在遇到这种事情时,请不要随意从互联网上获取答案,因为一个轻微的错误除了会让您破产之外,还可能给人们带来严重的困难。
答案3
您需要咨询 HIPAA 安全专家,但 EPHI 标准涵盖 TLS。不过您说得对,必须强制拒绝拒绝 TLS 的连接。
与理智的管理员的想法相反,hipaa regs 本身与安全无关。它们只是阐明了一些参议员认为意味着安全的要求。例如,正如 Chris S 正确指出的那样,加密客户端应该证明自己的身份,但这不是标准的一部分。电子邮件在传输到用户系统时通常不加密 - 但这并不是特别要求的(存储在目标系统上是必需的) - 但是,将其存储在 Exchange 服务器上受密码保护的 PST 中是足够的,因为它不是明文。这并不意味着你不能或不应该做正确的事情,它只是意味着从律师的角度来看,要求已经得到满足。
我认为 21CFR 第 11 条和 HIPAA 都需要进行彻底改革,而不是由那些认为互联网是一系列管道的人来改革
答案4
我没有找到评论的方法,所以我将以答案的形式向 Jim B 提问。抱歉。我觉得以下语言不清楚,也许你可以澄清一下:
电子邮件在传输到用户系统时通常不加密 - 但这并不是特别要求的(目标系统上的存储是必需的) - 但是,将其存储在 Exchange 服务器上受密码保护的 PST 中就足够了,因为它不是明文。
您是否说,在电子邮件从内部服务器传输到用户台式电脑(或移动设备)时,没有明确要求加密?
而“目标系统上的存储是 [特别要求]”您是指电子邮件必须以加密格式存储在收件人的 PC 上吗?还是说当用户下载电子邮件以阅读时必须从邮件服务器中删除电子邮件?还是说无论电子邮件存储在哪里,都必须以加密格式存储?