是否快速、基于文档的 NoSQL 解决方案——MongoDB、Cassandra、CouchDB 等——适合 PHI 数据吗?与 RDBMS 相比,它们确实具有性能优势,但总体上似乎不太成熟。
我开始设计一个基于 MongoDB 的系统,但读到最近关于Reddit和黑客新闻周围指控MongoDB 的数据丢失让我停顿了一下......
争议声称 MongoDB(似乎是最受欢迎的 NoSQL 之一)实际上丢失了数据。这意味着,凭借多年使用 RDBMS 的经验,MySQL 或 PostgreQL 是更安全的选择。
由于医疗保健领域的技术和监管要求更高,我对 MongoDB 到底有多大信心?
是否有人在需要遵守 HIPAA 的项目中成功使用过这些数据库解决方案?
答案1
我不明白为什么这会是个问题。实际上,我认为医疗保健 IT 的最大部分运行在名为 MUMPS 的 NoSQL 解决方案上。你只需要小心它的实现方式,但使用 NoSQL 解决方案的论点在医疗保健领域实际上非常有意义。你可以阅读有关 MUMPS 的更多信息,它可能被你提到的上述 NoSQL 解决方案取代:http://www.emrandhipaa.com/emr-and-hipaa/2011/10/18/analysis-of-mumps-in-healthcare-emr/
我相信很多人都希望 MUMPS 消失,并实施您所描述的解决方案之一。尽管到目前为止,我还不能说我见过任何人这样做。
答案2
补充一下@linda 的回答,数据库只是创建应用程序的组件堆栈中的另一层。该系统的安全性基于所有组件的组合。
底线:
MongoDB、MySQL、Postgres 等……它们都只是组织位进行存储/检索的方式。并不一定因为一个是关系型的,另一个是面向对象的,就认为其中一个存在更多的安全漏洞。
如果你正在实施新的 EMR 或进行迁移,请务必和你的 IT 人员谈谈在做出任何 CXO 决策之前,请先了解项目细节!我经历过太多管理层在没有 IT 投入的情况下做出大规模灾难性决策的故事。
为了符合 HIPAA 规定,所有 pt 信息都需要在“传输中”和“静止时”加密。-来源
另外我相信 Epic 也使用缓存在他们的一些产品中也是如此。它是一个对象数据库。
答案3
问题并不在于你使用什么工具来存储数据,而在于你如何保护数据。我认为 NoSQL 解决方案没有理由不能达到适当的安全级别,就像 RDBMS 解决方案可以完全安全地完成一样。不安全。
确保数据安全需要考虑的事项(这绝不是一份详尽的清单):
- 访问服务器(物理和网络安全)
- 访问服务器上的数据(访问权限)
- 加密(我见过关于是否有必要加密数据的争论)
答案4
MongoDB 提供 MongoDB 企业版,除了身份验证和静态加密之外,还提供对任何用户活动的审计。HIPAA 安全规则建议使用 ePHI 审计任何用户活动。有用的链接:
https://www.mongodb.com/blog/post/making-hipaa-compatible-applications-mongodb
https://docs.mongodb.com/manual/security/